Основная информация
| Дата опубликования: | 22 ноября 2012г. |
| Номер документа: | RU90000201202533 |
| Текущая редакция: | 2 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Пермский край |
| Принявший орган: | Министерство финансов Пермского края |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
МИНИСТЕРСТВО ПРОМЫШЛЕННОСТИ, ИННОВАЦИЙ И НАУКИ
МИНИСТЕРСТВО ФИНАНСОВ ПЕРМСКОГО КРАЯ
ПРИКАЗ
22 ноября 2012 г. № СЭД-39-01-22-219
ОБ УТВЕРЖДЕНИИ ДОКУМЕНТОВ, ПРИМЕНЯЕМЫХ ПРИ ЮРИДИЧЕСКИ ЗНАЧИМОМ ДОКУМЕНТООБОРОТЕ В ПРОГРАММНОМ КОМПЛЕКСЕ «СКИФ»
В редакции приказа Министерства финансов Пермского края от 18.11.2015 № СЭД-39-01-22-263
В целях внедрения юридически значимого электронного документооборота при представлении бюджетной отчетности и сводной бухгалтерской отчетности государственных (муниципальных) бюджетных и автономных учреждений в Министерство финансов Пермского края в программном комплексе «СКИФ» приказываю:
1. Утвердить формы договоров об обмене электронными документами между участниками юридически значимого электронного документооборота согласно приложению 1 к приказу.
(в редакции приказа Министерства финансов Пермского края от 18.11.2015 № СЭД-39-01-22-263)
2. Утвердить Положение о порядке работы со средствами криптографической защиты информации согласно приложению 3 к приказу.
3. Утвердить Порядок разбора конфликтных ситуаций согласно приложению 4 к приказу.
4. Утвердить Порядок предоставления документов из программного комплекса «СКИФ» по запросу контролирующих органов согласно приложению 5 к приказу.
5. Утвердить карту рисков электронного документооборота согласно приложению 6 к приказу.
6. Начальнику отдела консолидированной отчетности управления бюджетного учета и отчетности, заместителю главного бухгалтера
Балашенковой С.В. довести настоящий Приказ до главных распорядителей бюджетных средств Пермского края (главных администраторов, главных администраторов источников финансирования дефицита бюджета Пермского края, органов государственной власти Пермского края, осуществляющих в отношении государственных краевых учреждений функции и полномочия учредителя), финансовых органов муниципальных районов (городских округов) Пермского края и Пермского краевого фонда обязательного медицинского страхования.
7. Контроль за исполнением приказа возложить на начальника управления бюджетного учета и отчетности, главного бухгалтера Вотинову И.Г.
Министр финансов
О.В.АНТИПИНА
Приложение 1
УТВЕРЖДЕН
Приказом
Министерства финансов
Пермского края
от 22.11.2012 № СЭД-39-01-22-219
(в редакции приказа Министерства финансов Пермского края от 18.11.2015 № СЭД-39-01-22-263)
Форма 1
ДОГОВОР N _____________
об обмене электронными документами между участниками
юридически значимого электронного документооборота
г. Пермь "___" ____________ 20__ г.
___________________________________________________________________________
(полное наименование Субъекта отчетности)
именуемый в дальнейшем "Субъект отчетности", в лице ___________________
________________________________________________, действующего на основании
___________________________________________, с одной стороны и Министерство
финансов Пермского края, именуемое в дальнейшем "Организатор", в лице
министра финансов Пермского края _________________________________________,
действующего на основании Положения, с другой стороны, в дальнейшем
именуемые "Участники", заключили настоящий Договор об обмене электронными
документами между участниками юридически значимого электронного
документооборота (далее - Договор) о нижеследующем:
I. Термины и определения
В настоящем Договоре применяются следующие термины и определения:
аккредитованный удостоверяющий центр (далее - УЦ) - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон 63-ФЗ), и получившие аккредитацию. Выбор УЦ при работе с Комплексом осуществляется Организатором;
аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона 63-ФЗ;
владелец сертификата ключа проверки электронной подписи (владелец сертификата) - лицо, которому в установленном Федеральным законом 63-ФЗ порядке выдан сертификат ключа проверки электронной подписи;
дайджест - строка неограниченной длины, сформированная на основе данных электронного документа посредством определенных алгоритмов и предназначенная для формирования электронной подписи электронного документа;
журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов (далее - Журнал поэкземплярного учета СКЗИ) - документ, содержащий данные о выданных Уполномоченным сотрудникам ключевых документах;
информационная система электронного документооборота (далее - ИСЭД) - интегрированная система электронного документооборота, архива и управления потоками работ аппарата Правительства Пермского края, использующаяся у Организатора и у Субъекта отчетности для обмена документами в электронном виде (письма, служебные записки, приказы и т.д.);
квалифицированный сертификат ключа проверки электронной подписи (далее - Сертификат) - сертификат ключа проверки электронной подписи, выданный УЦ или доверенным лицом УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи;
ключ электронной подписи (закрытый ключ, ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи;
ключ проверки электронной подписи (открытый ключ) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи;
Комплекс - программный комплекс "СКИФ", разработанный ОАО "Финтех" (далее - разработчик), предназначенный для автоматизации процессов формирования, приема, передачи, обработки и хранения форм отчетности;
ключевой документ - ключевой носитель, содержащий ключ электронной подписи, а при необходимости - контрольную, служебную и технологическую информацию;
ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключа электронной подписи;
Организатор - Министерство финансов Пермского края, осуществляющее прием от Субъекта отчетности, обработку и хранение форм отчетности;
правила подписания - настроечный параметр Комплекса, позволяющий установить права на подписание электронных документов электронной подписью;
регламент применения электронной подписи (далее - Регламент) - документ, определяющий порядок применения усиленной квалифицированной электронной подписи, в том числе статусы электронных документов, на которых происходит наложение электронной подписи в электронном документе;
реестр Сертификатов - перечень Сертификатов Уполномоченных сотрудников Участников;
список отозванных Сертификатов - документ, содержащий список серийных номеров Сертификатов, которые в определенный момент времени были отозваны либо действие которых было приостановлено;
сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи;
средства криптографической защиты информации (далее - СКЗИ) - аппаратные и (или) программные средства, обеспечивающие применение электронной подписи (создание, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи), и (или) шифрование при осуществлении электронного документооборота, а также обеспечивающие защиту информации по утвержденным стандартам и сертифицированные в соответствии с действующим законодательством;
средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи, ключа проверки электронной подписи;
статус электронного документа - атрибут электронного документа, идентифицирующий его состояние по определенному признаку;
Субъект отчетности - главный распорядитель средств бюджета Пермского края, Территориальный фонд обязательного медицинского страхования Пермского края, осуществляющие формирование и передачу форм отчетности Организатору;
Уполномоченный сотрудник - сотрудник, наделенный полномочиями по подписанию электронной подписью электронных документов в соответствии с утвержденным Регламентом, для которого УЦ выпущен сертификат ключа проверки электронной подписи, отмеченный в Журнале поэкземплярного учета СКЗИ как получивший ключевой носитель. Уполномоченный сотрудник назначается приказом Участника;
усиленная квалифицированная электронная подпись (далее - ЭП) - вид электронной подписи, которая соответствует следующим признакам:
электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
электронная подпись позволяет определить лицо, подписавшее электронный документ;
электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
электронная подпись создается с использованием средств электронной подписи;
ключ проверки электронной подписи указан в Сертификате;
для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ;
Экспертная комиссия - комиссия, разрешающая конфликтные ситуации, связанные с использованием юридически значимого электронного документооборота;
электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию;
электронный документ - отчет, в котором информация представлена в электронной форме в формате Комплекса. Юридическая значимость электронного документа подтверждается ЭП;
юридически значимый электронный документооборот (далее - ЮЗЭД) - документооборот на базе Комплекса, в котором участники ЮЗЭД совершают действия по передаче и приему документов в электронной форме, удостоверенных ЭП, и несут ответственность за совершение либо несовершение этих действий.
II. Предмет Договора
Настоящий Договор определяет условия и порядок обмена юридически значимыми электронными документами между Участниками на базе Комплекса, а также права и обязанности Участников, возникающие при обмене юридически значимыми электронными документами на базе Комплекса.
III. Общие положения
3.1. Участники осуществляют передачу и прием юридически значимых электронных документов на базе Комплекса по телекоммуникационным каналам связи. ЮЗЭД осуществляется с применением усиленной квалифицированной электронной подписи.
3.2. С целью обеспечения авторства, целостности и конфиденциальности электронных документов при информационном взаимодействии Участники используют сертифицированные СКЗИ.
3.3. Используемые при информационном взаимодействии Участников электронные документы с ЭП, сформированной Участниками средствами СКЗИ, имеют равную юридическую силу с документами на бумажном носителе, подписанными соответствующими собственноручными подписями Уполномоченных сотрудников Участников. При этом для их ЭП соблюдены следующие условия:
сертификаты изданы УЦ и не утратили силу (действуют) на момент проверки или на момент подписания электронного документа;
ЭП используется в соответствии со сведениями, указанными в Сертификате.
3.4. Участники признают, что используемые при ЮЗЭД в Комплексе СКЗИ, реализующие функции создания ЭП, достаточны для подтверждения следующего:
электронный документ исходит от Субъекта отчетности, его составившего (подтверждение авторства отправленного электронного документа);
электронный документ не претерпел изменений в процессе передачи (подтверждение целостности и подлинности электронного документа).
3.5. Организатор оставляет за собой право обновлять версию Комплекса с дальнейшей эксплуатацией ЮЗЭД на обновленной версии без предварительных уведомлений Субъекта отчетности.
IV. Права и обязанности Участников
4.1. Организатор обязан:
4.1.1. Обеспечить функционирование Комплекса, а также обеспечить другой необходимой информацией для предоставления Субъекту отчетности возможности передачи юридически значимых электронных документов Организатору.
4.1.2. При внесении изменении в Регламент (приложение к настоящему Договору) провести настройки серверной части Комплекса.
4.1.3. Немедленно уведомить Субъекта отчетности любым доступным способом в случаях выявления:
4.1.3.1. ошибок в работе Комплекса при работе с ЭП (подписания ЭП, проверки ЭП и др.);
4.1.3.2. ошибок, возникающих в связи с попытками нарушения информационной безопасности.
4.1.4. Вести актуальный реестр сертификатов Уполномоченных сотрудников Участников на основе принятых сертификатов и списка отозванных сертификатов от Субъекта отчетности.
4.1.5. При условии соответствия электронных документов признакам и требованиям к юридически значимым электронным документам, указанным в Регламенте, принять от Субъекта отчетности электронный документ для дальнейшей проверки в соответствии с приказами Организатора.
4.1.6. Предоставить Субъекту отчетности перечень форм отчетности, установленных нормативными правовыми актами Российской Федерации и Пермского края, подписываемых ЭП.
4.2. Организатор имеет право:
4.2.1. В случае несоответствия электронного документа признакам и требованиям к юридически значимым электронным документам отказать Субъекту отчетности в приеме электронного документа с указанием мотивированной причины отказа.
4.2.2. Приостановить осуществление ЮЗЭД при:
4.2.2.1. несоблюдении Субъектом отчетности требований по передаче ЭД и обеспечению информационной безопасности в соответствии с настоящим договором;
4.2.2.2. разрешении спорных ситуаций;
4.2.2.3. выполнении неотложных аварийных и ремонтно-восстановительных работ Комплекса.
4.2.3. На урегулирование вопросов в случае возникновения конфликтных ситуаций.
4.2.4. Вносить изменения в Регламент в соответствии с требованиями разработчика Комплекса.
4.3. Субъект отчетности обязан:
4.3.1. Обеспечить функционирование Комплекса на рабочем месте Субъекта отчетности, установить СКЗИ, указанные Организатором, на компьютерах Уполномоченных сотрудников для обеспечения работоспособности ЮЗЭД.
4.3.2. Обеспечить всеми необходимыми средствами (сертифицированные СКЗИ, сертификаты, ключевые носители и т.д.) Уполномоченных сотрудников Субъекта отчетности.
4.3.3. Выполнять требования УЦ в соответствии с порядком УЦ и другими документами, регламентирующими процесс взаимодействия УЦ и пользователей услуг УЦ.
4.3.4. Назначить сотрудника, ответственного за эксплуатацию СКЗИ и ведение Журнала поэкземплярного учета СКЗИ, и Уполномоченных сотрудников.
4.3.5. Передавать Организатору электронные документы, оформленные в соответствии с Регламентом.
4.3.6. В целях обеспечения безопасности обработки и передачи юридически значимых электронных документов:
4.3.6.1. соблюдать требования, изложенные в разделе V настоящего Договора, и требования Положения о порядке работы со СКЗИ, утвержденного приказом Организатора;
4.3.6.2. соблюдать требования эксплуатационной документации на используемые СКЗИ;
4.3.6.3. соблюдать требования законодательства Российской Федерации в области использования ЭП;
4.3.6.4. прекратить использование ЭП в случае компрометации ключа и немедленно любым доступным способом информировать Организатора и УЦ об указанном факте;
4.3.6.5. хранить ключевой документ в месте, исключающем доступ неуполномоченных лиц и/или возможность его повреждения.
4.3.7. В случае невозможности исполнения обязательств по настоящему Договору немедленно известить Организатора о приостановлении взаимных обязательств.
4.3.8. При возникновении споров, связанных с принятием или непринятием электронных документов, подписанных ЭП, входящих в перечень юридически значимых электронных документов, руководствоваться Порядком разбора конфликтных ситуаций, утвержденным приказом Организатора. Способ разрешения конфликтных ситуаций устанавливает Организатор.
4.3.9. По первому требованию предоставить Организатору заверенные печатью и подписями Уполномоченных сотрудников Субъекта отчетности электронные документы, распечатанные по формам отчетности, входящие в перечень юридически значимых электронных документов.
4.3.10. Заменить Сертификат в порядке, предусмотренном УЦ, в следующих случаях:
4.3.10.1. смены Уполномоченных сотрудников Субъекта отчетности;
4.3.10.2. изменения данных, идентифицирующих Уполномоченного сотрудника Субъекта отчетности;
4.3.10.3. смены ключей ЭП;
4.3.10.4. компрометации ключей ЭП.
4.3.11. Немедленно уведомить Организатора любым доступным способом о случаях:
4.3.11.1. возникновения угрозы использования (копирования) иными лицами ключа ЭП, принадлежащего Уполномоченному сотруднику Субъекта отчетности;
4.3.11.2. утраты ключевого документа Уполномоченного сотрудника Субъекта отчетности;
4.3.11.3. изменения состава Уполномоченных сотрудников Субъекта отчетности, обладающих правом использования ключей ЭП.
4.4. Субъект отчетности имеет право:
4.4.1. требовать от Организатора принятия от Субъекта отчетности электронных документов;
4.4.2. на урегулирование вопросов в случае возникновения конфликтных ситуаций.
V. Безопасность эксплуатации СКЗИ в Комплексе
5.1. СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету.
5.2. Поэкземплярный учет СКЗИ, эксплуатационной и технической документации к ним, ключевых документов ведет ответственный за эксплуатацию СКЗИ сотрудник Субъекта отчетности в Журнале поэкземплярного учета СКЗИ. Ответственный за эксплуатацию СКЗИ и форма поэкземплярного учета СКЗИ утверждаются приказом Субъекта отчетности. При этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их эксплуатация.
5.3. Единицей поэкземплярного учета ключей ЭП считается ключевой носитель многократного использования. В случае когда один и тот же ключевой носитель многократно используют для записи ключей ЭП, то каждый раз он подлежит отдельной регистрации.
5.4. Дистрибутивы СКЗИ, эксплуатационная и техническая документация к СКЗИ хранятся у ответственного за эксплуатацию СКЗИ сотрудника Субъекта отчетности. Ключи ЭП хранятся у Уполномоченных сотрудников. Хранение осуществляется в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
5.5. Ключевые документы с неработоспособными ключами ЭП ответственный за эксплуатацию СКЗИ сотрудник Субъекта отчетности принимает у Уполномоченного сотрудника под роспись в Журнале поэкземплярного учета СКЗИ.
5.6. В Комплексе используется СКЗИ с открытым распределением ключей.
5.7. Подписание электронного документа ЭП осуществляется с использованием только того ключа ЭП, для которого выдан Сертификат Уполномоченного сотрудника.
5.8. Уполномоченный сотрудник Субъекта отчетности несет ответственность за отсутствие на компьютере, на котором осуществляется эксплуатация ЮЗЭД, посторонних программ (вирусов и т.д.), способствующих нарушению функционирования ЮЗЭД.
5.9. При обнаружении на компьютере, на котором осуществляется эксплуатация ЮЗЭД, посторонних программ (вирусов и т.д.) эксплуатация ЮЗЭД на этом компьютере должна быть прекращена для дальнейшей организации мероприятий по анализу и ликвидации посторонних программ и возможных последствий.
5.10. Действия в случае компрометации ключей ЭП:
5.10.1. К событиям, связанным с компрометацией ключей ЭП, относится следующее:
утрата ключевых носителей, содержащих ключи ЭП;
потеря ключевых носителей, содержащих ключи ЭП, с их последующим обнаружением;
хищение ключевых носителей, содержащих ключи ЭП;
разглашение содержимого ключевых носителей, содержащих ключи ЭП;
несанкционированное копирование содержимого ключевых носителей, содержащих ключи ЭП;
нарушение правил хранения и уничтожения (после окончания срока действия ключевых носителей, содержащих ключи ЭП);
возникновение подозрений об утечке содержимого ключевых носителей, содержащих ключи ЭП, или ее искажение в Комплексе;
нарушение печати на сейфе или замка сейфа, в котором хранятся ключевые носители, содержащие ключи ЭП;
невозможность достоверного установления того, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленников);
любые другие виды разглашения содержимого ключевых носителей, содержащих ключи ЭП, в результате которых ключи ЭП могут стать доступными посторонним лицам и (или) процессам.
5.10.2. Уполномоченный сотрудник Субъекта отчетности самостоятельно определяет факт компрометации ключа ЭП и оценивает значение этого события. Мероприятия по розыску и локализации последствий компрометации ключа ЭП организует и осуществляет Субъект отчетности с участием владельца скомпрометированного ключа ЭП.
5.10.3. В случае установления факта компрометации ключа ЭП Уполномоченный сотрудник Субъекта отчетности обязан незамедлительно прекратить эксплуатацию ключа ЭП в Комплексе и уведомить Организатора, а также УЦ по телекоммуникационным каналам связи.
В течение 30 (тридцати) минут после поступления сообщения о компрометации ключа ЭП Организатор обеспечивает прекращение работы Уполномоченного сотрудника Субъекта отчетности в Комплексе и использование соответствующего Сертификата в ЮЗЭД на базе Комплекса.
Возобновление работы Уполномоченного сотрудника Субъекта отчетности в Комплексе происходит только после замены скомпрометированного ключа.
Для получения новых ключей ЭП Уполномоченный сотрудник Субъекта отчетности должен руководствоваться порядком получения ключей ЭП, установленным УЦ.
5.11. Уполномоченному сотруднику Субъекта отчетности запрещается:
5.11.1. осуществлять несанкционированное копирование ключей ЭП;
5.11.2. разглашать содержимое ключевого документа или передавать сами ключевые документы лицам, к ним не допущенным, оставлять без присмотра ключевой документ, выводить содержимое ключевого документа на дисплей или принтер;
5.11.3. вставлять ключевые документы в устройства считывания в режимах, не предусмотренных штатным режимом работы СКЗИ, а также в устройства считывания других аппаратных средств;
5.11.4. записывать на ключевой носитель постороннюю информацию, использовать ключевой носитель на неисправных устройствах считывания информации;
5.11.5. вносить какие-либо изменения в программное обеспечение СКЗИ.
VI. Предоставление документов при вводе в действие
и дальнейшей работе в ЮЗЭД на базе Комплекса
6.1. Предоставление документов при вводе в действие ЮЗЭД на базе Комплекса:
6.1.1. Субъект отчетности в соответствии с документацией к Комплексу устанавливает СКЗИ на компьютерах Уполномоченных сотрудников.
6.1.2. Уполномоченные сотрудники Субъекта отчетности получают от УЦ средства ЭП: Сертификаты, ключи ЭП. Порядок получения Сертификатов, ключей ЭП устанавливает УЦ.
6.1.3. При заключении настоящего Договора Субъект отчетности предоставляет Организатору:
приказ Субъекта отчетности о назначении Уполномоченных сотрудников с указанием ролей в соответствии с приложением к настоящему Договору посредством ИСЭД;
полученные от УЦ Сертификаты Уполномоченных сотрудников Субъекта отчетности в электронном виде на электронную почту supportweb@fin.permregion.ru, с указанием темы письма: "Сертификаты СКИФ трехзначный код Субъекта отчетности".
6.2. Предоставление документов при дальнейшей работе в ЮЗЭД на базе Комплекса:
6.2.1. В случае изменения ФИО, должности, списочного состава Уполномоченных сотрудников Субъекта отчетности, наименования Субъекта отчетности Субъект отчетности обязан в течение трех рабочих дней, в зависимости от ситуации, представить Организатору:
приказ Субъекта отчетности о назначении Уполномоченных сотрудников, с указанием ролей в соответствии с приложением к настоящему Договору посредством ИСЭД;
скан-копию заявлений на аннулирование (отзыв) Сертификата по форме согласно порядку УЦ посредством ИСЭД;
полученные от УЦ Сертификаты Уполномоченных сотрудников Субъекта отчетности в электронном виде на электронную почту supportweb@fin.permregion.ru, с указанием темы письма: "Сертификаты СКИФ трехзначный код Субъекта отчетности".
6.2.2. В случае планового перевыпуска Сертификатов Субъект отчетности в течение трех рабочих дней представляет Организатору полученные от УЦ Сертификаты Уполномоченных сотрудников Субъекта отчетности в электронном виде на электронную почту supportweb@fin.permregion.ru, с указанием темы письма: "Сертификаты СКИФ трехзначный код Субъекта отчетности".
6.2.3. В случае изменения адреса электронной почты Организатор в течение двух рабочих дней сообщает Клиенту новый адрес электронной почты для предоставления Сертификатов. Информация о смене адреса электронной почты размещается на сайте Организатора http://mfin.permkrai.ru/ в разделе "Методические рекомендации" - "ПО СКИФ".
6.3. Организатор после предоставления Субъектом отчетности документов, указанных в пунктах 6.1.3, 6.2.1 настоящего Договора, и Сертификатов Уполномоченных сотрудников, указанных в пункте 6.2.2 настоящего Договора, в течение трех рабочих дней вводит в действие Сертификаты Уполномоченных сотрудников Субъекта отчетности (вносит в реестр Сертификатов).
6.4. Организатор уведомляет Субъекта отчетности о внесении Сертификатов Уполномоченных сотрудников Субъект отчетности посредством электронной почты.
VII. Ответственность Участников
7.1. Участники несут ответственность за действия своих Уполномоченных сотрудников при осуществлении ЮЗЭД в рамках настоящего Договора.
7.2. За неисполнение или ненадлежащее исполнение Участниками своих обязательств по настоящему Договору Участники несут ответственность в соответствии с законодательством Российской Федерации.
7.3. Участник не отвечает за неисполнение или ненадлежащее выполнение своих обязательств по настоящему Договору, если это было вызвано действиями (бездействием) другого Участника.
7.4. При использовании телекоммуникационных каналов связи и передачи данных Участники не несут ответственности за возможные временные задержки при доставке юридически значимых электронных документов, произошедшие не по их вине.
VIII. Разрешение конфликтных ситуаций
8.1. Все споры и разногласия, которые могут возникнуть в связи с применением, нарушением, толкованием настоящего Договора, признанием недействительным настоящего Договора или его части, Участники будут стремиться разрешить, используя переговоры и иные механизмы урегулирования споров и разногласий.
8.2. В случаях, когда конфликтная ситуация не урегулирована в результате переговоров и работы Экспертной комиссии, созданной в соответствии с Порядком разбора конфликтных ситуаций, утвержденным приказом Организатора, Участники обращаются в Арбитражный суд Пермского края.
IX. Форс-мажорные обстоятельства
9.1. Участник не несет ответственности в случае невыполнения, несвоевременного или ненадлежащего выполнения какого-либо обязательства по настоящему Договору, если указанное невыполнение, несвоевременное или ненадлежащее выполнение обусловлены исключительно наступлением и/или действием следующих обстоятельств (далее - форс-мажорные обстоятельства): обстоятельств непреодолимой силы; сбоев, неисправностей и отказов оборудования; сбоев и ошибок программного обеспечения; сбоев, неисправностей и отказов системы связи, энергосбережения, кондиционирования и других систем жизнеобеспечения, которые Участник не мог ни предвидеть, ни предотвратить.
9.2. Участник, надлежащее исполнение обязательств которого оказалось невозможным в силу влияния форс-мажорных обстоятельств, в течение 3 (трех) рабочих часов после их наступления информирует другого Участника о наступлении этих обстоятельств и об их последствиях любым доступным способом и принимает все возможные меры с целью максимально ограничить отрицательные последствия, вызванные указанными форс-мажорными обстоятельствами.
9.3. Неизвещение или несвоевременное извещение другого Участника Участником, надлежащее исполнение обязательств которого оказалось невозможным в силу влияния форс-мажорных обстоятельств, о наступлении этих обстоятельств влечет за собой утрату права ссылаться на эти обстоятельства.
9.4. Наступление форс-мажорных обстоятельств влечет увеличение срока исполнения обязательств по настоящему Договору на период их действия, если Участники не договорились об ином.
X. Порядок внесения изменений в Договор
10.1. В случае принятия нормативного правового акта уполномоченным государственным органом по вопросам, регулируемым настоящим Договором, соответствующие положения Договора подлежат изменению по инициативе одного из Участников.
10.2. По взаимному согласию Участников в текст Договора могут вноситься изменения и дополнения.
10.3. Все изменения и дополнения к настоящему Договору действительны в том случае, если они оформлены в письменном виде и подписаны уполномоченными представителями Участников, за исключением изменений, внесенных Организатором в приложение к настоящему Договору.
10.4. Организатор вправе в одностороннем порядке внести изменения в приложение к настоящему Договору, о чем уведомляет Субъект отчетности в течение пяти рабочих дней.
XI. Срок действия Договора
11.1. Настоящий Договор вступает в силу с момента его подписания Участниками. Конечным сроком Договор не ограничивается.
11.2. Дата начала обмена юридически значимыми электронными документами определяется датой третьего рабочего дня с даты представления Субъектом отчетности документов, указанных в пункте 6.1.3 настоящего Договора.
11.3. Настоящий Договор может быть расторгнут:
11.3.1. по письменному соглашению Участников;
11.3.2. в случае исключения Субъекта отчетности из Сводного реестра главных распорядителей, распорядителей и получателей средств бюджета Пермского края. При этом Договор считается расторгнутым с момента исключения Субъекта отчетности из Сводного реестра главных распорядителей, распорядителей и получателей средств бюджета Пермского края.
11.4. В случае изменения наименования, адреса или прочих реквизитов Участник уведомляет другого Участника в течение пяти рабочих дней со дня внесения соответствующих изменений.
11.5. Расторжение настоящего Договора не влияет на действительность юридически значимых электронных документов, подписанных ЭП Уполномоченных сотрудников Участников до даты расторжения настоящего Договора.
XII. Заключительные положения
12.1. Настоящий Договор составлен в двух экземплярах, имеющих одинаковую юридическую силу, по одному экземпляру для каждого Участника.
12.2. Приложение к настоящему Договору является его неотъемлемой частью.
12.3. С даты подписания Участниками настоящего Договора договор об обмене электронными документами между участниками юридически значимого электронного документооборота от _________________ N _____ считается расторгнутым.
XIII. Адреса, банковские реквизиты и подписи Участников
КЛИЕНТ
ОРГАНИЗАТОР
_________________________________
_________________________________
________________________________
Министерство финансов Пермского края
614006, г. Пермь, ул. Ленина, д. 51,
ИНН 5902290917, КПП 590201001
ОКВЭД 75.11.21, ОКПО 02292395
ОГРН 1025900070293,
ОКТМО 57701000001
УФК по Пермскому краю (Минфин Пермского края (Министерство финансов Пермского края, л/с 028400252))
р/с 40201810100000000005
Банк: Отделение Пермь, г. Пермь, БИК: 045773001
_________________/_______________ /
М.П.
________________/ ______________/
М.П.
Приложение
к Договору N __
от "___" ____________ 20__ г.
РЕГЛАМЕНТ
применения электронной подписи
I. Общие сведения
Настоящий Регламент определяет порядок применения ЭП, в том числе статусы электронных документов, на которых происходит наложение электронной подписи в электронном документе.
II. Средства применения электронной подписи
При работе с ЮЗЭД принимаются и признаются Сертификаты, изданные УЦ.
Сертификат признается изданным УЦ, если подтверждена подлинность ЭП уполномоченного лица УЦ, которым подписан Сертификат Уполномоченного сотрудника Участника.
Идентификационные данные, занесенные в Сертификат, однозначно идентифицируют владельца сертификата и соответствуют идентификационным данным владельца сертификата, зарегистрированным УЦ.
Для определения статуса Сертификата используется список отозванных сертификатов, издаваемый и публикуемый УЦ в порядке и с периодичностью, определяемой УЦ.
Местом публикации списков отозванных сертификатов принимается адрес информационного ресурса, определенный УЦ.
В качестве средств ЭП используются СКЗИ, сертифицированные в соответствии с действующим законодательством, а также совместимые с Комплексом (согласно требованиям Комплекса) и обеспечивающие:
реализацию функций создания ЭП в электронном документе с использованием ключа;
подтверждение с использованием Сертификата подлинности ЭП в электронном документе;
создание ключей и Сертификатов ЭП.
ЭП хранится отдельно от электронных документов. Формат ЭП определяется рекомендациями RFC 3852 "Cryptographic Message Syntax (CMS)", с учетом использования криптографических алгоритмов ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94 в соответствии с RFC 4490 "Using the GOST 28147-89, GOST R 34.11-94, GOST R 34.10-94, and GOST R 34.10-2001 Algorithms with Cryptographic Message Syntax (CMS)".
III. Перечень электронных документов, включенных
в юридически значимый электронный документооборот
Электронными документами, которые будут считаться юридически значимыми при условии подписания их ЭП (в случае выполнения всех условий равнозначности ЭП собственноручной в соответствии с Федеральным законом 63-ФЗ) и с учетом иных требований настоящего Договора, являются формы бюджетной и сводной бухгалтерской отчетности государственных автономных и бюджетных учреждений, установленные соответствующими приказами Министерства финансов Российской Федерации, Федерального казначейства, а также дополнительные формы бюджетной и бухгалтерской отчетности, установленные соответствующими приказами Организатора (далее - формы отчетности).
Требования к дайджестам определяет Организатор. Участник имеет право быть ознакомленным с составом дайджестов юридически значимых электронных документов.
IV. Правила подписания электронных документов
Руководитель Субъекта отчетности назначает распорядительным документом Уполномоченных сотрудников.
Субъект отчетности после проведения в Комплексе функциональных этапов по вводу данных, проведения расчетов, контроля по логической увязке данных в формах отчетности (внутридокументный, междокументный контроль) устанавливает статус "Утвержден" и подписывает утвержденные формы отчетности. Каждая форма отчетности должна содержать две ЭП: первая подпись - руководитель главного распорядителя средств бюджета Пермского края либо лицо, исполняющее его обязанности, вторая подпись - главный бухгалтер главного распорядителя средств бюджета Пермского края либо лицо, исполняющее его обязанности.
Уполномоченные сотрудники Субъекта отчетности обязуются подписывать юридически значимые электронные документы своей электронной подписью строго в соответствии с правилами подписания, в ином случае электронные документы не считаются юридически значимыми.
V. Перечень ролей, используемых в Комплексе
1
Руководитель
2
Главный бухгалтер
VI. Контроль правил подписания юридически значимых
электронных документов
Контроль правил подписания юридически значимых электронных документов осуществляется организационными методами. Также допускается контроль техническими средствами Комплекса (использование правил проверки в Комплексе). Способы контроля правил подписания определяются Организатором.
Форма 2
ДОГОВОР N _____________
об обмене электронными документами между участниками
юридически значимого электронного документооборота
г. Пермь "___" ____________ 20__ г.
___________________________________________________________________________
(полное наименование Субъекта отчетности)
именуемый в дальнейшем "Субъект отчетности", в лице ___________________
________________________________________________, действующего на основании
___________________________________________, с одной стороны и Министерство
финансов Пермского края, именуемое в дальнейшем "Организатор", в лице
министра финансов Пермского края _________________________________________,
действующего на основании Положения, с другой стороны, в дальнейшем
именуемые "Участники", заключили настоящий Договор об обмене электронными
документами между участниками юридически значимого электронного
документооборота (далее - Договор) о нижеследующем:
I. Термины и определения
В настоящем Договоре применяются следующие термины и определения:
аккредитованный удостоверяющий центр (далее - УЦ) - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон 63-ФЗ), и получившие аккредитацию. Выбор УЦ при работе с Комплексом осуществляется Организатором;
аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона 63-ФЗ;
владелец сертификата ключа проверки электронной подписи (владелец сертификата) - лицо, которому в установленном Федеральным законом 63-ФЗ порядке выдан сертификат ключа проверки электронной подписи;
дайджест - строка неограниченной длины, сформированная на основе данных электронного документа посредством определенных алгоритмов и предназначенная для формирования электронной подписи электронного документа;
журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов (далее - Журнал поэкземплярного учета СКЗИ) - документ, содержащий данные о выданных Уполномоченным сотрудникам ключевых документах;
квалифицированный сертификат ключа проверки электронной подписи (далее - Сертификат) - сертификат ключа проверки электронной подписи, выданный УЦ или доверенным лицом УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи;
ключ электронной подписи (закрытый ключ, ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи;
ключ проверки электронной подписи (открытый ключ) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи;
Комплекс - программный комплекс "СКИФ", разработанный ОАО "Финтех" (далее - разработчик), предназначенный для автоматизации процессов формирования, приема, передачи, обработки и хранения форм отчетности;
ключевой документ - ключевой носитель, содержащий ключ электронной подписи, а при необходимости - контрольную, служебную и технологическую информацию;
ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключа электронной подписи;
Организатор - Министерство финансов Пермского края, осуществляющее прием от Субъекта отчетности, обработку и хранение форм отчетности;
правила подписания - настроечный параметр Комплекса, позволяющий установить права на подписание электронных документов электронной подписью;
регламент применения электронной подписи (далее - Регламент) - документ, определяющий порядок применения усиленной квалифицированной электронной подписи, в том числе статусы электронных документов, на которых происходит наложение электронной подписи в электронном документе;
реестр Сертификатов - перечень Сертификатов Уполномоченных сотрудников Участников;
список отозванных Сертификатов - документ, содержащий список серийных номеров Сертификатов, которые в определенный момент времени были отозваны либо действие которых было приостановлено;
сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи;
средства криптографической защиты информации (далее - СКЗИ) - аппаратные и (или) программные средства, обеспечивающие применение электронной подписи (создание, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи) и (или) шифрование при осуществлении электронного документооборота, а также обеспечивающие защиту информации по утвержденным стандартам и сертифицированные в соответствии с действующим законодательством;
средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи, ключа проверки электронной подписи;
статус электронного документа - атрибут электронного документа, идентифицирующий его состояние по определенному признаку;
Субъект отчетности - Законодательное Собрание Пермского края, Контрольно-счетная палата Пермского края, Избирательная комиссия Пермского края, Уполномоченный по правам человека в Пермском крае, Уполномоченный по защите прав предпринимателей в Пермском крае, осуществляющие формирование и передачу форм отчетности Организатору;
Уполномоченный сотрудник - сотрудник, наделенный полномочиями по подписанию электронной подписью электронных документов в соответствии с утвержденным Регламентом, для которого УЦ выпущен сертификат ключа проверки электронной подписи, отмеченный в Журнале поэкземплярного учета СКЗИ как получивший ключевой носитель. Уполномоченный сотрудник назначается приказом Участника;
усиленная квалифицированная электронная подпись (далее - ЭП) - вид электронной подписи, которая соответствует следующим признакам:
электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
электронная подпись позволяет определить лицо, подписавшее электронный документ;
электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
электронная подпись создается с использованием средств электронной подписи;
ключ проверки электронной подписи указан в Сертификате;
для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ;
Экспертная комиссия - комиссия, разрешающая конфликтные ситуации, связанные с использованием юридически значимого электронного документооборота;
электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию;
электронный документ - отчет, в котором информация представлена в электронной форме в формате Комплекса. Юридическая значимость электронного документа подтверждается ЭП;
юридически значимый электронный документооборот (далее - ЮЗЭД) - документооборот на базе Комплекса, в котором участники ЮЗЭД совершают действия по передаче и приему документов в электронной форме, удостоверенных ЭП, и несут ответственность за совершение либо несовершение этих действий.
II. Предмет Договора
Настоящий Договор определяет условия и порядок обмена юридически значимыми электронными документами между Участниками на базе Комплекса, а также права и обязанности Участников, возникающие при обмене юридически значимыми электронными документами на базе Комплекса.
III. Общие положения
3.1. Участники осуществляют передачу и прием юридически значимых электронных документов на базе Комплекса по телекоммуникационным каналам связи. ЮЗЭД осуществляется с применением усиленной квалифицированной электронной подписи.
3.2. С целью обеспечения авторства, целостности и конфиденциальности электронных документов при информационном взаимодействии Участники используют сертифицированные СКЗИ.
3.3. Используемые при информационном взаимодействии Участников электронные документы с ЭП, сформированной Участниками средствами СКЗИ, имеют равную юридическую силу с документами на бумажном носителе, подписанными соответствующими собственноручными подписями Уполномоченных сотрудников Участников. При этом для их ЭП соблюдены следующие условия:
сертификаты изданы УЦ и не утратили силу (действуют) на момент проверки или на момент подписания электронного документа;
ЭП используется в соответствии со сведениями, указанными в Сертификате.
3.4. Участники признают, что используемые при ЮЗЭД в Комплексе СКЗИ, реализующие функции создания ЭП, достаточны для подтверждения следующего:
электронный документ исходит от Субъекта отчетности, его составившего (подтверждение авторства отправленного электронного документа);
электронный документ не претерпел изменений в процессе передачи (подтверждение целостности и подлинности электронного документа).
3.5. Организатор оставляет за собой право обновлять версию Комплекса с дальнейшей эксплуатацией ЮЗЭД на обновленной версии без предварительных уведомлений Субъекта отчетности.
IV. Права и обязанности Участников
4.1. Организатор обязан:
4.1.1. Обеспечить функционирование Комплекса, а также обеспечить другой необходимой информацией для предоставления Субъекту отчетности возможности передачи юридически значимых электронных документов Организатору.
4.1.2. При внесении изменений в Регламент (приложение к настоящему Договору) провести настройки серверной части Комплекса.
4.1.3. Немедленно уведомить Субъекта отчетности любым доступным способом в случаях выявления:
4.1.3.1. ошибок в работе Комплекса при работе с ЭП (подписания ЭП, проверки ЭП и др.);
4.1.3.2. ошибок, возникающих в связи с попытками нарушения информационной безопасности.
4.1.4. Вести актуальный реестр сертификатов Уполномоченных сотрудников Участников на основе принятых сертификатов и списка отозванных сертификатов от Субъекта отчетности.
4.1.5. При условии соответствия электронных документов признакам и требованиям к юридически значимым электронным документам, указанным в Регламенте, принять от Субъекта отчетности электронный документ для дальнейшей проверки в соответствии с приказами Организатора.
4.1.6. Предоставить Субъекту отчетности перечень форм отчетности, установленных нормативными правовыми актами Российской Федерации и Пермского края, подписываемых ЭП.
4.2. Организатор имеет право:
4.2.1. В случае несоответствия электронного документа признакам и требованиям к юридически значимым электронным документам отказать Субъекту отчетности в приеме электронного документа с указанием мотивированной причины отказа.
4.2.2. Приостановить осуществление ЮЗЭД при:
4.2.2.1. несоблюдении Субъектом отчетности требований по передаче ЭД и обеспечению информационной безопасности в соответствии с настоящим Договором;
4.2.2.2. разрешении спорных ситуаций;
4.2.2.3. выполнении неотложных аварийных и ремонтно-восстановительных работ Комплекса.
4.2.3. На урегулирование вопросов в случае возникновения конфликтных ситуаций.
4.2.4. Вносить изменения в Регламент в соответствии с требованиями разработчика Комплекса.
4.3. Субъект отчетности обязан:
4.3.1. Обеспечить функционирование Комплекса на рабочем месте Субъекта отчетности, установить СКЗИ, указанные Организатором, на компьютерах Уполномоченных сотрудников для обеспечения работоспособности ЮЗЭД.
4.3.2. Обеспечить всеми необходимыми средствами (сертифицированные СКЗИ, сертификаты, ключевые носители и т.д.) Уполномоченных сотрудников Субъекта отчетности.
4.3.3. Выполнять требования УЦ в соответствии с порядком УЦ и другими документами, регламентирующими процесс взаимодействия УЦ и пользователей услуг УЦ.
4.3.4. Назначить сотрудника, ответственного за эксплуатацию СКЗИ и ведение Журнала поэкземплярного учета СКЗИ, и Уполномоченных сотрудников.
4.3.5. Передавать Организатору электронные документы, оформленные в соответствии с Регламентом.
4.3.6. В целях обеспечения безопасности обработки и передачи юридически значимых электронных документов:
4.3.6.1. соблюдать требования, изложенные в разделе V настоящего Договора, и требования Положения о порядке работы со СКЗИ, утвержденного приказом Организатора;
4.3.6.2. соблюдать требования эксплуатационной документации на используемые СКЗИ;
4.3.6.3. соблюдать требования законодательства Российской Федерации в области использования ЭП;
4.3.6.4. прекратить использование ЭП в случае компрометации ключа и немедленно любым доступным способом информировать Организатора и УЦ об указанном факте;
4.3.6.5. хранить ключевой документ в месте, исключающем доступ неуполномоченных лиц и/или возможность его повреждения.
4.3.7. В случае невозможности исполнения обязательств по настоящему Договору немедленно известить Организатора о приостановлении взаимных обязательств.
4.3.8. При возникновении споров, связанных с принятием или непринятием электронных документов, подписанных ЭП, входящих в перечень юридически значимых электронных документов, руководствоваться Порядком разбора конфликтных ситуаций, утвержденным приказом Организатора. Способ разрешения конфликтных ситуаций устанавливает Организатор.
4.3.9. По первому требованию предоставить Организатору заверенные печатью и подписями Уполномоченных сотрудников Субъекта отчетности электронные документы, распечатанные по формам отчетности, входящие в перечень юридически значимых электронных документов.
4.3.10. Заменить Сертификат в порядке, предусмотренном УЦ, в следующих случаях:
4.3.10.1. смены Уполномоченных сотрудников Субъекта отчетности;
4.3.10.2. изменения данных, идентифицирующих Уполномоченного сотрудника Субъекта отчетности;
4.3.10.3. смены ключей ЭП;
4.3.10.4. компрометации ключей ЭП.
4.3.11. Немедленно уведомить Организатора любым доступным способом о случаях:
4.3.11.1. возникновения угрозы использования (копирования) иными лицами ключа ЭП, принадлежащего Уполномоченному сотруднику Субъекта отчетности;
4.3.11.2. утраты ключевого документа Уполномоченного сотрудника Субъекта отчетности;
4.3.11.3. изменения состава Уполномоченных сотрудников Субъекта отчетности, обладающих правом использования ключей ЭП.
4.4. Субъект отчетности имеет право:
4.4.1. требовать от Организатора принятия от Субъекта отчетности электронных документов;
4.4.2. на урегулирование вопросов в случае возникновения конфликтных ситуаций.
V. Безопасность эксплуатации СКЗИ в Комплексе
5.1. СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету.
5.2. Поэкземплярный учет СКЗИ, эксплуатационной и технической документации к ним, ключевых документов ведет ответственный за эксплуатацию СКЗИ сотрудник Субъекта отчетности в Журнале поэкземплярного учета СКЗИ. Ответственный за эксплуатацию СКЗИ и форма поэкземплярного учета СКЗИ утверждаются приказом Субъекта отчетности. При этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их эксплуатация.
5.3. Единицей поэкземплярного учета ключей ЭП считается ключевой носитель многократного использования. В случае когда один и тот же ключевой носитель многократно используют для записи ключей ЭП, то каждый раз он подлежит отдельной регистрации.
5.4. Дистрибутивы СКЗИ, эксплуатационная и техническая документация к СКЗИ хранятся у ответственного за эксплуатацию СКЗИ сотрудника Субъекта отчетности. Ключи ЭП хранятся у Уполномоченных сотрудников. Хранение осуществляется в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
5.5. Ключевые документы с неработоспособными ключами ЭП ответственный за эксплуатацию СКЗИ сотрудник Субъекта отчетности принимает у Уполномоченного сотрудника под роспись в Журнале поэкземплярного учета СКЗИ.
5.6. В Комплексе используется СКЗИ с открытым распределением ключей.
5.7. Подписание электронного документа ЭП осуществляется с использованием только того ключа ЭП, для которого выдан Сертификат Уполномоченного сотрудника.
5.8. Уполномоченный сотрудник Субъекта отчетности несет ответственность за отсутствие на компьютере, на котором осуществляется эксплуатация ЮЗЭД, посторонних программ (вирусов и т.д.), способствующих нарушению функционирования ЮЗЭД.
5.9. При обнаружении на компьютере, на котором осуществляется эксплуатация ЮЗЭД, посторонних программ (вирусов и т.д.) эксплуатация ЮЗЭД на этом компьютере должна быть прекращена для дальнейшей организации мероприятий по анализу и ликвидации посторонних программ и возможных последствий.
5.10. Действия в случае компрометации ключей ЭП:
5.10.1. К событиям, связанным с компрометацией ключей ЭП, относится следующее:
утрата ключевых носителей, содержащих ключи ЭП;
потеря ключевых носителей, содержащих ключи ЭП, с их последующим обнаружением;
хищение ключевых носителей, содержащих ключи ЭП;
разглашение содержимого ключевых носителей, содержащих ключи ЭП;
несанкционированное копирование содержимого ключевых носителей, содержащих ключи ЭП;
нарушение правил хранения и уничтожения (после окончания срока действия ключевых носителей, содержащих ключи ЭП);
возникновение подозрений об утечке содержимого ключевых носителей, содержащих ключи ЭП, или ее искажение в Комплексе;
нарушение печати на сейфе или замка сейфа, в котором хранятся ключевые носители, содержащие ключи ЭП;
невозможность достоверного установления того, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленников);
любые другие виды разглашения содержимого ключевых носителей, содержащих ключи ЭП, в результате которых ключи ЭП могут стать доступными посторонним лицам и (или) процессам.
5.10.2. Уполномоченный сотрудник Субъекта отчетности самостоятельно определяет факт компрометации ключа ЭП и оценивает значение этого события. Мероприятия по розыску и локализации последствий компрометации ключа ЭП организует и осуществляет Субъект отчетности с участием владельца скомпрометированного ключа ЭП.
5.10.3. В случае установления факта компрометации ключа ЭП Уполномоченный сотрудник Субъекта отчетности обязан незамедлительно прекратить эксплуатацию ключа ЭП в Комплексе и уведомить Организатора, а также УЦ по телекоммуникационным каналам связи.
В течение 30 (тридцати) минут после поступления сообщения о компрометации ключа ЭП Организатор обеспечивает прекращение работы Уполномоченного сотрудника Субъекта отчетности в Комплексе и использование соответствующего Сертификата в ЮЗЭД на базе Комплекса.
Возобновление работы Уполномоченного сотрудника Субъекта отчетности в Комплексе происходит только после замены скомпрометированного ключа.
Для получения новых ключей ЭП Уполномоченный сотрудник Субъекта отчетности должен руководствоваться порядком получения ключей ЭП, установленным УЦ.
5.11. Уполномоченному сотруднику Субъекта отчетности запрещается:
5.11.1. осуществлять несанкционированное копирование ключей ЭП;
5.11.2. разглашать содержимое ключевого документа или передавать сами ключевые документы лицам, к ним не допущенным, оставлять без присмотра ключевой документ, выводить содержимое ключевого документа на дисплей или принтер;
5.11.3. вставлять ключевые документы в устройства считывания в режимах, не предусмотренных штатным режимом работы СКЗИ, а также в устройства считывания других аппаратных средств;
5.11.4. записывать на ключевой носитель постороннюю информацию, использовать ключевой носитель на неисправных устройствах считывания информации;
5.11.5. вносить какие-либо изменения в программное обеспечение СКЗИ.
VI. Предоставление документов при вводе в действие
и дальнейшей работе в ЮЗЭД на базе Комплекса
6.1. Предоставление документов при вводе в действие ЮЗЭД на базе Комплекса:
6.1.1. Субъект отчетности в соответствии с документацией к Комплексу устанавливает СКЗИ на компьютерах Уполномоченных сотрудников.
6.1.2. Уполномоченные сотрудники Субъекта отчетности получают от УЦ средства ЭП: Сертификаты, ключи ЭП. Порядок получения Сертификатов, ключей ЭП устанавливает УЦ.
6.1.3. При заключении настоящего Договора Субъект отчетности предоставляет Организатору:
копию приказа Субъекта отчетности о назначении Уполномоченных сотрудников с указанием ролей в соответствии с приложением к настоящему Договору, заверенную уполномоченным лицом Субъекта отчетности;
полученные от УЦ Сертификаты Уполномоченных сотрудников Субъекта отчетности в электронном виде на электронную почту supportweb@fin.permregion.ru, с указанием темы письма: "Сертификаты СКИФ код Субъекта отчетности".
6.2. Предоставление документов при дальнейшей работе в ЮЗЭД на базе Комплекса:
6.2.1. В случае изменения ФИО, должности, списочного состава Уполномоченных сотрудников Субъекта отчетности, наименования Субъекта отчетности Субъект отчетности обязан в течение трех рабочих дней, в зависимости от ситуации, представить Организатору:
копию приказа Субъекта отчетности о назначении Уполномоченных сотрудников, с указанием ролей в соответствии с приложением к настоящему Договору, заверенную уполномоченным лицом Субъекта отчетности;
копию заявлений на аннулирование (отзыв) Сертификата по форме, согласно порядку УЦ, заверенную уполномоченным лицом Субъекта отчетности;
полученные от УЦ Сертификаты Уполномоченных сотрудников Субъекта отчетности в электронном виде на электронную почту supportweb@fin.permregion.ru, с указанием темы письма: "Сертификаты СКИФ трехзначный код Субъекта отчетности".
6.2.2. В случае планового перевыпуска Сертификатов Субъект отчетности в течение трех рабочих дней представляет Организатору полученные от УЦ Сертификаты Уполномоченных сотрудников Субъекта отчетности в электронном виде на электронную почту supportweb@fin.permregion.ru, с указанием темы письма: "Сертификаты СКИФ трехзначный код Субъекта отчетности".
6.2.3. В случае изменения адреса электронной почты Организатор в течение двух рабочих дней сообщает Клиенту новый адрес электронной почты для предоставления Сертификатов. Информация о смене адреса электронной почты размещается на сайте Организатора http://mfin.permkrai.ru/ в разделе "Методические рекомендации" - "ПО СКИФ".
6.3. Организатор после предоставления Субъектом отчетности документов, указанных в пунктах 6.1.3, 6.2.1 настоящего Договора, и Сертификатов Уполномоченных сотрудников, указанных в пункте 6.2.2 настоящего Договора, в течение трех рабочих дней вводит в действие Сертификаты Уполномоченных сотрудников Субъекта отчетности (вносит в реестр Сертификатов).
6.4. Организатор уведомляет Субъект отчетности о внесении Сертификатов Уполномоченных сотрудников Субъекта отчетности посредством электронной почты.
VII. Ответственность Участников
7.1. Участники несут ответственность за действия своих Уполномоченных сотрудников при осуществлении ЮЗЭД в рамках настоящего Договора.
7.2. За неисполнение или ненадлежащее исполнение Участниками своих обязательств по настоящему Договору Участники несут ответственность в соответствии с законодательством Российской Федерации.
7.3. Участник не отвечает за неисполнение или ненадлежащее выполнение своих обязательств по настоящему Договору, если это было вызвано действиями (бездействием) другого Участника.
7.4. При использовании телекоммуникационных каналов связи и передачи данных Участники не несут ответственности за возможные временные задержки при доставке юридически значимых электронных документов, произошедшие не по их вине.
VIII. Разрешение конфликтных ситуаций
8.1. Все споры и разногласия, которые могут возникнуть в связи с применением, нарушением, толкованием настоящего Договора, признанием недействительным настоящего Договора или его части, Участники будут стремиться разрешить, используя переговоры и иные механизмы урегулирования споров и разногласий.
8.2. В случаях, когда конфликтная ситуация не урегулирована в результате переговоров и работы Экспертной комиссии, созданной в соответствии с Порядком разбора конфликтных ситуаций, утвержденным приказом Организатора, Участники обращаются в Арбитражный суд Пермского края.
IX. Форс-мажорные обстоятельства
9.1. Участник не несет ответственности в случае невыполнения, несвоевременного или ненадлежащего выполнения какого-либо обязательства по настоящему Договору, если указанное невыполнение, несвоевременное или ненадлежащее выполнение обусловлены исключительно наступлением и/или действием следующих обстоятельств (далее - форс-мажорные обстоятельства): обстоятельств непреодолимой силы; сбоев, неисправностей и отказов оборудования; сбоев и ошибок программного обеспечения; сбоев, неисправностей и отказов системы связи, энергосбережения, кондиционирования и других систем жизнеобеспечения, которые Участник не мог ни предвидеть, ни предотвратить.
9.2. Участник, надлежащее исполнение обязательств которого оказалось невозможным в силу влияния форс-мажорных обстоятельств, в течение 3 (трех) рабочих часов после их наступления информирует другого Участника о наступлении этих обстоятельств и об их последствиях любым доступным способом и принимает все возможные меры с целью максимально ограничить отрицательные последствия, вызванные указанными форс-мажорными обстоятельствами.
9.3. Неизвещение или несвоевременное извещение другого Участника Участником, надлежащее исполнение обязательств которого оказалось невозможным в силу влияния форс-мажорных обстоятельств, о наступлении этих обстоятельств влечет за собой утрату права ссылаться на эти обстоятельства.
9.4. Наступление форс-мажорных обстоятельств влечет увеличение срока исполнения обязательств по настоящему Договору на период их действия, если Участники не договорились об ином.
X. Порядок внесения изменений в Договор
10.1. В случае принятия нормативного правового акта уполномоченным государственным органом по вопросам, регулируемым настоящим Договором, соответствующие положения Договора подлежат изменению по инициативе одного из Участников.
10.2. По взаимному согласию Участников в текст Договора могут вноситься изменения и дополнения.
10.3. Все изменения и дополнения к настоящему Договору действительны в том случае, если они оформлены в письменном виде и подписаны уполномоченными представителями Участников, за исключением изменений, внесенных Организатором в приложение к настоящему Договору.
10.4. Организатор вправе в одностороннем порядке внести изменения в приложение к настоящему Договору, о чем уведомляет Субъект отчетности в течение пяти рабочих дней.
XI. Срок действия Договора
11.1. Настоящий Договор вступает в силу с момента его подписания Участниками. Конечным сроком Договор не ограничивается.
11.2. Дата начала обмена юридически значимыми электронными документами определяется датой третьего рабочего дня с даты представления Субъектом отчетности документов, указанных в пункте 6.1.3 настоящего Договора.
11.3. Настоящий Договор может быть расторгнут:
11.3.1. по письменному соглашению Участников;
11.3.2. в случае исключения Субъекта отчетности из Сводного реестра главных распорядителей, распорядителей и получателей средств бюджета Пермского края. При этом Договор считается расторгнутым с момента исключения Субъекта отчетности из Сводного реестра главных распорядителей, распорядителей и получателей средств бюджета Пермского края.
11.4. В случае изменения наименования, адреса или прочих реквизитов Участник уведомляет другого Участника в течение пяти рабочих дней со дня внесения соответствующих изменений.
11.5. Расторжение настоящего Договора не влияет на действительность юридически значимых электронных документов, подписанных ЭП Уполномоченных сотрудников Участников до даты расторжения настоящего Договора.
XII. Заключительные положения
12.1. Настоящий Договор составлен в двух экземплярах, имеющих одинаковую юридическую силу, по одному экземпляру для каждого Участника.
12.2. Приложение к настоящему Договору является его неотъемлемой частью.
12.3. С даты подписания Участниками настоящего Договора договор об обмене электронными документами между участниками юридически значимого электронного документооборота от _________________ N _____ считается расторгнутым.
XIII. Адреса, банковские реквизиты и подписи Участников
КЛИЕНТ
ОРГАНИЗАТОР
_________________________________
_________________________________
_________________________________
Министерство финансов Пермского края
614006, г. Пермь, ул. Ленина, д. 51,
ИНН 5902290917, КПП 590201001
ОКВЭД 75.11.21, ОКПО 02292395
ОГРН 1025900070293,
ОКТМО 57701000001
УФК по Пермскому краю (Минфин Пермского края (Министерство финансов Пермского края, л/с 028400252))
р/с 40201810100000000005
Банк: Отделение Пермь, г. Пермь, БИК: 045773001
__________________/_______________
М.П.
________________/ ______________/
М.П.
Приложение
к Договору N __
от "___" __________ 20__ г.
РЕГЛАМЕНТ
применения электронной подписи
I. Общие сведения
Настоящий Регламент определяет порядок применения ЭП, в том числе статусы электронных документов, на которых происходит наложение электронной подписи в электронном документе.
II. Средства применения электронной подписи
При работе с ЮЗЭД принимаются и признаются Сертификаты, изданные УЦ.
Сертификат признается изданным УЦ, если подтверждена подлинность ЭП уполномоченного лица УЦ, которым подписан Сертификат Уполномоченного сотрудника Участника.
Идентификационные данные, занесенные в Сертификат, однозначно идентифицируют владельца сертификата и соответствуют идентификационным данным владельца сертификата, зарегистрированным УЦ.
Для определения статуса Сертификата используется список отозванных сертификатов, издаваемый и публикуемый УЦ в порядке и с периодичностью, определяемой УЦ.
Местом публикации списков отозванных сертификатов принимается адрес информационного ресурса, определенный УЦ.
В качестве средств ЭП используются СКЗИ, сертифицированные в соответствии с действующим законодательством, а также совместимые с Комплексом (согласно требованиям Комплекса) и обеспечивающие:
реализацию функций создания ЭП в электронном документе с использованием ключа;
подтверждение с использованием Сертификата подлинности ЭП в электронном документе;
создание ключей и Сертификатов ЭП.
ЭП хранится отдельно от электронных документов. Формат ЭП определяется рекомендациями RFC 3852 "Cryptographic Message Syntax (CMS)", с учетом использования криптографических алгоритмов ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94 в соответствии с RFC 4490 "Using the GOST 28147-89, GOST R 34.11-94, GOST R 34.10-94, and GOST R 34.10-2001 Algorithms with Cryptographic Message Syntax (CMS)".
III. Перечень электронных документов, включенных
в юридически значимый электронный документооборот
Электронными документами, которые будут считаться юридически значимыми при условии подписания их ЭП (в случае выполнения всех условий равнозначности ЭП собственноручной в соответствии с Федеральным законом 63-ФЗ) и с учетом иных требований настоящего Договора, являются формы бюджетной и сводной бухгалтерской отчетности государственных автономных и бюджетных учреждений, установленные соответствующими приказами Министерства финансов Российской Федерации, Федерального казначейства, а также дополнительные формы бюджетной и бухгалтерской отчетности, установленные соответствующими приказами Организатора (далее - формы отчетности).
Требования к дайджестам определяет Организатор. Участник имеет право быть ознакомленным с составом дайджестов юридически значимых электронных документов.
IV. Правила подписания электронных документов
Руководитель Субъекта отчетности назначает распорядительным документом Уполномоченных сотрудников.
Субъект отчетности после проведения в Комплексе функциональных этапов по вводу данных, проведения расчетов, контроля по логической увязке данных в формах отчетности (внутридокументный, междокументный контроль) устанавливает статус "Утвержден" и подписывает утвержденные формы отчетности. Каждая форма отчетности должна содержать две ЭП: первая подпись - руководитель Субъекта отчетности либо лицо, исполняющее его обязанности, вторая подпись - главный бухгалтер Субъекта отчетности либо лицо, исполняющее его обязанности.
Уполномоченные сотрудники Субъекта отчетности обязуются подписывать юридически значимые электронные документы своей электронной подписью строго в соответствии с правилами подписания, в ином случае электронные документы не считаются юридически значимыми.
V. Перечень ролей, используемых в Комплексе
1
Руководитель
2
Главный бухгалтер
VI. Контроль правил подписания юридически значимых
электронных документов
Контроль правил подписания юридически значимых электронных документов осуществляется организационными методами. Также допускается контроль техническими средствами Комплекса (использование правил проверки в Комплексе). Способы контроля правил подписания определяются Организатором.
Форма 3
ДОГОВОР N ____________
об обмене электронными документами между участниками
юридически значимого электронного документооборота
г. Пермь "___" ____________ 20__ г.
___________________________________________________________________________
(полное наименование финансового органа)
именуемое(ый) в дальнейшем "Субъект отчетности", в лице _______________
__________________________________________________________, действующего на
основании ______________________________________________, с одной стороны и
Министерство финансов Пермского края, именуемое в дальнейшем "Организатор",
в лице министра финансов Пермского края __________________________________,
действующего на основании Положения, с другой стороны, в дальнейшем
именуемые "Участники", заключили настоящий Договор об обмене электронными
документами между участниками юридически значимого электронного
документооборота (далее - Договор) о нижеследующем:
I. Термины и определения
В настоящем Договоре применяются следующие термины и определения:
аккредитованный удостоверяющий центр (далее - УЦ) - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон 63-ФЗ), и получившие аккредитацию. Выбор УЦ при работе с Комплексом осуществляется Организатором;
аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона 63-ФЗ;
владелец сертификата ключа проверки электронной подписи (владелец сертификата) - лицо, которому в установленном Федеральным законом 63-ФЗ порядке выдан сертификат ключа проверки электронной подписи;
дайджест - строка неограниченной длины, сформированная на основе данных электронного документа посредством определенных алгоритмов и предназначенная для формирования электронной подписи электронного документа;
журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов (далее - Журнал поэкземплярного учета СКЗИ) - документ, содержащий данные о выданных Уполномоченным сотрудникам ключевых документах;
информационная система электронного документооборота (далее - ИСЭД) - интегрированная система электронного документооборота, архива и управления потоками работ аппарата Правительства Пермского края, использующаяся у Организатора и у Субъекта отчетности для обмена документами в электронном виде (письма, служебные записки, приказы и т.д.);
квалифицированный сертификат ключа проверки электронной подписи (далее - Сертификат) - сертификат ключа проверки электронной подписи, выданный УЦ или доверенным лицом УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи;
ключ электронной подписи (закрытый ключ, ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи;
ключ проверки электронной подписи (открытый ключ) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи;
Комплекс - программный комплекс "СКИФ", разработанный ОАО "Финтех" (далее - разработчик), предназначенный для автоматизации процессов формирования, приема, передачи, обработки и хранения форм отчетности. У Организатора и у каждого Субъекта отчетности установлен свой экземпляр Комплекса;
ключевой документ - ключевой носитель, содержащий ключ электронной подписи, а при необходимости - контрольную, служебную и технологическую информацию;
ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключа электронной подписи;
Организатор - Министерство финансов Пермского края, осуществляющее прием от Субъекта отчетности, обработку и хранение форм отчетности, в своем экземпляре Комплекса;
правила подписания - настроечный параметр Комплекса, позволяющий установить права на подписание электронных документов электронной подписью;
регламент применения электронной подписи (далее - Регламент) - документ, определяющий порядок применения усиленной квалифицированной электронной подписи, в том числе статусы электронных документов, на которых происходит наложение электронной подписи в электронном документе;
реестр Сертификатов - перечень Сертификатов Уполномоченных сотрудников Участников;
список отозванных Сертификатов - документ, содержащий список серийных номеров Сертификатов, которые в определенный момент времени были отозваны либо действие которых было приостановлено;
сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи;
средства криптографической защиты информации (далее - СКЗИ) - аппаратные и (или) программные средства, обеспечивающие применение электронной подписи (создание, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи) и (или) шифрование при осуществлении электронного документооборота, а также обеспечивающие защиту информации по утвержденным стандартам и сертифицированные в соответствии с действующим законодательством;
средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи, ключа проверки электронной подписи;
статус электронного документа - атрибут электронного документа, идентифицирующий его состояние по определенному признаку;
Субъект отчетности - финансовый орган муниципального района (городского округа) Пермского края, осуществляющий формирование и передачу Организатору, обработку и хранение форм отчетности в своем экземпляре Комплекса;
Уполномоченный сотрудник - сотрудник, наделенный полномочиями по подписанию электронной подписью электронных документов в соответствии с утвержденным Регламентом, для которого УЦ выпущен сертификат ключа проверки электронной подписи, отмеченный в Журнале поэкземплярного учета СКЗИ как получивший ключевой носитель. Уполномоченный сотрудник назначается приказом Участника;
усиленная квалифицированная электронная подпись (далее - ЭП) - вид электронной подписи, которая соответствует следующим признакам:
электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
электронная подпись позволяет определить лицо, подписавшее электронный документ;
электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
электронная подпись создается с использованием средств электронной подписи;
ключ проверки электронной подписи указан в Сертификате;
для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ;
Экспертная комиссия - комиссия, разрешающая конфликтные ситуации, связанные с использованием юридически значимого электронного документооборота;
электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию;
электронный документ - отчет, в котором информация представлена в электронной форме в формате Комплекса. Юридическая значимость электронного документа подтверждается ЭП;
юридически значимый электронный документооборот (далее - ЮЗЭД) - документооборот на базе Комплекса, в котором участники ЮЗЭД совершают действия по передаче и приему документов в электронной форме, удостоверенных ЭП, и несут ответственность за совершение либо несовершение этих действий.
II. Предмет Договора
Настоящий Договор определяет условия и порядок обмена юридически значимыми электронными документами между Участниками на базе Комплекса, а также права и обязанности Участников, возникающие при обмене юридически значимыми электронными документами на базе Комплекса.
III. Общие положения
3.1. Участники осуществляют передачу и прием юридически значимых электронных документов на базе Комплекса по телекоммуникационным каналам связи. ЮЗЭД осуществляется с применением усиленной квалифицированной электронной подписи.
3.2. С целью обеспечения авторства, целостности и конфиденциальности электронных документов при информационном взаимодействии Участники используют сертифицированные СКЗИ.
3.3. Используемые при информационном взаимодействии Участников электронные документы с ЭП, сформированной Участниками средствами СКЗИ, имеют равную юридическую силу с документами на бумажном носителе, подписанными соответствующими собственноручными подписями Уполномоченных сотрудников Участников. При этом для их ЭП соблюдены следующие условия:
сертификаты изданы УЦ и не утратили силу (действуют) на момент проверки или на момент подписания электронного документа;
ЭП используется в соответствии со сведениями, указанными в Сертификате.
3.4. Участники признают, что используемые при ЮЗЭД в Комплексе СКЗИ, реализующие функции создания ЭП, достаточны для подтверждения следующего:
электронный документ исходит от Субъекта отчетности, его передавшего (подтверждение авторства отправленного электронного документа);
электронный документ не претерпел изменений в процессе передачи (подтверждение целостности и подлинности электронного документа).
3.5. Организатор оставляет за собой право обновлять версию Комплекса с дальнейшей эксплуатацией ЮЗЭД на обновленной версии без предварительных уведомлений Субъекта отчетности.
IV. Права и обязанности Участников
4.1. Организатор обязан:
4.1.1. Обеспечить функционирование своего экземпляра Комплекса.
4.1.2. Предоставить Субъекту отчетности адрес электронной почты либо адрес общедоступного файлового сервера для предоставления электронных документов.
4.1.3. При внесении изменении в Регламент (приложение к настоящему Договору) провести настройки своего экземпляра Комплекса.
4.1.4. Немедленно уведомить Субъекта отчетности любым доступным способом в случаях выявления:
4.1.4.1. ошибок в работе Комплекса при работе с ЭП (подписания ЭП, проверки ЭП и др.);
4.1.4.2. ошибок, возникающих в связи с попытками нарушения информационной безопасности.
4.1.5. Вести актуальный реестр Сертификатов Уполномоченных сотрудников Участников на основе принятых сертификатов и списка отозванных сертификатов от Субъекта отчетности.
4.1.6. При условии соответствия электронных документов признакам и требованиям к юридически значимым электронным документам, указанным в Регламенте, принять от Субъекта отчетности электронный документ для дальнейшей проверки в соответствии с приказами Организатора.
4.1.7. Передавать Субъекту отчетности электронные сообщения (протоколы), подтверждающие получение электронных документов.
4.1.8. Предоставить Субъекту отчетности перечень форм отчетности, установленных нормативными правовыми актами Российской Федерации и Пермского края, подписываемых ЭП.
4.2. Организатор имеет право:
4.2.1. В случае несоответствия электронного документа признакам и требованиям к юридически значимым электронным документам отказать Субъекту отчетности в приеме электронного документа с указанием мотивированной причины отказа.
4.2.2. Приостановить осуществление ЮЗЭД при:
4.2.2.1. несоблюдении Субъектом отчетности требований по передаче ЭД и обеспечению информационной безопасности в соответствии с настоящим Договором;
4.2.2.2. разрешении спорных ситуаций;
4.2.2.3. выполнении неотложных аварийных и ремонтно-восстановительных работ Комплекса.
4.2.3. Вносить изменения в Регламент в соответствии с требованиями разработчика Комплекса.
4.2.4. На урегулирование вопросов в случае возникновения конфликтных ситуаций.
4.3. Субъект отчетности обязан:
4.3.1. Обеспечить функционирование своего экземпляра Комплекса;
4.3.2. Установить СКЗИ, указанные Организатором, на компьютерах Уполномоченных сотрудников для обеспечения работоспособности ЮЗЭД;
4.3.3. Обеспечить всеми необходимыми средствами (сертифицированные СКЗИ, сертификаты, ключевые носители и т.д.) Уполномоченных сотрудников Субъекта отчетности;
4.3.4. Выполнять требования УЦ в соответствии с порядком УЦ и другими документами, регламентирующими процесс взаимодействия УЦ и пользователей услуг УЦ;
4.3.5. Назначить сотрудника, ответственного за эксплуатацию СКЗИ и ведение Журнала поэкземплярного учета СКЗИ, и Уполномоченных сотрудников;
4.3.6. Передавать Организатору электронные документы, оформленные в соответствии с Регламентом, и получать от Организатора электронные сообщения (протоколы), подтверждающие получение электронных документов;
4.3.7. Предоставить Организатору адрес электронной почты Субъекта отчетности для предоставления электронных сообщений (протоколов) и своевременно сообщать о его изменении посредством направления письма Организатору посредством ИСЭД;
4.3.8. В целях обеспечения безопасности обработки и передачи юридически значимых электронных документов:
4.3.8.1. соблюдать требования, изложенные в разделе V настоящего Договора, и требования Положения о порядке работы со СКЗИ, утвержденного приказом Организатора;
4.3.8.2. соблюдать требования эксплуатационной документации на используемые СКЗИ;
4.3.8.3. соблюдать требования законодательства Российской Федерации в области использования ЭП;
4.3.8.4. прекратить использование ЭП в случае компрометации ключа и немедленно любым доступным способом информировать Организатора и УЦ об указанном факте;
4.3.8.5. хранить ключевой документ в месте, исключающем доступ неуполномоченных лиц и/или возможность его повреждения;
4.3.9. В случае невозможности исполнения обязательств по настоящему Договору немедленно известить Организатора о приостановлении взаимных обязательств;
4.3.10. При возникновении споров, связанных с принятием или непринятием электронных документов, подписанных ЭП, входящих в перечень юридически значимых электронных документов, руководствоваться Порядком разбора конфликтных ситуаций, утвержденным приказом Организатора. Способ разрешения конфликтных ситуаций устанавливает Организатор;
4.3.11. По первому требованию предоставить Организатору заверенные печатью и подписями Уполномоченных сотрудников Субъекта отчетности электронные документы, распечатанные по формам отчетности, входящие в перечень юридически значимых электронных документов;
4.3.12. Заменить Сертификат в порядке, предусмотренном УЦ, в следующих случаях:
4.3.12.1. смены Уполномоченных сотрудников Субъекта отчетности;
4.3.12.2. изменения данных, идентифицирующих Уполномоченного сотрудника Субъекта отчетности;
4.3.12.3. смены ключей ЭП;
4.3.12.4. компрометации ключей ЭП;
4.3.13. Немедленно уведомить Организатора любым доступным способом о случаях:
4.3.13.1. возникновения угрозы использования (копирования) иными лицами ключа ЭП, принадлежащего Уполномоченному сотруднику Субъекта отчетности;
4.3.13.2. утраты ключевого документа Уполномоченного сотрудника Субъекта отчетности;
4.3.13.3. изменения состава Уполномоченных сотрудников Субъекта отчетности, обладающих правом использования ключей ЭП.
4.4. Субъект отчетности имеет право:
4.4.1. требовать от Организатора принятия от Субъекта отчетности электронных документов;
4.4.2. на урегулирование вопросов в случае возникновения конфликтных ситуаций.
V. Безопасность эксплуатации СКЗИ в Комплексе
5.1. СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету.
5.2. Поэкземплярный учет СКЗИ, эксплуатационной и технической документации к ним, ключевых документов ведет ответственный за эксплуатацию СКЗИ сотрудник Субъекта отчетности в Журнале поэкземплярного учета СКЗИ. Ответственный за эксплуатацию СКЗИ и форма поэкземплярного учета СКЗИ утверждаются приказом Субъекта отчетности. При этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их эксплуатация.
5.3. Единицей поэкземплярного учета ключей ЭП считается ключевой носитель многократного использования. В случае когда один и тот же ключевой носитель многократно используют для записи ключей ЭП, то каждый раз он подлежит отдельной регистрации.
5.4. Дистрибутивы СКЗИ, эксплуатационная и техническая документация к СКЗИ хранятся у ответственного за эксплуатацию СКЗИ сотрудника Субъекта отчетности. Ключи ЭП хранятся у Уполномоченных сотрудников. Хранение осуществляется в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
5.5. Ключевые документы с неработоспособными ключами ЭП ответственный за эксплуатацию СКЗИ сотрудник Субъекта отчетности принимает у Уполномоченного сотрудника под роспись в Журнале поэкземплярного учета СКЗИ.
5.6. В Комплексе используется СКЗИ с открытым распределением ключей.
5.7. Подписание электронного документа ЭП осуществляется с использованием только того ключа ЭП, для которого выдан Сертификат Уполномоченного сотрудника.
5.8. Уполномоченный сотрудник Субъекта отчетности несет ответственность за отсутствие на компьютере, на котором осуществляется эксплуатация ЮЗЭД, посторонних программ (вирусов и т.д.), способствующих нарушению функционирования ЮЗЭД.
5.9. При обнаружении на компьютере, на котором осуществляется эксплуатация ЮЗЭД, посторонних программ (вирусов и т.д.) эксплуатация ЮЗЭД на этом компьютере должна быть прекращена для дальнейшей организации мероприятий по анализу и ликвидации посторонних программ и возможных последствий.
5.10. Действия в случае компрометации ключей ЭП:
5.10.1. К событиям, связанным с компрометацией ключей ЭП, относится следующее:
утрата ключевых носителей, содержащих ключи ЭП;
потеря ключевых носителей, содержащих ключи ЭП, с их последующим обнаружением;
хищение ключевых носителей, содержащих ключи ЭП;
разглашение содержимого ключевых носителей, содержащих ключи ЭП;
несанкционированное копирование содержимого ключевых носителей, содержащих ключи ЭП;
нарушение правил хранения и уничтожения (после окончания срока действия ключевых носителей, содержащих ключи ЭП);
возникновение подозрений об утечке содержимого ключевых носителей, содержащих ключи ЭП, или ее искажение в Комплексе;
нарушение печати на сейфе или замка сейфа, в котором хранятся ключевые носители, содержащие ключи ЭП;
невозможность достоверного установления того, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленников);
любые другие виды разглашения содержимого ключевых носителей, содержащих ключи ЭП, в результате которых ключи ЭП могут стать доступными посторонним лицам и (или) процессам;
5.10.2. Уполномоченный сотрудник Субъекта отчетности самостоятельно определяет факт компрометации ключа ЭП и оценивает значение этого события. Мероприятия по розыску и локализации последствий компрометации ключа ЭП организует и осуществляет Субъект отчетности с участием владельца скомпрометированного ключа ЭП;
5.10.3. В случае установления факта компрометации ключа ЭП Уполномоченный сотрудник Субъекта отчетности обязан незамедлительно прекратить эксплуатацию ключа ЭП в своем экземпляре Комплекса и уведомить Организатора, а также УЦ по телекоммуникационным каналам связи.
В течение 30 (тридцати) минут после поступления сообщения о компрометации ключа ЭП Организатор обеспечивает прекращение работы Уполномоченного сотрудника Субъекта отчетности в своем экземпляре Комплекса и использование соответствующего Сертификата в ЮЗЭД на базе Комплекса.
Возобновление работы Уполномоченного сотрудника Субъекта отчетности в Комплексе происходит только после замены скомпрометированного ключа.
Для получения новых ключей ЭП Уполномоченный сотрудник Субъекта отчетности должен руководствоваться порядком получения ключей ЭП, установленным УЦ;
5.11. Уполномоченному сотруднику Субъекта отчетности запрещается:
5.11.1. осуществлять несанкционированное копирование ключей ЭП;
5.11.2. разглашать содержимое ключевого документа или передавать сами ключевые документы лицам, к ним не допущенным, оставлять без присмотра ключевой документ, выводить содержимое ключевого документа на дисплей или принтер;
5.11.3. вставлять ключевые документы в устройства считывания в режимах, не предусмотренных штатным режимом работы СКЗИ, а также в устройства считывания других аппаратных средств;
5.11.4. записывать на ключевой носитель постороннюю информацию, использовать ключевой носитель на неисправных устройствах считывания информации;
5.11.5. вносить какие-либо изменения в программное обеспечение СКЗИ.
VI. Предоставление документов при вводе в действие
и дальнейшей работе в ЮЗЭД на базе Комплекса
6.1. Предоставление документов при вводе в действие ЮЗЭД на базе Комплекса.
6.1.1. Субъект отчетности в соответствии с документацией к Комплексу устанавливает СКЗИ на компьютерах Уполномоченных сотрудников;
6.1.2. Уполномоченные сотрудники Субъекта отчетности получают от УЦ средства ЭП: Сертификаты, ключи ЭП. Порядок получения Сертификатов, ключей ЭП устанавливает УЦ;
6.1.3. При заключении настоящего Договора Субъект отчетности предоставляет Организатору:
приказ Субъекта отчетности о назначении Уполномоченных сотрудников с указанием ролей в соответствии с приложением к настоящему Договору посредством ИСЭД;
полученные от УЦ Сертификаты Уполномоченных сотрудников Субъекта отчетности в электронном виде на электронную почту supportweb@fin.permregion.ru, с указанием темы письма: "Сертификаты СКИФ пятизначный код Субъекта отчетности";
6.2. Предоставление документов при дальнейшей работе в ЮЗЭД на базе Комплекса:
6.2.1. В случае изменения ФИО, должности, списочного состава Уполномоченных сотрудников Субъекта отчетности, наименования Субъекта отчетности Субъект отчетности обязан в течение трех рабочих дней, в зависимости от ситуации, представить Организатору:
приказ Субъекта отчетности о назначении Уполномоченных сотрудников, с указанием ролей в соответствии с приложением к настоящему Договору посредством ИСЭД;
скан-копию заявлений на аннулирование (отзыв) Сертификата по форме согласно порядку УЦ посредством ИСЭД;
полученные от УЦ Сертификаты Уполномоченных сотрудников Субъекта отчетности в электронном виде на электронную почту supportweb@fin.permregion.ru, с указанием темы письма: "Сертификаты СКИФ пятизначный код Субъекта отчетности";
6.2.2. В случае планового перевыпуска Сертификатов Субъект отчетности в течение трех рабочих дней представляет Организатору полученные от УЦ Сертификаты Уполномоченных сотрудников Субъекта отчетности в электронном виде на электронную почту supportweb@fin.permregion.ru, с указанием темы письма: "Сертификаты СКИФ пятизначный код Субъекта отчетности";
6.2.3. В случае изменения адреса электронной почты Организатор в течение двух рабочих дней сообщает Клиенту новый адрес электронной почты для предоставления Сертификатов. Информация о смене адреса электронной почты размещается на сайте Организатора http://mfin.permkrai.ru/ в разделе "Методические рекомендации" - "ПО СКИФ".
6.3. Организатор после предоставления Субъектом отчетности документов, указанных в пунктах 6.1.3, 6.2.1 настоящего Договора, и Сертификатов Уполномоченных сотрудников, указанных в пункте 6.2.2 настоящего Договора, в течение трех рабочих дней вводит в действие Сертификаты Уполномоченных сотрудников Субъекта отчетности (вносит в реестр Сертификатов).
6.4. Организатор уведомляет Субъект отчетности о внесении Сертификатов Уполномоченных сотрудников Субъекта отчетности посредством электронной почты.
VII. Ответственность Участников
7.1. Участники несут ответственность за действия своих Уполномоченных сотрудников при осуществлении ЮЗЭД в рамках настоящего Договора.
7.2. За неисполнение или ненадлежащее исполнение Участниками своих обязательств по настоящему Договору Участники несут ответственность в соответствии с законодательством Российской Федерации.
7.3. Участник не отвечает за неисполнение или ненадлежащее выполнение своих обязательств по настоящему Договору, если это было вызвано действиями (бездействием) другого Участника.
7.4. При использовании телекоммуникационных каналов связи и передачи данных Участники не несут ответственности за возможные временные задержки при доставке юридически значимых электронных документов, произошедшие не по их вине.
VIII. Разрешение конфликтных ситуаций
8.1. Все споры и разногласия, которые могут возникнуть в связи с применением, нарушением, толкованием настоящего Договора, признанием недействительным настоящего Договора или его части, Участники будут стремиться разрешить, используя переговоры и иные механизмы урегулирования споров и разногласий.
8.2. В случаях, когда конфликтная ситуация не урегулирована в результате переговоров и работы Экспертной комиссии, созданной в соответствии с Порядком разбора конфликтных ситуаций, утвержденным приказом Организатора, Участники обращаются в Арбитражный суд Пермского края.
IX. Форс-мажорные обстоятельства
9.1. Участник не несет ответственности в случае невыполнения, несвоевременного или ненадлежащего выполнения какого-либо обязательства по настоящему Договору, если указанное невыполнение, несвоевременное или ненадлежащее выполнение обусловлены исключительно наступлением и/или действием следующих обстоятельств (далее - форс-мажорные обстоятельства): обстоятельств непреодолимой силы; сбоев, неисправностей и отказов оборудования; сбоев и ошибок программного обеспечения; сбоев, неисправностей и отказов системы связи, энергосбережения, кондиционирования и других систем жизнеобеспечения, которые Участник не мог ни предвидеть, ни предотвратить.
9.2. Участник, надлежащее исполнение обязательств которого оказалось невозможным в силу влияния форс-мажорных обстоятельств, в течение 3 (трех) рабочих часов после их наступления информирует другого Участника о наступлении этих обстоятельств и об их последствиях любым доступным способом и принимает все возможные меры с целью максимально ограничить отрицательные последствия, вызванные указанными форс-мажорными обстоятельствами.
9.3. Неизвещение или несвоевременное извещение другого Участника Участником, надлежащее исполнение обязательств которого оказалось невозможным в силу влияния форс-мажорных обстоятельств, о наступлении этих обстоятельств влечет за собой утрату права ссылаться на эти обстоятельства.
9.4. Наступление форс-мажорных обстоятельств влечет увеличение срока исполнения обязательств по настоящему Договору на период их действия, если Участники не договорились об ином.
X. Порядок внесения изменений в Договор
10.1. В случае принятия нормативного правового акта уполномоченным государственным органом по вопросам, регулируемым настоящим Договором, соответствующие положения Договора подлежат изменению по инициативе одного из Участников.
10.2. По взаимному согласию Участников в текст Договора могут вноситься изменения и дополнения.
10.3. Все изменения и дополнения к настоящему Договору действительны в том случае, если они оформлены в письменном виде и подписаны уполномоченными представителями Участников, за исключением изменений, внесенных Организатором в приложение к настоящему Договору.
10.4. Организатор вправе в одностороннем порядке внести изменения в приложение к настоящему Договору, о чем уведомляет Субъект отчетности в течение пяти рабочих дней.
XI. Срок действия Договора
11.1. Настоящий Договор вступает в силу с момента его подписания Участниками. Конечным сроком Договор не ограничивается.
11.2. Дата начала обмена юридически значимыми электронными документами определяется датой третьего рабочего дня с даты представления Субъектом отчетности документов, указанных в пункте 6.1.3 настоящего Договора.
11.3. Настоящий Договор может быть расторгнут по письменному соглашению Участников.
11.4. В случае изменения наименования, адреса или прочих реквизитов Участник уведомляет другого Участника в течение пяти рабочих дней со дня внесения соответствующих изменений.
11.5. Расторжение настоящего Договора не влияет на действительность юридически значимых электронных документов, подписанных ЭП Уполномоченных сотрудников Участников до даты расторжения настоящего Договора.
XII. Заключительные положения
12.1. Настоящий Договор составлен в двух экземплярах, имеющих одинаковую юридическую силу, по одному экземпляру для каждого Участника.
12.2. Приложение к настоящему Договору является его неотъемлемой частью.
12.3. С даты подписания Участниками настоящего Договора договор об обмене электронными документами между участниками юридически значимого электронного документооборота от _________________ N _____ считается расторгнутым.
XIII. Адреса, банковские реквизиты и подписи Участников
КЛИЕНТ
ОРГАНИЗАТОР
________________________________
________________________________
________________________________
Министерство финансов Пермского края
614006, г. Пермь, ул. Ленина, д. 51,
ИНН 5902290917, КПП 590201001
ОКВЭД 75.11.21, ОКПО 02292395
ОГРН 1025900070293,
ОКТМО 57701000001
УФК по Пермскому краю (Минфин Пермского края (Министерство финансов Пермского края, л/с 028400252))
р/с 40201810100000000005
Банк: Отделение Пермь, г. Пермь, БИК: 045773001
_________________/_______________/
М.П.
________________/ _____________/
М.П.
Приложение
к Договору
N ___________
от "___" __________ 20__ г.
РЕГЛАМЕНТ
применения электронной подписи
1. Общие сведения
Настоящий Регламент определяет порядок применения ЭП, в том числе статусы электронных документов, на которых происходит наложение электронной подписи в электронном документе.
2. Средства применения электронной подписи
При работе с ЮЗЭД принимаются и признаются Сертификаты, изданные УЦ.
Сертификат признается изданным УЦ, если подтверждена подлинность ЭП уполномоченного лица УЦ, которым подписан Сертификат Уполномоченного сотрудника Участника.
Идентификационные данные, занесенные в Сертификат, однозначно идентифицируют владельца сертификата и соответствуют идентификационным данным владельца сертификата, зарегистрированным УЦ.
Для определения статуса Сертификата используется список отозванных сертификатов, издаваемый и публикуемый УЦ в порядке и с периодичностью, определяемой УЦ.
Местом публикации списков отозванных сертификатов принимается адрес информационного ресурса, определенный УЦ.
В качестве средств ЭП используются СКЗИ, сертифицированные в соответствии с действующим законодательством, а также совместимые с Комплексом (согласно требованиям Комплекса) и обеспечивающие:
реализацию функций создания ЭП в электронном документе с использованием ключа;
подтверждение с использованием Сертификата подлинности ЭП в электронном документе;
создание ключей и Сертификатов ЭП.
ЭП хранится отдельно от электронных документов. Формат ЭП определяется рекомендациями RFC 3852 "Cryptographic Message Syntax (CMS)", с учетом использования криптографических алгоритмов ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94 в соответствии с RFC 4490 "Using the GOST 28147-89, GOST R 34.11-94, GOST R 34.10-94, and GOST R 34.10-2001 Algorithms with Cryptographic Message Syntax (CMS)".
III. Перечень электронных документов, включенных
в юридически значимый электронный документооборот
Электронными документами, которые будут считаться юридически значимыми при условии подписания их ЭП (в случае выполнения всех условий равнозначности ЭП собственноручной в соответствии с Федеральным законом 63-ФЗ) и с учетом иных требований настоящего Договора, являются формы бюджетной отчетности об исполнении консолидированного бюджета муниципального образования и сводной бухгалтерской отчетности муниципальных бюджетных и автономных учреждений, установленные соответствующими приказами Министерства финансов Российской Федерации, Федерального казначейства, а также дополнительные формы бюджетной и бухгалтерской отчетности, установленные соответствующими приказами Организатора (далее - формы отчетности).
Требования к дайджестам определяет Организатор. Участник имеет право быть ознакомленным с составом дайджестов юридически значимых электронных документов.
IV. Правила подписания электронных документов
Руководитель Субъекта отчетности назначает распорядительным документом Уполномоченных сотрудников.
Субъект отчетности после проведения в Комплексе функциональных этапов по вводу данных, проведения расчетов, контроля по логической увязке данных в формах отчетности (внутридокументный, междокументный контроль) устанавливает статус "Утвержден" и подписывает утвержденные формы отчетности. Каждая форма отчетности должна содержать две ЭП: первая подпись - руководитель финансового органа либо лицо, исполняющее его обязанности, вторая подпись - главный бухгалтер финансового органа либо лицо, исполняющее его обязанности.
Уполномоченные сотрудники Субъекта отчетности обязуются подписывать юридически значимые электронные документы своей электронной подписью строго в соответствии с правилами подписания, в ином случае электронные документы не считаются юридически значимыми.
V. Перечень ролей, используемых в Комплексе
1
Руководитель
2
Главный бухгалтер
VI. Контроль правил подписания юридически значимых
электронных документов
Контроль правил подписания юридически значимых электронных документов осуществляется организационными методами. Также допускается контроль техническими средствами Комплекса (использование правил проверки в Комплексе). Способы контроля правил подписания определяются Организатором.
Приложение 2
УТВЕРЖДЕН
Приказом
Министерства финансов
Пермского края
от 22.11.2012 № СЭД-39-01-22-219
Приложение 2 признано утратившим силу.
(в редакции приказа Министерства финансов Пермского края от 18.11.2015 № СЭД-39-01-22-263)
Приложение 3
УТВЕРЖДЕНО
Приказом
Министерства финансов
Пермского края
от 22.11.2012 № СЭД-39-01-22-219
ПОЛОЖЕНИЕ
О ПОРЯДКЕ РАБОТЫ СО СРЕДСТВАМИ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ
ИНФОРМАЦИИ
1. Термины и определения
Аккредитованный удостоверяющий центр (УЦ) - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (далее - Федеральный закон 63-ФЗ), и получившие аккредитацию.
Аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона 63-ФЗ.
Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов (журнал поэкземплярного учета СКЗИ) - документ, содержащий данные о выданных Уполномоченным сотрудникам ключевых документах.
Квалифицированный сертификат ключа проверки электронной подписи (Сертификат) - сертификат ключа проверки электронной подписи, выданный УЦ или доверенным лицом УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.
Компрометация криптоключа - утрата доверия к тому, что используемые ключи обеспечивают безопасность информации.
Ключ электронной подписи (криптоключ, закрытый ключ, ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи.
Ключ проверки электронной подписи (открытый ключ) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.
Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.
Ключевой документ - ключевой носитель, содержащий ключ электронной подписи, а при необходимости - контрольную, служебную и технологическую информацию.
Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключа электронной подписи.
Пользователь СКЗИ (пользователь) - физическое лицо Участника, непосредственно допущенное к работе со средствами криптографической защиты информации.
Комплекс - программный комплекс «СКИФ», разработанный ОАО «Финтех» (далее - разработчик), предназначенный для автоматизации формирования, приема, передачи, обработки и хранения форм отчетности.
Средства криптографической защиты информации (СКЗИ) - аппаратные и(или) программные средства, обеспечивающие применение электронной подписи (создание, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи) и(или) шифрование при осуществлении электронного документооборота, а также обеспечивающие защиту информации по утвержденным стандартам и сертифицированные в соответствии с действующим законодательством.
Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
Участник - юридическое лицо, принимающее участие в юридически значимом электронном документообороте.
Усиленная квалифицированная электронная подпись (ЭП) - вид электронной подписи, который соответствует следующим признакам:
электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
электронная подпись позволяет определить лицо, подписавшее электронный документ;
электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
ключ проверки электронной подписи указан в Сертификате;
для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ.
Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию.
Электронный документ - отчет, в котором информация представлена в электронной форме в формате Комплекса. Юридическая значимость электронного документа подтверждается ЭП.
Юридически значимый электронный документооборот (ЮЗЭД) - документооборот на базе Комплекса, в котором участники ЮЗЭД совершают действия по обмену и принятию к исполнению документов в электронной форме, удостоверенных ЭП, и несут ответственность за совершение либо несовершение этих действий.
2. Общие положения
Настоящий документ регламентирует порядок работы со средствами криптографической защиты информации (СКЗИ) в соответствии с Приказом ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным Приказом ФСБ РФ от 9 февраля 2005 г. № 66.
3. Организация и обеспечение безопасности хранения
и применения СКЗИ
Ключевые документы или исходная информация для выработки ключевых документов изготавливаются УЦ или ответственным за эксплуатацию СКЗИ сотрудником Участника.
Пользователи СКЗИ обязаны:
не разглашать сведения о криптоключах;
соблюдать требования и рекомендации, указанные производителем СКЗИ в сопроводительной документации;
сообщать ответственному за эксплуатацию СКЗИ сотруднику Участника, а также Организатору о ставших им известными попытках посторонних лиц получить сведения об используемых криптоключах или ключевых документах;
сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;
при получении в пользование ключевого носителя изменить PI№-код пользователя. Изменение PI№-кода администратора производит ответственный за эксплуатацию СКЗИ сотрудник Участника;
немедленно уведомлять ответственного за эксплуатацию СКЗИ сотрудника Участника, а также Организатора о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых сведений конфиденциального характера, а также о причинах и условиях возможной утечки таких сведений.
Непосредственно к работе с СКЗИ пользователи допускаются только после соответствующего инструктажа. Инструктаж включает в себя ознакомление с руководством пользователя СКЗИ, инструкцией по установке, настройке и эксплуатации СКЗИ, Регламентом УЦ. Инструктаж проводит ответственный за эксплуатацию СКЗИ сотрудник Участника и(или) УЦ.
4. Порядок обращения с СКЗИ и криптоключами к ним.
Мероприятия при компрометации криптоключей
Для организации и обеспечения безопасности хранения и применения ЭП следует использовать СКЗИ, предусматривающие запись ключей ЭП на электронные ключевые носители многократного (долговременного) использования (дискеты, компакт-диски (CD-ROM), Data Key, Smart Card, eToken, RuToken и т.п.).
Используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету по установленной форме в соответствии с требованиями Положения ПКЗ-2005. При этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование.
Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно.
Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов ведет ответственный за эксплуатацию СКЗИ сотрудник Участника по форме согласно приложению к настоящему Положению.
Все полученные ответственным за эксплуатацию СКЗИ сотрудником Участника экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета СКЗИ несущим персональную ответственность за их сохранность.
Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только между пользователями СКЗИ и(или) ответственными за эксплуатацию СКЗИ сотрудниками Участника под расписку в соответствующих журналах поэкземплярного учета СКЗИ.
Пользователи СКЗИ хранят носители СКЗИ, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
Аппаратные средства, с которыми осуществляется штатное функционирование, СКЗИ должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать. При наличии технической возможности на время отсутствия пользователей СКЗИ указанные средства необходимо отключать от линии связи и убирать в опечатываемые хранилища.
СКЗИ и ключевые документы могут доставляться фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа ответственных за эксплуатацию СКЗИ сотрудников Участника или пользователей СКЗИ, для которых они предназначены, при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки.
Эксплуатационную и техническую документацию к СКЗИ можно пересылать заказными или ценными почтовыми отправлениями.
Для пересылки СКЗИ ключевые документы должны быть помещены в прочную упаковку, исключающую возможность их физического повреждения и внешнего воздействия, в особенности на записанную ключевую информацию. СКЗИ пересылают отдельно от ключевых документов к ним. На упаковках указывают ответственного за эксплуатацию СКЗИ сотрудника Участника или пользователя СКЗИ, для которого эти упаковки предназначены. На упаковках делают пометку «Лично». Упаковки опечатывают таким образом, чтобы исключалась возможность извлечения из них содержимого без нарушения упаковок и оттисков печати.
Оформленную таким образом упаковку при предъявлении фельдсвязью дополнительных требований помещают во внешнюю упаковку, оформленную согласно предъявляемым требованиям. До первоначальной высылки (или возвращения) адресату сообщают отдельным письмом описание высылаемых ему упаковок и печатей, которыми они могут быть опечатаны.
Для пересылки СКЗИ, эксплуатационной и технической документации к ним, ключевых документов следует подготовить сопроводительное письмо, в котором необходимо указать, что посылается и в каком количестве, учетные номера изделий или документов, а также при необходимости назначение и порядок использования высылаемого отправления. Сопроводительное письмо вкладывают в одну из упаковок.
Полученные упаковки вскрывают только ответственный за эксплуатацию СКЗИ сотрудник Участника или пользователи СКЗИ, для которых они предназначены. Если содержимое полученной упаковки не соответствует указанному в сопроводительном письме или сама упаковка и печать - их описанию (оттиску), а также если упаковка повреждена, в результате чего образовался свободный доступ к ее содержимому, то получатель составляет акт, который высылает отправителю. Полученные с такими отправлениями СКЗИ и ключевые документы до получения указаний от отправителя применять не разрешается.
Получение СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должно быть подтверждено отправителю в соответствии с порядком, указанным в сопроводительном письме. Отправитель обязан контролировать доставку своих отправлений адресатам. Если от адресата своевременно не поступило соответствующего подтверждения, то отправитель должен направить ему запрос и принять меры к уточнению местонахождения отправлений.
Неиспользованные или выведенные из действия ключевые документы подлежат уничтожению на месте эксплуатации.
Уничтожение криптоключей (исходной ключевой информации) производится путем физического уничтожения ключевого носителя, на котором они расположены, или путем стирания (разрушения) криптоключей (исходной ключевой информации) без повреждения ключевого носителя (для обеспечения возможности его многократного использования).
Криптоключи (исходную ключевую информацию) стирают по технологии, принятой для соответствующих ключевых носителей многократного использования (дискет, компакт-дисков (CD-ROM), Data Key, Smart Card, eTo-ken, RuToken и т.п.). Непосредственные действия по стиранию криптоключей (исходной ключевой информации), а также возможные ограничения на дальнейшее применение соответствующих ключевых носителей многократного использования регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации).
Ключевые носители уничтожают путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления ключевой информации. Непосредственные действия по уничтожению конкретного типа ключевого носителя регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации).
Бумажные и прочие сгораемые ключевые носители, а также эксплуатационная и техническая документация к СКЗИ уничтожаются путем сжигания или с помощью любых бумагорезательных машин.
Ключевые документы должны быть уничтожены в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется в журнале поэкземплярного учета.
Ключевые документы уничтожаются либо пользователями СКЗИ, либо ответственным за эксплуатацию СКЗИ сотрудником Участника под расписку в журнале поэкземплярного учета, а уничтожение большого объема ключевых документов может быть оформлено актом. При этом пользователям СКЗИ разрешается уничтожать только использованные непосредственно ими (предназначенные для них) криптоключи.
Уничтожение по акту производит комиссия в составе не менее двух человек из числа сотрудников Участника, в том числе ответственного за эксплуатацию СКЗИ сотрудника. В акте указывается, что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых ключевых документов, инсталлирующих СКЗИ носителей, эксплуатационной и технической документации. Исправления в тексте акта должны быть оговорены и заверены подписями всех членов комиссии, принимавших участие в уничтожении. О проведенном уничтожении делается отметка в журнале поэкземплярного учета СКЗИ.
Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи необходимо немедленно вывести из действия, если иной порядок не оговорен в эксплуатационной и технической документации к СКЗИ. О выводе криптоключей из действия сообщают в УЦ и Министерство финансов Пермского края. О нарушениях, которые могут привести к компрометации криптоключей, их составных частей, пользователи СКЗИ обязаны сообщать в УЦ и Министерство финансов Пермского края. Осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения). В случаях недостачи, непредъявления ключевых документов, а также неопределенности их местонахождения принимаются срочные меры к их розыску.
Порядок оповещения пользователей СКЗИ о предполагаемой компрометации криптоключей и их замене устанавливается соответствующим Регламентом оказания услуг УЦ.
5. Контроль за организацией и обеспечением безопасности
хранения и применения СКЗИ
Контроль за организацией и обеспечением безопасности хранения, эксплуатации, обработки и передачи по каналам связи информации с использованием СКЗИ - государственный контроль осуществляют уполномоченные федеральные органы. В ходе государственного контроля изучаются и оцениваются:
организация безопасности хранения, эксплуатации СКЗИ;
достигнутый уровень криптографической защиты информации;
условия использования СКЗИ.
Приложение
к Положению
о порядке работы со
средствами криптографической
защиты информации
ЖУРНАЛ
поэкземплярного учета СКЗИ, эксплуатационной и технической
документации к ним, ключевых документов
№
п/п
Наименование
СКЗИ,
эксплуатаци-
онной и
технической
документации
к ним,
ключевых
документов
Серийные
номера СКЗИ,
эксплуатаци-
онной и
технической
документации
к ним,
номера серий
ключевых
документов
Отметка о
получении
Отметка о
выдаче
Отметка о подключении
(установке) СКЗИ
Отметка об изъятии
СКЗИ из аппаратных
средств, уничтожении
(утрате) ключевых
документов
Приме-
чание
От
кого
полу-
чены
Дата и
номер
сопрово-
дитель-
ного
письма
Ф.И.О.
пользо-
вателя
СКЗИ
Дата
и
рас-
писка
в
полу-
чении
Ф.И.О.
сотруд-
ников
пользо-
вателя
СКЗИ,
произ-
ведших
подклю-
чение
(уста-
новку)
Дата
подклю-
чения
(уста-
новки)
и
подписи
лиц,
произ-
ведших
подклю-
чение
(уста-
новку)
Номера
аппарат-
ных
средств,
в
которые
установ-
лены или
к
которым
подклю-
чены
СКЗИ
Дата
изъя-
тия
(унич-
тоже-
ния,
утери)
Ф.И.О.
сотруд-
ников
пользо-
вателя
СКЗИ,
произво-
дивших
изъятие
(уничто-
жение)/
Ф.И.О.
пользо-
вателя
СКЗИ,
утратив-
шего
Номер
акта
или
рас-
писка
об
унич-
тоже-
нии
(уте-
ре)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Приложение 4
УТВЕРЖДЕН
Приказом
Министерства финансов
Пермского края
от 22.11.2012 № СЭД-39-01-22-219
ПОРЯДОК
РАЗБОРА КОНФЛИКТНЫХ СИТУАЦИЙ
1. Термины и определения
Термины и определения, используемые в документе:
Аккредитованный удостоверяющий центр (УЦ) - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (далее - Федеральный закон 63-ФЗ), и получившее аккредитацию.
Аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона 63-ФЗ.
Альбом электронных документов - документ, содержащий список электронных документов, включенных в юридически значимый электронный документооборот.
Аттестат соответствия - документ установленной формы, подтверждающий выполнение требований нормативных правовых актов в области защиты информации.
Владелец сертификата ключа проверки электронной подписи (владелец сертификата) - лицо, которому в установленном Федеральным законом 63-ФЗ порядке выдан сертификат ключа проверки электронной подписи.
Доказательная база - информация в электронном и в бумажном виде, достаточная для разрешения конфликтных ситуаций.
Жизненный цикл электронного документа - существование электронного документа от момента формирования до момента передачи в архив или уничтожения.
Инициатор - юридическое лицо, инициирующее разбор конфликтной ситуации, связанной с необходимостью проверки юридической значимости электронного документа.
Квалифицированный сертификат ключа проверки электронной подписи (сертификат) - сертификат ключа проверки электронной подписи, выданный УЦ или доверенным лицом УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.
Ключ электронной подписи (закрытый ключ, ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи.
Ключ проверки электронной подписи (открытый ключ) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.
Область применения сертификата - параметр сертификата. Область применения сертификата определяет перечень электронных документов, возможных для подписания при помощи данного сертификата.
Ответчик - юридическое лицо, привлекаемое в качестве предполагаемого нарушителя прав Инициатора.
Отозванный сертификат - сертификат, который отозван из обращения.
Регламент применения электронной подписи (Регламент) - документ, определяющий статусы электронных документов, на которых происходит наложение электронной подписи в электронном документе.
Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
Комплекс - программный комплекс «СКИФ», разработанный ОАО «Финтех» (далее - разработчик), предназначенный для автоматизации формирования, приема, передачи, обработки и хранения форм отчетности.
Средства криптографической защиты информации (СКЗИ) - аппаратные и(или) программные средства, обеспечивающие применение электронной подписи (создание, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи) и(или) шифрование при осуществлении электронного документооборота, а также обеспечивающие защиту информации по утвержденным стандартам и сертифицированные в соответствии с действующим законодательством.
Статус электронного документа - атрибут электронного документа, идентифицирующий его состояние по определенному признаку.
Сотрудник - пользователь, имеющий имя и пароль для входа в Комплекс и наделенный полномочиями для работы в Комплексе.
Уполномоченный сотрудник - сотрудник, наделенный полномочиями по подписанию электронной подписью электронных документов в соответствии с утвержденным Регламентом, для которого УЦ выпущен сертификат ключа проверки электронной подписи.
Участник - юридическое лицо, принимающее участие в юридически значимом электронном документообороте.
Усиленная квалифицированная электронная подпись (ЭП) - вид электронной подписи, которая соответствует следующим признакам:
электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
электронная подпись позволяет определить лицо, подписавшее электронный документ;
электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
электронная подпись создается с использованием средств электронной подписи;
ключ проверки электронной подписи указан в сертификате;
для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ.
Целостность программного обеспечения - отсутствие изменений в коде программного обеспечения при эксплуатации данного программного обеспечения.
Цепочка доверия - последовательность взаимосвязанных (доверенных) сертификатов, возникающая при проверке ключа ЭП.
Экспертная комиссия - комиссия, разрешающая конфликтные ситуации, связанные с использованием юридически значимого электронного документооборота.
Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию.
Электронный документ - отчет, в котором информация представлена в электронной форме в формате Комплекса. Юридическая значимость электронного документа подтверждается ЭП.
Юридически значимый электронный документооборот (ЮЗЭД) - документооборот на базе Комплекса, в котором участники ЮЗЭД совершают действия по обмену и принятию к исполнению документов в электронной форме, удостоверенных ЭП, и несут ответственность за совершение либо несовершение этих действий.
2. Назначение документа
2.1. Настоящий документ определяет порядок разрешения конфликтных ситуаций, связанных с использованием ЮЗЭД на базе Комплекса. Использование ЮЗЭД подразумевает под собой подписание ЭП электронных документов на базе Комплекса.
2.2. Настоящий документ предназначен для Участников, в том числе для Инициаторов, Ответчиков, а также для членов Экспертных комиссий.
3. Порядок разрешения конфликтных ситуаций
3.1. Общие положения.
3.1.1. В ходе обмена юридически значимыми электронными документами между Участниками могут возникать конфликтные ситуации в части установления авторства и/или подлинности электронных документов, нарушения правил использования СКЗИ. Возможны возникновения разногласий в следующих ситуациях:
оспаривание факта отправления и/или получения электронного документа;
оспаривание времени отправления и/или получения электронного документа;
оспаривание содержания отправленного/полученного электронного документа;
оспаривание идентичности экземпляров электронного документа и/или подлинника и копии электронного документа на бумажном носителе;
оспаривание целостности электронного документа;
оспаривание идентификации лица, заверившего электронный документ ЭП;
оспаривание полномочий лица, заверившего электронный документ ЭП;
оспаривание действительности и правомочности использования сертификата, использованного для заверения электронного документа;
иные случаи возникновения конфликтных ситуаций в ходе обмена электронными документами.
3.1.2. Разрешая конфликтные ситуации, Участники исходят из того, что:
в соответствии с действующим законодательством документ в электронном виде, заверенный ЭП в Комплексе, является документом, имеющим юридическую силу, аналогичным бумажному документу, снабженному подписью и печатью;
электронный документ порождает обязательства Участника перед другими Участниками, если документ оформлен надлежащим образом, подписан ЭП в Комплексе и доставлен другому Участнику. При этом ЭП используется в соответствии со сведениями, указанными в сертификате, а сертификат отправителя является действующим;
математические свойства алгоритма ЭП должны соответствовать стандартам, существующим в Российской Федерации. Участник признает, что разбор конфликтной ситуации в отношении авторства, целостности и подлинности электронного документа заключается в доказательстве подписания конкретного электронного документа на конкретном ключе ЭП.
3.1.3. Разрешение конфликтных ситуаций может осуществляться несколькими способами (в зависимости от уровня эскалации конфликтной ситуации), а именно:
Участник, инициировавший разбор, и Ответчик разрешают конфликтную ситуацию в рабочем порядке (без создания Экспертной комиссии);
Участник, инициировавший разбор, и Ответчик разрешают конфликтную ситуацию с созданием Экспертной комиссии и привлечением разработчиков программного обеспечения Комплекса;
претензионный порядок разрешения конфликтной ситуации;
Участник, инициировавший разбор, и Ответчик разрешают конфликтную ситуацию в судебном порядке.
3.2. Разрешение конфликтных ситуаций в рабочем порядке.
В случае возникновения обстоятельств, свидетельствующих, по мнению одного из Участников, о возникновении конфликтной ситуации, данный Участник (Инициатор) незамедлительно извещает ответственного сотрудника других заинтересованных Участников любым доступным способом о возможном возникновении и/или наличии конфликтной ситуации, обстоятельствах, свидетельствующих о ее возникновении или наличии, а также о ее предполагаемых причинах. Информация, полученная от Инициатора по телефону или в ином устном обращении, регистрируется ответственным сотрудником в журнале регистрации извещений о разборе конфликтной ситуации. Инициатор обязан продублировать извещение в письменном виде.
Ответчик, которому была направлена информация (извещение в свободной форме) о конфликтной ситуации и который должен участвовать в ее разрешении, обязан проверить наличие указанных в извещении обстоятельств и принять меры по разрешению конфликтной ситуации со своей стороны.
Ответчик письмом извещает Инициатора о результатах проверки и при необходимости о мерах, принятых для разрешения конфликтной ситуации.
Конфликтная ситуация признается разрешенной в рабочем порядке в случае, если Инициатор удовлетворен информацией, содержащейся в извещениях Ответчика, и не имеет к ней претензий.
Разрешение конфликтных ситуаций в рабочем порядке допускается в тех случаях, когда действия, являющиеся причиной конфликта, не наносят существенный ущерб Участникам.
3.3. Разрешение конфликтной ситуации с созданием Экспертной комиссии.
В случае если конфликтная ситуация не была разрешена в рабочем порядке, Инициатор может направить Ответчику заявление о разногласиях в свободной форме с предложением создать Экспертную комиссию.
Экспертная комиссия создается с целью разрешения конфликтных ситуаций, возникающих в ходе обмена электронными документами в Комплексе, в тех случаях, когда разрешение конфликтных ситуаций в рабочем порядке не представляется возможным по следующим причинам:
действия, являющиеся конфликтными, наносят существенный ущерб;
действия, являющиеся конфликтными, не наносят существенный ущерб, но Участник, инициировавший разбор, не удовлетворен информацией, полученной от Ответчика в процессе разрешения конфликтной ситуации в рабочем порядке.
3.3.1. Формирование заявления о разногласиях.
При возникновении разногласий Инициатор, заявляющий о разногласии, направляет Ответчику заявление о разногласиях <1> в свободной форме.
--------------------------------
<1> До подачи заявления Участнику, инициировавшему разбор конфликтной ситуации, необходимо убедиться в целостности установленного на его технических средствах программного обеспечения, в том числе средств ЭП. Инициатор обязан убедиться в том, что не было произведено несанкционированных действий относительно программного обеспечения. А также удостовериться в том, что на его технических средствах не установлено вредоносное или шпионское программное обеспечение.
Заявление должно содержать информацию о предмете и существе конфликтной ситуации, обстоятельствах, по мнению Инициатора, свидетельствующих о наличии конфликтной ситуации, возможных причинах и последствиях ее возникновения. Заявление составляется в свободной форме на бумажном носителе, подписывается должностными лицами Инициатора, уполномоченными участвовать в разрешении конфликтной ситуации, и передаются Ответчику.
Заявление о разногласиях в обязательном порядке должно содержать следующую информацию:
уникальный идентификатор электронного документа <2>;
--------------------------------
<2> Определяется через интерфейс Комплекса.
название класса электронного документа и его номер в Комплексе;
дата заявления;
обстоятельства, на которых основаны заявленные требования, и сведения о подтверждающих их доказательствах;
нормы законодательных и иных нормативных правовых актов, на основании которых выставляется требование (в том числе договор об обмене электронными документами между Участниками юридически значимого электронного документооборота);
предложение создать Экспертную комиссию;
перечень документов (составляющих доказательную базу при конфликтной ситуации для судебных разбирательств), прилагаемых к заявлению о разногласии. В состав указанных документов должны быть включены:
файл, содержащий электронный документ, а также ЭП этого электронного документа <3>;
--------------------------------
<3> Выгружается из Комплекса.
файл, содержащий вложение электронного документа, а также ЭП этого вложения электронного документа <4>;
--------------------------------
<4> Выгружается из Комплекса.
файлы, содержащие сертификаты ключей ЭП, которыми был подписан электронный документ и вложения.
3.3.2. Предполагаемое место и дата сбора Экспертной комиссии.
Не позднее чем на третий рабочий день после получения заявления о разногласиях Участниками, участвующими в разрешении конфликтной ситуации, должна быть сформирована Экспертная комиссия.
Экспертная комиссия формируется на основании приказа Министерства финансов Пермского края. Приказ устанавливает состав Экспертной комиссии, время, место и срок ее работы.
Устанавливается срок работы Экспертной комиссии - 5 рабочих дней. В исключительных случаях срок работы Экспертной комиссии может быть продлен, но не более чем на тридцать рабочих дней.
Если Участники не договорятся об ином, то в состав Экспертной комиссии входит равное количество уполномоченных лиц Участников, участвующих в разрешении конфликтной ситуации.
В состав Экспертной комиссии включаются представители отдела автоматизации Министерства финансов Пермского края, а также исполнители электронных документов, являющиеся подписантами с использованием ЭП в Комплексе.
В состав Экспертной комиссии могут быть включены представители юридических служб Участников, представители органов, осуществляющих государственное регулирование и контроль соответствующих видов деятельности.
По инициативе любого из Участников, участвующих в разрешении конфликтной ситуации, к работе Экспертной комиссии для проведения технической экспертизы привлекаются уполномоченные сотрудники УЦ и(или) иные независимые эксперты.
Лица, входящие в состав Экспертной комиссии, должны обладать необходимыми знаниями и опытом работы с электронными документами, опытом организации и обеспечения информационной безопасности при обмене электронными документами, иметь соответствующий допуск к необходимым документальным материалам и программно-техническим средствам.
Председатель Экспертной комиссии назначается по согласованию Участников.
При участии в Экспертной комиссии представителей иных органов и организаций их право представлять соответствующие органы и организации должно подтверждаться официальным документом (доверенностью, предписанием, копией приказа или распоряжения).
3.3.3. Права и полномочия Экспертной комиссии.
Экспертная комиссия имеет право получать доступ к необходимым для ее работы документальным материалам Участников, в том числе нормативным правовым актам по обмену электронными документами, архивам электронных документов.
Экспертная комиссия имеет право на ознакомление с условиями и порядком подготовки, формирования, обработки, доставки, исполнения, хранения и учета электронных документов Участников.
Экспертная комиссия имеет право на ознакомление с условиями и порядком эксплуатации программных и технических средств обмена электронными документами Участников.
Экспертная комиссия имеет право на ознакомление с условиями и порядком изготовления, использования и хранения Участниками ключей, иной конфиденциальной информации, а также материальных носителей, необходимых для работы средств обмена электронными документами.
Экспертная комиссия имеет право получать объяснения от должностных лиц Участников, обеспечивающих обмен электронными документами.
Экспертная комиссия вправе получать от Участников любую иную информацию, относящуюся, по ее мнению, к разрешаемой конфликтной ситуации.
Для проведения необходимых проверок и документирования данных Экспертной комиссией могут применяться специальные программные и технические средства.
3.3.4. Порядок работы Экспертной комиссии.
Ответчик обязан в период работы Экспертной комиссии представить Инициатору и Экспертной комиссии ответы по каждому вопросу, изложенному в заявлении о разногласиях.
В ответах Ответчика на каждое требование должны содержаться документально обоснованные ответы или даны ссылки на доказательства, которые могут быть представлены в ходе работы Экспертной комиссии.
Любая сторона в ходе работы Экспертной комиссии может внести ходатайства об изменении или дополнении своих требований или возражений.
Экспертная комиссия в любой момент может затребовать от сторон предоставления документов, вещественных или иных доказательств в устанавливаемый Экспертной комиссией срок.
Рассмотрение спора производится на основании всех представленных документов, доказательств.
В том случае, если обстоятельства требуют подтверждения факта подлинности ЭП в электронном документе, Экспертная комиссия проводит экспертизу по подтверждению подлинности ЭП.
Для проведения экспертизы по подтверждению подлинности ЭП привлекаются уполномоченные сотрудники УЦ.
Технический порядок проведения экспертизы определяется эксплуатационной документацией на данное специализированное программное обеспечение.
3.3.5. Проверка подлинности электронных документов.
Для проверки подлинности электронного документа необходимо:
проверить наличие данного электронного документа в Комплексе;
получить электронный документ и ЭП для проведения анализа, при этом документ и ЭП выгружают из Комплекса в виде файла: документ и подпись в виде файла в формате xml.
Проверка осуществляется посредством поиска уникального идентификатора, указанного в заявлении о разногласиях.
При установлении факта отсутствия данного электронного документа в Комплексе делается вывод об отсутствии причин конфликтной ситуации. При установлении факта присутствия электронного документа в Комплексе необходимо продолжить разрешение конфликтной ситуации в соответствии с настоящим Порядком.
3.3.6. Подтверждение подлинности ЭП.
Подтверждение подлинности ЭП в электронном документе - это положительный результат подтверждения сертифицированным средством ЭП принадлежности содержащейся в электронном документе ЭП ее владельцу и отсутствия искажения и подделки подписанного данной ЭП электронного документа.
Подтверждение подлинности ЭП выполняется путем проведения экспертизы. Экспертиза подлинности ЭП в электронном документе выполняется уполномоченным сотрудником УЦ. Экспертиза осуществляется с использованием применяемого средства ЭП и специализированного программного обеспечения, используемого УЦ для разрешения конфликтных ситуаций.
Для проведения экспертизы подлинности ЭП в электронном документе необходимо:
определить сертификат, необходимый для проверки ЭП;
проверить подлинность ЭП электронного документа с использованием сертификата;
в случае если при наложении ЭП используется штамп времени, проверить статус сертификата на момент подписания.
При установлении факта неподтверждения подлинности ЭП делается вывод об отсутствии причин конфликтной ситуации.
При установлении факта подлинности ЭП делается вывод о продолжении разрешения конфликтной ситуации в соответствии с настоящим Порядком.
3.3.7. Проверка организационных аспектов.
После подтверждения подлинности ЭП в представленном электронном документе проводится проверка организационных аспектов электронного документа.
3.3.7.1. При проверке на соответствие положениям Регламента в Комплексе проверяются следующие условия:
соответствие полномочий Уполномоченного сотрудника на подписание электронного документа ЭП в соответствии с Регламентом;
соответствие личности должностного лица, подписавшего документ, информации, указанной в сертификате, который был представлен Экспертной комиссии.
При проверке соответствия полномочий Уполномоченного сотрудника на подписание электронного документа ЭП в соответствии с Регламентом проверяется:
соответствие представленного электронного документа описанию класса (описание классов документов приведено в документации к Комплексу);
возможность подписания ЭП электронных документов данного класса;
возможность подписания ЭП на заданном статусе жизненного цикла электронного документа;
присутствие электронного документа данного класса в перечне юридически значимых электронных документов;
время и дата подписания электронного документа (по времени системного журнала).
При установлении факта соответствия между Регламентом в Комплексе и ЭП в электронном документе, факта соответствия времени и даты подписания электронного документа, указанных в системном журнале, времени и дате подписания электронного документа, указанным в заявке о разногласиях, а также при наличии остальных подтверждающих фактов делается вывод о правомерности зафиксированных в заявлении о разногласиях претензий Инициатора.
При установлении факта несоответствия между Регламентом в Комплексе и ЭП в электронном документе, несоответствии времени и даты подписания электронного документа, указанных в системном журнале, времени и дате подписания электронного документа, указанным в заявлении о разногласиях, делается вывод об отсутствии причин конфликтной ситуации.
3.3.7.2. Правомерность использования копий СКЗИ и Комплекса в соответствии с условиями лицензионных соглашений.
При установлении факта правомерности использования СКЗИ и Комплекса, а также при наличии остальных подтверждающих фактов делается вывод о правомерности претензий Инициатора, зафиксированных в заявлении о разногласиях.
При установлении факта неправомерности использования СКЗИ и Комплекса делается вывод об отсутствии причин конфликтной ситуации.
3.3.7.3. Корректность использования копий СКЗИ и Комплекса в соответствии с документацией на используемые программные и аппаратные средства и аттестатами соответствия.
При установлении факта корректного использования СКЗИ и Комплекса, а также при наличии остальных подтверждающих фактов делается вывод о правомерности претензий Инициатора, зафиксированных в заявлении о разногласиях.
При установлении факта некорректного использования СКЗИ и Комплекса делается вывод об отсутствии причин конфликтной ситуации.
3.3.7.4. Правомерность подписания электронного документа Уполномоченным сотрудником Участника на основании приказов о наделении сотрудника правом подписи электронных документов определенных классов.
При установлении факта правомерного подписания электронного документа сотрудником Участника, а также при наличии остальных подтверждающих фактов делается вывод о правомерности претензий Инициатора, зафиксированных в заявлении о разногласиях.
При установлении факта неправомерного подписания электронного документа сотрудником Участника делается вывод об отсутствии причин конфликтной ситуации.
3.3.7.5. Доказательства корректности условий использования сертификатов в соответствии с областью применения.
При установлении факта использования сертификатов в соответствии с областью применения, а также при наличии остальных подтверждающих фактов делается вывод о правомерности претензий Инициатора, зафиксированных в заявлении о разногласиях.
При установлении факта использования не в соответствии с областью применения сертификатов делается вывод об отсутствии причин конфликтной ситуации.
3.3.8. Оформление результатов работы Экспертной комиссии.
3.3.8.1. Протокол работы Экспертной комиссии.
Все действия, предпринимаемые Экспертной комиссией для выяснения фактических обстоятельств, а также выводы, сделанные Экспертной комиссией, заносятся в протокол работы Экспертной комиссии.
Протокол работы Экспертной комиссии должен содержать следующие данные:
состав Экспертной комиссии с указанием фамилии, имени, отчества, места работы, занимаемой должности, при необходимости исполняемой при обмене электронными документами функциональной роли, контактной информации и квалификации членов Экспертной комиссии;
краткое изложение обстоятельств, свидетельствующих, по мнению Инициатора, о возникновении и/или наличии конфликтной ситуации;
установленные Экспертной комиссией фактические обстоятельства;
мероприятия, проводимые Экспертной комиссией для установления наличия, причин возникновения и последствий возникшей конфликтной ситуации, с указанием даты, времени и места их проведения;
выводы, к которым пришла Экспертная комиссия в результате проведенных мероприятий;
подписи всех членов Экспертной комиссии.
3.3.8.2. Акт по итогам работы Экспертной комиссии.
По итогам работы Экспертной комиссии составляется акт, который должен содержать следующую информацию:
краткое изложение выводов Экспертной комиссии;
принятое решение Экспертной комиссии;
состав Экспертной комиссии;
дату и место составления акта;
дату и время начала и окончания работы Экспертной комиссии;
перечень мероприятий, проведенных Экспертной комиссией;
собственноручные подписи членов Экспертной комиссии;
указание на особое мнение члена (членов) Экспертной комиссии в случае наличия такового.
Акт составляется в форме документа в свободной форме на бумажном носителе в 2 экземплярах и выдается Инициатору и Ответчику.
3.3.9. Разрешение конфликтной ситуации по итогам работы Экспертной комиссии.
Акт Экспертной комиссии является основанием для принятия Участниками, участвующими в разрешении конфликтной ситуации, решения по урегулированию конфликтной ситуации.
В срок не позднее трех рабочих дней со дня окончания работы Экспертной комиссии Участники, участвующие в разрешении конфликтной ситуации, на основании выводов Экспертной комиссии принимают меры по разрешению конфликтной ситуации.
Конфликтная ситуация признается разрешенной по итогам работы Экспертной комиссии, если Участники, участвующие в разрешении конфликтной ситуации, удовлетворены выводами, полученными Экспертной комиссией, и не имеют претензий в связи с разрешаемой конфликтной ситуацией.
В случае если конфликтная ситуация признается разрешенной, Участники, участвующие в разрешении конфликтной ситуации, в срок не позднее пяти рабочих дней со дня окончания работы Экспертной комиссии оформляют решение об урегулировании конфликтной ситуации.
Решение составляется Участниками, участвующими в разрешении конфликтной ситуации, в форме документа на бумажном носителе и выдается по одному экземпляру каждому Участнику. Решение подписывается уполномоченными в разрешении конфликтной ситуации лицами Участников и утверждается руководителями Участников.
4. Претензионный порядок разрешения конфликтной ситуации
Претензионный порядок разрешения конфликтной ситуации применяется:
когда конфликтная ситуация не разрешена по итогам работы Экспертной комиссии;
в случае прямого или косвенного отказа одного из Участников от участия в работе Экспертной комиссии или если одним из Участников, участвующим в разрешении конфликтной ситуации, создавались препятствия работе Экспертной комиссии;
в случае если один из Участников считает, что его права в связи с обменом электронными документами были нарушены.
Претензия должна содержать:
изложение требований Инициатора;
изложение фактических обстоятельств, на которых основываются требования Инициатора, и доказательства, подтверждающие их, со ссылкой на соответствующие нормы законодательства и нормативные акты;
сведения о работе Экспертной комиссии и в случае если Экспертная комиссия работала в связи с разрешаемой конфликтной ситуацией - копии материалов работы Экспертной комиссии независимо от выводов Экспертной комиссии, согласия или несогласия с этими выводами Инициатора;
иные документы, имеющие значение, по мнению Участника, инициирующего претензионный порядок разрешения конфликтной ситуации;
перечень прилагаемых к претензии документов и других доказательств, а также иные сведения, необходимые для урегулирования разногласий по претензии.
Претензия составляется в форме документа на бумажном носителе в свободной форме, подписывается руководителем Инициатора, заверяется печатью Инициатора. Претензия и прилагаемые к ней документы направляются в адрес Ответчика. Участник, в адрес которого направлена претензия, обязан в срок не позднее трех рабочих дней удовлетворить требования претензии или представить мотивированный отказ в их удовлетворении. Непредставление ответа на претензию в течение указанного срока является нарушением установленного настоящим разделом претензионного порядка и может рассматриваться в качестве отказа в удовлетворении требований претензии.
5. Разрешение конфликтных ситуаций в судах
Разрешение конфликтных ситуаций в судах допускается в тех случаях, когда разрешение конфликтных ситуаций в рабочем порядке, с созданием Экспертной комиссии или в претензионном порядке не привело к разрешению конфликтной ситуации.
Разрешение конфликтных ситуаций в судах проводится в порядке, установленном законодательством Российской Федерации.
Список
необходимых для разрешения конфликтной ситуации проверок
№
Наименование проверки
Результат
проверки
(да/нет)
1
2
3
1
Проверка подлинности электронного документа
1.1
Проверка присутствия документа в Комплексе
2
Подтверждение подлинности ЭП
2.1
Успешно ли выполнена проверка ЭП с использованием
сертификатов, представленных Инициатором и УЦ?
2.2
Действителен ли сертификат, которым подписан конфликтный
документ на момент подписания?
3
Проверка организационных аспектов
3.1
Проверка на соответствие положениям Регламента в
Комплексе
3.1.1
Соответствует ли представленный документ описанию класса?
3.1.2
Возможно ли подписание ЭП документов данного класса?
3.1.3
Подтверждена ли правомерность использования электронного
документа данного класса в ЮЗЭД в соответствии со списком
электронных документов, включенных в альбом электронных
документов?
3.1.4
Соответствует ли время и дата подписания электронного
документа, указанные в системном журнале, времени и дате
подписания электронного документа, указанным в заявке о
разногласиях?
3.1.5
Соответствует ли личность должностного лица, подписавшего
документ, информации, указанной в сертификате,
представленном Экспертной комиссии?
3.2
Прочие организационные аспекты
3.2.1
Подтверждена ли правомерность использования копий средств
криптографической защиты информации и Комплекса в
соответствии с условиями лицензионных соглашений?
3.2.2
Подтверждена ли корректность использования копий средств
криптографической защиты информации и Комплекса в
соответствии с документацией на используемые программные
и аппаратные средства и аттестатами соответствия?
3.2.3
Правомерно ли подписание электронного документа
Уполномоченным сотрудником Участника на основании
приказов о наделении сотрудника правом подписи
электронных документов определенных классов?
3.2.4
Представлены ли доказательства признания цепочек доверия
на основании договоров на обслуживание сертификатов
ключей ЭП, договоров на оказание услуг УЦ?
Приложение 5
УТВЕРЖДЕН
Приказом
Министерства финансов
Пермского края
от 22.11.2012 № СЭД-39-01-22-219
ПОРЯДОК
ПРЕДОСТАВЛЕНИЯ ДОКУМЕНТОВ ИЗ ПРОГРАММНОГО КОМПЛЕКСА «СКИФ»
ПО ЗАПРОСУ КОНТРОЛИРУЮЩИХ ОРГАНОВ
1. Термины и определения
Термины и определения, используемые в документе:
Квалифицированный сертификат ключа проверки электронной подписи (Сертификат) - сертификат ключа проверки электронной подписи, выданный удостоверяющим центром или доверенным лицом удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.
Ключ электронной подписи (закрытый ключ, ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи.
Ключ проверки электронной подписи (открытый ключ) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.
Комплекс - программный комплекс «СКИФ», разработанный ОАО «Финтех» (далее - разработчик), предназначенный для автоматизации формирования, приема, передачи, обработки и хранения форм отчетности.
Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
Сотрудник - пользователь, имеющий имя и пароль для входа в Комплекс и наделенный полномочиями для работы в Комплексе.
Участник - юридическое лицо, принимающее участие в юридически значимом электронном документообороте.
Усиленная квалифицированная электронная подпись (ЭП) - вид электронной подписи, которая соответствует следующим признакам:
электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
электронная подпись позволяет определить лицо, подписавшее электронный документ;
электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
электронная подпись создается с использованием средств электронной подписи;
ключ проверки электронной подписи указан в Сертификате;
для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию.
Электронный документ - отчет, в котором информация представлена в электронной форме в формате Комплекса. Юридическая значимость электронного документа подтверждается ЭП.
Юридически значимый электронный документооборот (ЮЗЭД) - документооборот на базе Комплекса, в котором участники ЮЗЭД совершают действия по обмену и принятию к исполнению документов в электронной форме, удостоверенных ЭП, и при этом несут ответственность за совершение либо несовершение этих действий.
2. Общие положения
Предоставление документов из Комплекса контролирующим органам происходит в целях осуществления государственного контроля, в том числе государственного финансового контроля в соответствии с действующим законодательством.
Настоящий Порядок определяет перечень и формат предоставляемых из Комплекса электронных документов для контролирующих органов при осуществлении ЮЗЭД.
3. Предоставление документов
3.1. Порядок формирования и содержание запроса.
Контролирующие органы направляют запрос об истребовании документов Участнику в форме официального запроса, подписанного уполномоченным должностным лицом контролирующего органа, или посредством Интегрированной системы электронного документооборота (далее - ИСЭД), подписанный ЭП уполномоченного должностного лица контролирующего органа (при использовании ИСЭД в контролирующем органе).
3.2. Порядок подготовки ответа на запрос.
Подготовка ответа на запрос осуществляется Участниками в рамках своей компетенции.
Непосредственную подготовку ответа осуществляют сотрудники Участника, ответственные за работу с указанными в запросе электронными документами.
После прохождения процедуры согласования в ИСЭД или на бумажном носителе ответ на запрос подписывается должностным лицом Участника и направляется в контролирующие органы. К ответу на запрос в качестве приложения прикрепляются распечатанные документы или электронные документы, выгруженные из Комплекса, с отпечатанными реквизитами ЭП и Сертификатом должностного лица, подписавшего документ ЭП. До выгрузки документов с реквизитами ЭП ответственный сотрудник отдела автоматизации Министерства финансов Пермского края проводит настройку выгрузки ЭП в Комплексе.
4. Выгрузка электронных документов из Комплекса
4.1. Выгрузка электронных документов из Комплекса.
Для того чтобы выгрузить электронный документ из Комплекса, необходимо:
открыть список электронных документов, содержащий искомый документ;
выбрать запрашиваемый электронный документ;
открыть выгружаемый документ на редактирование одним щелчком мыши;
выбрать операцию «Экспорт» и необходимый формат выгрузки (см. рис. 1 - не приводится).
5. Перечень предоставляемых документов
К документам, предоставляемым из Комплекса по запросу контролирующих органов, относятся формы бюджетной отчетности и сводной бухгалтерской отчетности государственных (муниципальных) бюджетных и автономных учреждений.
Приложение 6
УТВЕРЖДЕНА
Приказом
Министерства финансов
Пермского края
от 22.11.2012 № СЭД-39-01-22-219
КАРТА
РИСКОВ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА
1. Термины и определения
Термины и определения, используемые в документе:
Аккредитованный удостоверяющий центр (УЦ) - юридическое лицо, осуществляющее функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (далее - Федеральный закон 63-ФЗ), и получившее аккредитацию.
Аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона 63-ФЗ.
Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов (журнал поэкземплярного учета СКЗИ) - документ, содержащий данные о выданных уполномоченным сотрудникам ключевых документах.
Квалифицированный сертификат ключа проверки электронной подписи (Сертификат) - сертификат ключа проверки электронной подписи, выданный УЦ или доверенным лицом УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.
Ключ электронной подписи (закрытый ключ, ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи.
Ключ проверки электронной подписи (открытый ключ) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.
Ключевой документ - ключевой носитель, содержащий ключ электронной подписи, а при необходимости - контрольную, служебную и технологическую информацию.
Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключа электронной подписи.
Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся ее владельцем.
Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Роль - совокупность прав сотрудников при работе в Комплексе, с использованием которых они подписывают электронные документы электронной подписью.
Комплекс - программный комплекс «СКИФ», разработанный ОАО «Финтех» (далее - разработчик), предназначенный для автоматизации формирования, приема, передачи, обработки и хранения форм отчетности.
Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
Сотрудник - пользователь, имеющий имя и пароль для входа в Комплекс и наделенный полномочиями для работы в Комплексе.
Средства криптографической защиты информации (СКЗИ) - аппаратные и(или) программные средства, обеспечивающие применение электронной подписи (создание, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи) и(или) шифрование при осуществлении электронного документооборота, а также обеспечивающие защиту информации по утвержденным стандартам и сертифицированные в соответствии с действующим законодательством.
Уполномоченный сотрудник - сотрудник, наделенный полномочиями по подписанию электронной подписью электронных документов в соответствии с утвержденным Регламентом, для которого УЦ выпущен сертификат ключа проверки электронной подписи, отмеченный в журнале поэкземплярного учета СКЗИ как получивший ключевой носитель. Уполномоченный сотрудник назначается приказом Участника.
Участник - юридическое лицо, принимающее участие в юридически значимом электронном документообороте.
Усиленная квалифицированная электронная подпись (ЭП) - вид электронной подписи, который соответствует следующим признакам:
электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
электронная подпись позволяет определить лицо, подписавшее электронный документ;
электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
электронная подпись создается с использованием средств электронной подписи;
ключ проверки электронной подписи указан в Сертификате;
для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ.
Цепочка доверия - последовательность взаимосвязанных (доверенных) сертификатов, возникающая при проверке ключа ЭП.
Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию.
Электронный документ - отчет, в котором информация представлена в электронной форме в формате Комплекса. Юридическая значимость электронного документа подтверждается ЭП.
Юридически значимый электронный документооборот (ЮЗЭД) - документооборот на базе Комплекса, в котором участники ЮЗЭД совершают действия по обмену и принятию к исполнению документов в электронной форме, удостоверенных ЭП, и несут ответственность за совершение либо несовершение этих действий.
2. Общие сведения
Настоящий документ предназначен для описания вероятности возникновения рисков и мероприятий по их снижению, а также возможной степени причиненного ущерба.
3. Классификация рисков
Риски, связанные с ведением электронного документооборота в Комплексе, можно разделить по типу: организационные и технические, а также по источнику возникновения: внешние и внутренние. Классификация рисков представлена в таблицах 3 и 4.
4. Вероятность реализации рисков, подверженность
информационных активов воздействию рисков
С целью выделения групп, близких по значимости рисков, и подготовки полученных материалов для дальнейшего (например, количественного) анализа для каждого риска, выявленного в процессе анализа, оцениваются следующие показатели (значения атрибутов):
вероятность реализации риска;
уровень подверженности информационного актива воздействию (существенность ущерба для Министерства финансов Пермского края).
Текстовые описания значений атрибутов приведены в таблицах 1 и 2.
Таблица 1. Значения атрибута «Вероятность реализации риска»
Вероятность
Описание
Высокая
Вероятна реализация риска один или несколько раз в течение
года
Средняя
Риск может быть реализован хотя бы один раз в течение двух-
трех лет
Низкая
Реализация риска в течение трех лет маловероятна
Таблица 2. Значения атрибута «Уровень подверженности
информационного актива воздействию»
Уровень
подверженности
воздействию
Существенность ущерба (конфиденциальность/целостность
информационного актива)
5
Серьезные повреждения или полный выход информационного
актива из строя (например, видимые снаружи и существенно
влияющие на ход производственных процессов, существенно
увеличивающие затраты)
4
Серьезные повреждения, не приводящие к полному выходу
информационного актива из строя (например, не видимые
снаружи, но существенно влияющие на ход производственных
процессов, увеличивающие затраты)
3
Средние повреждения или ущерб (например, влияющие на
внутренние регламенты, увеличивающие затраты)
2
Незначительные повреждения или ущерб
1
Небольшие изменения информационного актива
Таблица 3. Организационные риски
№
Тип риска
(внутренний/
внешний)
Описание
Вероят-
ность
реали-
зации
Сущест-
венность
ущерба
Меры по снижению
1
2
3
4
5
6
1
Внутренний/
внешний
Компрометация ключа
ЭП путем хищения
носителей/копирования
данных
Высокая
4
Организация хранения
ключевых носителей и
документов, журналов
поэкземплярного учета
СКЗИ
2
Внутренний
Нарушение сотрудником
правил использования
СКЗИ
Высокая
3
Ознакомление
сотрудника под
роспись с пакетом
документации по ЮЗЭД
3
Внутренний
Увольнение
сотрудника, имевшего
доступ к ключам ЭП
Высокая
3
Подача заявления в УЦ
на отзыв Сертификата
4
Внутренний
Отказ от выполнения
должностных
обязанностей со
ссылкой на нормы
Федерального закона
63-ФЗ по части защиты
ключа ЭП
Средняя
4
Проведение обучения
персонала с показом,
что работа в
Комплексе при ЮЗЭД
соответствует по
защищенности
локальному рабочему
месту, т.е. риска
компрометации ключа
ЭП нет
5
Внутренний
Несоответствие
Комплекса требованиям
Федеральной службы по
техническому и
экспортному контролю
по части защиты
информации
Низкая
5
Обеспечение
доступности
информации об
аттестате
соответствия для всех
заинтересованных лиц
6
Внутренний
Выгрузка в архивное
хранение произведена
не полностью и(или) с
нарушением
целостности
информации о цепочках
доверия или с
нарушением
целостности
документарных томов.
Утрата документов или
их реквизитов в
процессе выгрузки
Высокая
4
Исполнение регламента
выгрузки документов
на архивное хранение
и хранения документов
в архиве
7
Внутренний
Низкая степень
значимости (важности)
Сертификата как
документа для
уполномоченных
сотрудников
Высокая
4
Выдавать бумажный
оригинал Сертификата
8
Внутренний/
внешний
Несанкционированный
доступ к техническим
средствам Комплекса
(серверам, рабочим
станциям
пользователей и т.д.)
Средняя
5
Организация
пропускного режима в
помещения,
размещающие
технические средства
системы, кабинеты, в
которых расположены
рабочие станции
пользователей
9
Внутренний
Отказ от признания
результатов
экспертизы
электронного
документа одним из
представителей
конфликтующих сторон
Высокая
3
Разработка порядка
разбора конфликтных
ситуаций,
описывающего
действия, находящиеся
за пределами
установления
авторства подписи
10
Внутренний
Разрешение конфликтов
в суде
Средняя
5
Описание досудебного
разбора конфликтов
11
Внутренний
Длительная остановка
производственного
процесса по причине
невозможности
проведения изъятия
(выемки) документов
контролирующими
органами (ситуация
рассматривается как
экстренная для
организации)
Средняя
5
Описать порядок
предоставления
документов по запросу
контролирующих
органов
12
Внутренний
Доступ пользователей
к не принадлежащим им
объектам Комплекса
Высокая
3
Использование системы
разграничения прав
доступа, настройка
ролей пользователей
13
Внутренний
Сопротивление
персонала внедрению и
использованию ЮЗЭД,
неприятие новых
методов работы
Высокая
4
Каждый этап внедрения
сопровождается
письменными
распоряжениями
руководства
Министерства финансов
Пермского края.
Организация обучения
сотрудников
14
Внутренний
Утечка
конфиденциальной
информации
Высокая
5
Назначение
персональной
ответственности
сотрудников
Таблица 4. Технические риски
№
Тип риска
Описание
Вероят-
ность
реали-
зации
Сущест-
венность
ущерба
Меры по снижению
1
Внешний
Перехват информации,
передаваемой по
каналам связи
Средняя
4
Защита протокола
передачи данных между
клиентами и веб-
серверами путем
организации https-
доступа к web-
серверу, SSL-
шифрование трафика
между клиентами и
веб-серверами
2
Внешний
Несанкционированный
доступ к серверам
Комплекса
Средняя
5
Организация VP№-сети;
расположение серверов
в DMZ;
ограничение по портам
доступа к серверам
приложений Комплекса;
использование
аппаратного
брандмауэра
3
Внутренний
Нарушение целостности
данных баз данных
Высокая
5
Резервное копирование
средствами
используемых СУБД
(средств управления
базами данных)
4
Внутренний/
внешний
Утечка ключей ЭП с
рабочих станций
пользователей
Средняя
4
Применение к рабочим
станциям единой
политики безопасности
5
Внешний
Заражение
компьютерными
вирусами
Средняя
4
Организация
антивирусной защиты
6
Внутренний
Нехватка
производственных
мощностей серверов
Комплекса
Низкая
3
Анализ планируемой
нагрузки и
наращивание мощностей
в случае
необходимости
МИНИСТЕРСТВО ПРОМЫШЛЕННОСТИ, ИННОВАЦИЙ И НАУКИ
МИНИСТЕРСТВО ФИНАНСОВ ПЕРМСКОГО КРАЯ
ПРИКАЗ
22 ноября 2012 г. № СЭД-39-01-22-219
ОБ УТВЕРЖДЕНИИ ДОКУМЕНТОВ, ПРИМЕНЯЕМЫХ ПРИ ЮРИДИЧЕСКИ ЗНАЧИМОМ ДОКУМЕНТООБОРОТЕ В ПРОГРАММНОМ КОМПЛЕКСЕ «СКИФ»
В редакции приказа Министерства финансов Пермского края от 18.11.2015 № СЭД-39-01-22-263
В целях внедрения юридически значимого электронного документооборота при представлении бюджетной отчетности и сводной бухгалтерской отчетности государственных (муниципальных) бюджетных и автономных учреждений в Министерство финансов Пермского края в программном комплексе «СКИФ» приказываю:
1. Утвердить формы договоров об обмене электронными документами между участниками юридически значимого электронного документооборота согласно приложению 1 к приказу.
(в редакции приказа Министерства финансов Пермского края от 18.11.2015 № СЭД-39-01-22-263)
2. Утвердить Положение о порядке работы со средствами криптографической защиты информации согласно приложению 3 к приказу.
3. Утвердить Порядок разбора конфликтных ситуаций согласно приложению 4 к приказу.
4. Утвердить Порядок предоставления документов из программного комплекса «СКИФ» по запросу контролирующих органов согласно приложению 5 к приказу.
5. Утвердить карту рисков электронного документооборота согласно приложению 6 к приказу.
6. Начальнику отдела консолидированной отчетности управления бюджетного учета и отчетности, заместителю главного бухгалтера
Балашенковой С.В. довести настоящий Приказ до главных распорядителей бюджетных средств Пермского края (главных администраторов, главных администраторов источников финансирования дефицита бюджета Пермского края, органов государственной власти Пермского края, осуществляющих в отношении государственных краевых учреждений функции и полномочия учредителя), финансовых органов муниципальных районов (городских округов) Пермского края и Пермского краевого фонда обязательного медицинского страхования.
7. Контроль за исполнением приказа возложить на начальника управления бюджетного учета и отчетности, главного бухгалтера Вотинову И.Г.
Министр финансов
О.В.АНТИПИНА
Приложение 1
УТВЕРЖДЕН
Приказом
Министерства финансов
Пермского края
от 22.11.2012 № СЭД-39-01-22-219
(в редакции приказа Министерства финансов Пермского края от 18.11.2015 № СЭД-39-01-22-263)
Форма 1
ДОГОВОР N _____________
об обмене электронными документами между участниками
юридически значимого электронного документооборота
г. Пермь "___" ____________ 20__ г.
___________________________________________________________________________
(полное наименование Субъекта отчетности)
именуемый в дальнейшем "Субъект отчетности", в лице ___________________
________________________________________________, действующего на основании
___________________________________________, с одной стороны и Министерство
финансов Пермского края, именуемое в дальнейшем "Организатор", в лице
министра финансов Пермского края _________________________________________,
действующего на основании Положения, с другой стороны, в дальнейшем
именуемые "Участники", заключили настоящий Договор об обмене электронными
документами между участниками юридически значимого электронного
документооборота (далее - Договор) о нижеследующем:
I. Термины и определения
В настоящем Договоре применяются следующие термины и определения:
аккредитованный удостоверяющий центр (далее - УЦ) - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон 63-ФЗ), и получившие аккредитацию. Выбор УЦ при работе с Комплексом осуществляется Организатором;
аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона 63-ФЗ;
владелец сертификата ключа проверки электронной подписи (владелец сертификата) - лицо, которому в установленном Федеральным законом 63-ФЗ порядке выдан сертификат ключа проверки электронной подписи;
дайджест - строка неограниченной длины, сформированная на основе данных электронного документа посредством определенных алгоритмов и предназначенная для формирования электронной подписи электронного документа;
журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов (далее - Журнал поэкземплярного учета СКЗИ) - документ, содержащий данные о выданных Уполномоченным сотрудникам ключевых документах;
информационная система электронного документооборота (далее - ИСЭД) - интегрированная система электронного документооборота, архива и управления потоками работ аппарата Правительства Пермского края, использующаяся у Организатора и у Субъекта отчетности для обмена документами в электронном виде (письма, служебные записки, приказы и т.д.);
квалифицированный сертификат ключа проверки электронной подписи (далее - Сертификат) - сертификат ключа проверки электронной подписи, выданный УЦ или доверенным лицом УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи;
ключ электронной подписи (закрытый ключ, ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи;
ключ проверки электронной подписи (открытый ключ) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи;
Комплекс - программный комплекс "СКИФ", разработанный ОАО "Финтех" (далее - разработчик), предназначенный для автоматизации процессов формирования, приема, передачи, обработки и хранения форм отчетности;
ключевой документ - ключевой носитель, содержащий ключ электронной подписи, а при необходимости - контрольную, служебную и технологическую информацию;
ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключа электронной подписи;
Организатор - Министерство финансов Пермского края, осуществляющее прием от Субъекта отчетности, обработку и хранение форм отчетности;
правила подписания - настроечный параметр Комплекса, позволяющий установить права на подписание электронных документов электронной подписью;
регламент применения электронной подписи (далее - Регламент) - документ, определяющий порядок применения усиленной квалифицированной электронной подписи, в том числе статусы электронных документов, на которых происходит наложение электронной подписи в электронном документе;
реестр Сертификатов - перечень Сертификатов Уполномоченных сотрудников Участников;
список отозванных Сертификатов - документ, содержащий список серийных номеров Сертификатов, которые в определенный момент времени были отозваны либо действие которых было приостановлено;
сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи;
средства криптографической защиты информации (далее - СКЗИ) - аппаратные и (или) программные средства, обеспечивающие применение электронной подписи (создание, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи), и (или) шифрование при осуществлении электронного документооборота, а также обеспечивающие защиту информации по утвержденным стандартам и сертифицированные в соответствии с действующим законодательством;
средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи, ключа проверки электронной подписи;
статус электронного документа - атрибут электронного документа, идентифицирующий его состояние по определенному признаку;
Субъект отчетности - главный распорядитель средств бюджета Пермского края, Территориальный фонд обязательного медицинского страхования Пермского края, осуществляющие формирование и передачу форм отчетности Организатору;
Уполномоченный сотрудник - сотрудник, наделенный полномочиями по подписанию электронной подписью электронных документов в соответствии с утвержденным Регламентом, для которого УЦ выпущен сертификат ключа проверки электронной подписи, отмеченный в Журнале поэкземплярного учета СКЗИ как получивший ключевой носитель. Уполномоченный сотрудник назначается приказом Участника;
усиленная квалифицированная электронная подпись (далее - ЭП) - вид электронной подписи, которая соответствует следующим признакам:
электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
электронная подпись позволяет определить лицо, подписавшее электронный документ;
электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
электронная подпись создается с использованием средств электронной подписи;
ключ проверки электронной подписи указан в Сертификате;
для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ;
Экспертная комиссия - комиссия, разрешающая конфликтные ситуации, связанные с использованием юридически значимого электронного документооборота;
электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию;
электронный документ - отчет, в котором информация представлена в электронной форме в формате Комплекса. Юридическая значимость электронного документа подтверждается ЭП;
юридически значимый электронный документооборот (далее - ЮЗЭД) - документооборот на базе Комплекса, в котором участники ЮЗЭД совершают действия по передаче и приему документов в электронной форме, удостоверенных ЭП, и несут ответственность за совершение либо несовершение этих действий.
II. Предмет Договора
Настоящий Договор определяет условия и порядок обмена юридически значимыми электронными документами между Участниками на базе Комплекса, а также права и обязанности Участников, возникающие при обмене юридически значимыми электронными документами на базе Комплекса.
III. Общие положения
3.1. Участники осуществляют передачу и прием юридически значимых электронных документов на базе Комплекса по телекоммуникационным каналам связи. ЮЗЭД осуществляется с применением усиленной квалифицированной электронной подписи.
3.2. С целью обеспечения авторства, целостности и конфиденциальности электронных документов при информационном взаимодействии Участники используют сертифицированные СКЗИ.
3.3. Используемые при информационном взаимодействии Участников электронные документы с ЭП, сформированной Участниками средствами СКЗИ, имеют равную юридическую силу с документами на бумажном носителе, подписанными соответствующими собственноручными подписями Уполномоченных сотрудников Участников. При этом для их ЭП соблюдены следующие условия:
сертификаты изданы УЦ и не утратили силу (действуют) на момент проверки или на момент подписания электронного документа;
ЭП используется в соответствии со сведениями, указанными в Сертификате.
3.4. Участники признают, что используемые при ЮЗЭД в Комплексе СКЗИ, реализующие функции создания ЭП, достаточны для подтверждения следующего:
электронный документ исходит от Субъекта отчетности, его составившего (подтверждение авторства отправленного электронного документа);
электронный документ не претерпел изменений в процессе передачи (подтверждение целостности и подлинности электронного документа).
3.5. Организатор оставляет за собой право обновлять версию Комплекса с дальнейшей эксплуатацией ЮЗЭД на обновленной версии без предварительных уведомлений Субъекта отчетности.
IV. Права и обязанности Участников
4.1. Организатор обязан:
4.1.1. Обеспечить функционирование Комплекса, а также обеспечить другой необходимой информацией для предоставления Субъекту отчетности возможности передачи юридически значимых электронных документов Организатору.
4.1.2. При внесении изменении в Регламент (приложение к настоящему Договору) провести настройки серверной части Комплекса.
4.1.3. Немедленно уведомить Субъекта отчетности любым доступным способом в случаях выявления:
4.1.3.1. ошибок в работе Комплекса при работе с ЭП (подписания ЭП, проверки ЭП и др.);
4.1.3.2. ошибок, возникающих в связи с попытками нарушения информационной безопасности.
4.1.4. Вести актуальный реестр сертификатов Уполномоченных сотрудников Участников на основе принятых сертификатов и списка отозванных сертификатов от Субъекта отчетности.
4.1.5. При условии соответствия электронных документов признакам и требованиям к юридически значимым электронным документам, указанным в Регламенте, принять от Субъекта отчетности электронный документ для дальнейшей проверки в соответствии с приказами Организатора.
4.1.6. Предоставить Субъекту отчетности перечень форм отчетности, установленных нормативными правовыми актами Российской Федерации и Пермского края, подписываемых ЭП.
4.2. Организатор имеет право:
4.2.1. В случае несоответствия электронного документа признакам и требованиям к юридически значимым электронным документам отказать Субъекту отчетности в приеме электронного документа с указанием мотивированной причины отказа.
4.2.2. Приостановить осуществление ЮЗЭД при:
4.2.2.1. несоблюдении Субъектом отчетности требований по передаче ЭД и обеспечению информационной безопасности в соответствии с настоящим договором;
4.2.2.2. разрешении спорных ситуаций;
4.2.2.3. выполнении неотложных аварийных и ремонтно-восстановительных работ Комплекса.
4.2.3. На урегулирование вопросов в случае возникновения конфликтных ситуаций.
4.2.4. Вносить изменения в Регламент в соответствии с требованиями разработчика Комплекса.
4.3. Субъект отчетности обязан:
4.3.1. Обеспечить функционирование Комплекса на рабочем месте Субъекта отчетности, установить СКЗИ, указанные Организатором, на компьютерах Уполномоченных сотрудников для обеспечения работоспособности ЮЗЭД.
4.3.2. Обеспечить всеми необходимыми средствами (сертифицированные СКЗИ, сертификаты, ключевые носители и т.д.) Уполномоченных сотрудников Субъекта отчетности.
4.3.3. Выполнять требования УЦ в соответствии с порядком УЦ и другими документами, регламентирующими процесс взаимодействия УЦ и пользователей услуг УЦ.
4.3.4. Назначить сотрудника, ответственного за эксплуатацию СКЗИ и ведение Журнала поэкземплярного учета СКЗИ, и Уполномоченных сотрудников.
4.3.5. Передавать Организатору электронные документы, оформленные в соответствии с Регламентом.
4.3.6. В целях обеспечения безопасности обработки и передачи юридически значимых электронных документов:
4.3.6.1. соблюдать требования, изложенные в разделе V настоящего Договора, и требования Положения о порядке работы со СКЗИ, утвержденного приказом Организатора;
4.3.6.2. соблюдать требования эксплуатационной документации на используемые СКЗИ;
4.3.6.3. соблюдать требования законодательства Российской Федерации в области использования ЭП;
4.3.6.4. прекратить использование ЭП в случае компрометации ключа и немедленно любым доступным способом информировать Организатора и УЦ об указанном факте;
4.3.6.5. хранить ключевой документ в месте, исключающем доступ неуполномоченных лиц и/или возможность его повреждения.
4.3.7. В случае невозможности исполнения обязательств по настоящему Договору немедленно известить Организатора о приостановлении взаимных обязательств.
4.3.8. При возникновении споров, связанных с принятием или непринятием электронных документов, подписанных ЭП, входящих в перечень юридически значимых электронных документов, руководствоваться Порядком разбора конфликтных ситуаций, утвержденным приказом Организатора. Способ разрешения конфликтных ситуаций устанавливает Организатор.
4.3.9. По первому требованию предоставить Организатору заверенные печатью и подписями Уполномоченных сотрудников Субъекта отчетности электронные документы, распечатанные по формам отчетности, входящие в перечень юридически значимых электронных документов.
4.3.10. Заменить Сертификат в порядке, предусмотренном УЦ, в следующих случаях:
4.3.10.1. смены Уполномоченных сотрудников Субъекта отчетности;
4.3.10.2. изменения данных, идентифицирующих Уполномоченного сотрудника Субъекта отчетности;
4.3.10.3. смены ключей ЭП;
4.3.10.4. компрометации ключей ЭП.
4.3.11. Немедленно уведомить Организатора любым доступным способом о случаях:
4.3.11.1. возникновения угрозы использования (копирования) иными лицами ключа ЭП, принадлежащего Уполномоченному сотруднику Субъекта отчетности;
4.3.11.2. утраты ключевого документа Уполномоченного сотрудника Субъекта отчетности;
4.3.11.3. изменения состава Уполномоченных сотрудников Субъекта отчетности, обладающих правом использования ключей ЭП.
4.4. Субъект отчетности имеет право:
4.4.1. требовать от Организатора принятия от Субъекта отчетности электронных документов;
4.4.2. на урегулирование вопросов в случае возникновения конфликтных ситуаций.
V. Безопасность эксплуатации СКЗИ в Комплексе
5.1. СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету.
5.2. Поэкземплярный учет СКЗИ, эксплуатационной и технической документации к ним, ключевых документов ведет ответственный за эксплуатацию СКЗИ сотрудник Субъекта отчетности в Журнале поэкземплярного учета СКЗИ. Ответственный за эксплуатацию СКЗИ и форма поэкземплярного учета СКЗИ утверждаются приказом Субъекта отчетности. При этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их эксплуатация.
5.3. Единицей поэкземплярного учета ключей ЭП считается ключевой носитель многократного использования. В случае когда один и тот же ключевой носитель многократно используют для записи ключей ЭП, то каждый раз он подлежит отдельной регистрации.
5.4. Дистрибутивы СКЗИ, эксплуатационная и техническая документация к СКЗИ хранятся у ответственного за эксплуатацию СКЗИ сотрудника Субъекта отчетности. Ключи ЭП хранятся у Уполномоченных сотрудников. Хранение осуществляется в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
5.5. Ключевые документы с неработоспособными ключами ЭП ответственный за эксплуатацию СКЗИ сотрудник Субъекта отчетности принимает у Уполномоченного сотрудника под роспись в Журнале поэкземплярного учета СКЗИ.
5.6. В Комплексе используется СКЗИ с открытым распределением ключей.
5.7. Подписание электронного документа ЭП осуществляется с использованием только того ключа ЭП, для которого выдан Сертификат Уполномоченного сотрудника.
5.8. Уполномоченный сотрудник Субъекта отчетности несет ответственность за отсутствие на компьютере, на котором осуществляется эксплуатация ЮЗЭД, посторонних программ (вирусов и т.д.), способствующих нарушению функционирования ЮЗЭД.
5.9. При обнаружении на компьютере, на котором осуществляется эксплуатация ЮЗЭД, посторонних программ (вирусов и т.д.) эксплуатация ЮЗЭД на этом компьютере должна быть прекращена для дальнейшей организации мероприятий по анализу и ликвидации посторонних программ и возможных последствий.
5.10. Действия в случае компрометации ключей ЭП:
5.10.1. К событиям, связанным с компрометацией ключей ЭП, относится следующее:
утрата ключевых носителей, содержащих ключи ЭП;
потеря ключевых носителей, содержащих ключи ЭП, с их последующим обнаружением;
хищение ключевых носителей, содержащих ключи ЭП;
разглашение содержимого ключевых носителей, содержащих ключи ЭП;
несанкционированное копирование содержимого ключевых носителей, содержащих ключи ЭП;
нарушение правил хранения и уничтожения (после окончания срока действия ключевых носителей, содержащих ключи ЭП);
возникновение подозрений об утечке содержимого ключевых носителей, содержащих ключи ЭП, или ее искажение в Комплексе;
нарушение печати на сейфе или замка сейфа, в котором хранятся ключевые носители, содержащие ключи ЭП;
невозможность достоверного установления того, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленников);
любые другие виды разглашения содержимого ключевых носителей, содержащих ключи ЭП, в результате которых ключи ЭП могут стать доступными посторонним лицам и (или) процессам.
5.10.2. Уполномоченный сотрудник Субъекта отчетности самостоятельно определяет факт компрометации ключа ЭП и оценивает значение этого события. Мероприятия по розыску и локализации последствий компрометации ключа ЭП организует и осуществляет Субъект отчетности с участием владельца скомпрометированного ключа ЭП.
5.10.3. В случае установления факта компрометации ключа ЭП Уполномоченный сотрудник Субъекта отчетности обязан незамедлительно прекратить эксплуатацию ключа ЭП в Комплексе и уведомить Организатора, а также УЦ по телекоммуникационным каналам связи.
В течение 30 (тридцати) минут после поступления сообщения о компрометации ключа ЭП Организатор обеспечивает прекращение работы Уполномоченного сотрудника Субъекта отчетности в Комплексе и использование соответствующего Сертификата в ЮЗЭД на базе Комплекса.
Возобновление работы Уполномоченного сотрудника Субъекта отчетности в Комплексе происходит только после замены скомпрометированного ключа.
Для получения новых ключей ЭП Уполномоченный сотрудник Субъекта отчетности должен руководствоваться порядком получения ключей ЭП, установленным УЦ.
5.11. Уполномоченному сотруднику Субъекта отчетности запрещается:
5.11.1. осуществлять несанкционированное копирование ключей ЭП;
5.11.2. разглашать содержимое ключевого документа или передавать сами ключевые документы лицам, к ним не допущенным, оставлять без присмотра ключевой документ, выводить содержимое ключевого документа на дисплей или принтер;
5.11.3. вставлять ключевые документы в устройства считывания в режимах, не предусмотренных штатным режимом работы СКЗИ, а также в устройства считывания других аппаратных средств;
5.11.4. записывать на ключевой носитель постороннюю информацию, использовать ключевой носитель на неисправных устройствах считывания информации;
5.11.5. вносить какие-либо изменения в программное обеспечение СКЗИ.
VI. Предоставление документов при вводе в действие
и дальнейшей работе в ЮЗЭД на базе Комплекса
6.1. Предоставление документов при вводе в действие ЮЗЭД на базе Комплекса:
6.1.1. Субъект отчетности в соответствии с документацией к Комплексу устанавливает СКЗИ на компьютерах Уполномоченных сотрудников.
6.1.2. Уполномоченные сотрудники Субъекта отчетности получают от УЦ средства ЭП: Сертификаты, ключи ЭП. Порядок получения Сертификатов, ключей ЭП устанавливает УЦ.
6.1.3. При заключении настоящего Договора Субъект отчетности предоставляет Организатору:
приказ Субъекта отчетности о назначении Уполномоченных сотрудников с указанием ролей в соответствии с приложением к настоящему Договору посредством ИСЭД;
полученные от УЦ Сертификаты Уполномоченных сотрудников Субъекта отчетности в электронном виде на электронную почту supportweb@fin.permregion.ru, с указанием темы письма: "Сертификаты СКИФ трехзначный код Субъекта отчетности".
6.2. Предоставление документов при дальнейшей работе в ЮЗЭД на базе Комплекса:
6.2.1. В случае изменения ФИО, должности, списочного состава Уполномоченных сотрудников Субъекта отчетности, наименования Субъекта отчетности Субъект отчетности обязан в течение трех рабочих дней, в зависимости от ситуации, представить Организатору:
приказ Субъекта отчетности о назначении Уполномоченных сотрудников, с указанием ролей в соответствии с приложением к настоящему Договору посредством ИСЭД;
скан-копию заявлений на аннулирование (отзыв) Сертификата по форме согласно порядку УЦ посредством ИСЭД;
полученные от УЦ Сертификаты Уполномоченных сотрудников Субъекта отчетности в электронном виде на электронную почту supportweb@fin.permregion.ru, с указанием темы письма: "Сертификаты СКИФ трехзначный код Субъекта отчетности".
6.2.2. В случае планового перевыпуска Сертификатов Субъект отчетности в течение трех рабочих дней представляет Организатору полученные от УЦ Сертификаты Уполномоченных сотрудников Субъекта отчетности в электронном виде на электронную почту supportweb@fin.permregion.ru, с указанием темы письма: "Сертификаты СКИФ трехзначный код Субъекта отчетности".
6.2.3. В случае изменения адреса электронной почты Организатор в течение двух рабочих дней сообщает Клиенту новый адрес электронной почты для предоставления Сертификатов. Информация о смене адреса электронной почты размещается на сайте Организатора http://mfin.permkrai.ru/ в разделе "Методические рекомендации" - "ПО СКИФ".
6.3. Организатор после предоставления Субъектом отчетности документов, указанных в пунктах 6.1.3, 6.2.1 настоящего Договора, и Сертификатов Уполномоченных сотрудников, указанных в пункте 6.2.2 настоящего Договора, в течение трех рабочих дней вводит в действие Сертификаты Уполномоченных сотрудников Субъекта отчетности (вносит в реестр Сертификатов).
6.4. Организатор уведомляет Субъекта отчетности о внесении Сертификатов Уполномоченных сотрудников Субъект отчетности посредством электронной почты.
VII. Ответственность Участников
7.1. Участники несут ответственность за действия своих Уполномоченных сотрудников при осуществлении ЮЗЭД в рамках настоящего Договора.
7.2. За неисполнение или ненадлежащее исполнение Участниками своих обязательств по настоящему Договору Участники несут ответственность в соответствии с законодательством Российской Федерации.
7.3. Участник не отвечает за неисполнение или ненадлежащее выполнение своих обязательств по настоящему Договору, если это было вызвано действиями (бездействием) другого Участника.
7.4. При использовании телекоммуникационных каналов связи и передачи данных Участники не несут ответственности за возможные временные задержки при доставке юридически значимых электронных документов, произошедшие не по их вине.
VIII. Разрешение конфликтных ситуаций
8.1. Все споры и разногласия, которые могут возникнуть в связи с применением, нарушением, толкованием настоящего Договора, признанием недействительным настоящего Договора или его части, Участники будут стремиться разрешить, используя переговоры и иные механизмы урегулирования споров и разногласий.
8.2. В случаях, когда конфликтная ситуация не урегулирована в результате переговоров и работы Экспертной комиссии, созданной в соответствии с Порядком разбора конфликтных ситуаций, утвержденным приказом Организатора, Участники обращаются в Арбитражный суд Пермского края.
IX. Форс-мажорные обстоятельства
9.1. Участник не несет ответственности в случае невыполнения, несвоевременного или ненадлежащего выполнения какого-либо обязательства по настоящему Договору, если указанное невыполнение, несвоевременное или ненадлежащее выполнение обусловлены исключительно наступлением и/или действием следующих обстоятельств (далее - форс-мажорные обстоятельства): обстоятельств непреодолимой силы; сбоев, неисправностей и отказов оборудования; сбоев и ошибок программного обеспечения; сбоев, неисправностей и отказов системы связи, энергосбережения, кондиционирования и других систем жизнеобеспечения, которые Участник не мог ни предвидеть, ни предотвратить.
9.2. Участник, надлежащее исполнение обязательств которого оказалось невозможным в силу влияния форс-мажорных обстоятельств, в течение 3 (трех) рабочих часов после их наступления информирует другого Участника о наступлении этих обстоятельств и об их последствиях любым доступным способом и принимает все возможные меры с целью максимально ограничить отрицательные последствия, вызванные указанными форс-мажорными обстоятельствами.
9.3. Неизвещение или несвоевременное извещение другого Участника Участником, надлежащее исполнение обязательств которого оказалось невозможным в силу влияния форс-мажорных обстоятельств, о наступлении этих обстоятельств влечет за собой утрату права ссылаться на эти обстоятельства.
9.4. Наступление форс-мажорных обстоятельств влечет увеличение срока исполнения обязательств по настоящему Договору на период их действия, если Участники не договорились об ином.
X. Порядок внесения изменений в Договор
10.1. В случае принятия нормативного правового акта уполномоченным государственным органом по вопросам, регулируемым настоящим Договором, соответствующие положения Договора подлежат изменению по инициативе одного из Участников.
10.2. По взаимному согласию Участников в текст Договора могут вноситься изменения и дополнения.
10.3. Все изменения и дополнения к настоящему Договору действительны в том случае, если они оформлены в письменном виде и подписаны уполномоченными представителями Участников, за исключением изменений, внесенных Организатором в приложение к настоящему Договору.
10.4. Организатор вправе в одностороннем порядке внести изменения в приложение к настоящему Договору, о чем уведомляет Субъект отчетности в течение пяти рабочих дней.
XI. Срок действия Договора
11.1. Настоящий Договор вступает в силу с момента его подписания Участниками. Конечным сроком Договор не ограничивается.
11.2. Дата начала обмена юридически значимыми электронными документами определяется датой третьего рабочего дня с даты представления Субъектом отчетности документов, указанных в пункте 6.1.3 настоящего Договора.
11.3. Настоящий Договор может быть расторгнут:
11.3.1. по письменному соглашению Участников;
11.3.2. в случае исключения Субъекта отчетности из Сводного реестра главных распорядителей, распорядителей и получателей средств бюджета Пермского края. При этом Договор считается расторгнутым с момента исключения Субъекта отчетности из Сводного реестра главных распорядителей, распорядителей и получателей средств бюджета Пермского края.
11.4. В случае изменения наименования, адреса или прочих реквизитов Участник уведомляет другого Участника в течение пяти рабочих дней со дня внесения соответствующих изменений.
11.5. Расторжение настоящего Договора не влияет на действительность юридически значимых электронных документов, подписанных ЭП Уполномоченных сотрудников Участников до даты расторжения настоящего Договора.
XII. Заключительные положения
12.1. Настоящий Договор составлен в двух экземплярах, имеющих одинаковую юридическую силу, по одному экземпляру для каждого Участника.
12.2. Приложение к настоящему Договору является его неотъемлемой частью.
12.3. С даты подписания Участниками настоящего Договора договор об обмене электронными документами между участниками юридически значимого электронного документооборота от _________________ N _____ считается расторгнутым.
XIII. Адреса, банковские реквизиты и подписи Участников
КЛИЕНТ
ОРГАНИЗАТОР
_________________________________
_________________________________
________________________________
Министерство финансов Пермского края
614006, г. Пермь, ул. Ленина, д. 51,
ИНН 5902290917, КПП 590201001
ОКВЭД 75.11.21, ОКПО 02292395
ОГРН 1025900070293,
ОКТМО 57701000001
УФК по Пермскому краю (Минфин Пермского края (Министерство финансов Пермского края, л/с 028400252))
р/с 40201810100000000005
Банк: Отделение Пермь, г. Пермь, БИК: 045773001
_________________/_______________ /
М.П.
________________/ ______________/
М.П.
Приложение
к Договору N __
от "___" ____________ 20__ г.
РЕГЛАМЕНТ
применения электронной подписи
I. Общие сведения
Настоящий Регламент определяет порядок применения ЭП, в том числе статусы электронных документов, на которых происходит наложение электронной подписи в электронном документе.
II. Средства применения электронной подписи
При работе с ЮЗЭД принимаются и признаются Сертификаты, изданные УЦ.
Сертификат признается изданным УЦ, если подтверждена подлинность ЭП уполномоченного лица УЦ, которым подписан Сертификат Уполномоченного сотрудника Участника.
Идентификационные данные, занесенные в Сертификат, однозначно идентифицируют владельца сертификата и соответствуют идентификационным данным владельца сертификата, зарегистрированным УЦ.
Для определения статуса Сертификата используется список отозванных сертификатов, издаваемый и публикуемый УЦ в порядке и с периодичностью, определяемой УЦ.
Местом публикации списков отозванных сертификатов принимается адрес информационного ресурса, определенный УЦ.
В качестве средств ЭП используются СКЗИ, сертифицированные в соответствии с действующим законодательством, а также совместимые с Комплексом (согласно требованиям Комплекса) и обеспечивающие:
реализацию функций создания ЭП в электронном документе с использованием ключа;
подтверждение с использованием Сертификата подлинности ЭП в электронном документе;
создание ключей и Сертификатов ЭП.
ЭП хранится отдельно от электронных документов. Формат ЭП определяется рекомендациями RFC 3852 "Cryptographic Message Syntax (CMS)", с учетом использования криптографических алгоритмов ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94 в соответствии с RFC 4490 "Using the GOST 28147-89, GOST R 34.11-94, GOST R 34.10-94, and GOST R 34.10-2001 Algorithms with Cryptographic Message Syntax (CMS)".
III. Перечень электронных документов, включенных
в юридически значимый электронный документооборот
Электронными документами, которые будут считаться юридически значимыми при условии подписания их ЭП (в случае выполнения всех условий равнозначности ЭП собственноручной в соответствии с Федеральным законом 63-ФЗ) и с учетом иных требований настоящего Договора, являются формы бюджетной и сводной бухгалтерской отчетности государственных автономных и бюджетных учреждений, установленные соответствующими приказами Министерства финансов Российской Федерации, Федерального казначейства, а также дополнительные формы бюджетной и бухгалтерской отчетности, установленные соответствующими приказами Организатора (далее - формы отчетности).
Требования к дайджестам определяет Организатор. Участник имеет право быть ознакомленным с составом дайджестов юридически значимых электронных документов.
IV. Правила подписания электронных документов
Руководитель Субъекта отчетности назначает распорядительным документом Уполномоченных сотрудников.
Субъект отчетности после проведения в Комплексе функциональных этапов по вводу данных, проведения расчетов, контроля по логической увязке данных в формах отчетности (внутридокументный, междокументный контроль) устанавливает статус "Утвержден" и подписывает утвержденные формы отчетности. Каждая форма отчетности должна содержать две ЭП: первая подпись - руководитель главного распорядителя средств бюджета Пермского края либо лицо, исполняющее его обязанности, вторая подпись - главный бухгалтер главного распорядителя средств бюджета Пермского края либо лицо, исполняющее его обязанности.
Уполномоченные сотрудники Субъекта отчетности обязуются подписывать юридически значимые электронные документы своей электронной подписью строго в соответствии с правилами подписания, в ином случае электронные документы не считаются юридически значимыми.
V. Перечень ролей, используемых в Комплексе
1
Руководитель
2
Главный бухгалтер
VI. Контроль правил подписания юридически значимых
электронных документов
Контроль правил подписания юридически значимых электронных документов осуществляется организационными методами. Также допускается контроль техническими средствами Комплекса (использование правил проверки в Комплексе). Способы контроля правил подписания определяются Организатором.
Форма 2
ДОГОВОР N _____________
об обмене электронными документами между участниками
юридически значимого электронного документооборота
г. Пермь "___" ____________ 20__ г.
___________________________________________________________________________
(полное наименование Субъекта отчетности)
именуемый в дальнейшем "Субъект отчетности", в лице ___________________
________________________________________________, действующего на основании
___________________________________________, с одной стороны и Министерство
финансов Пермского края, именуемое в дальнейшем "Организатор", в лице
министра финансов Пермского края _________________________________________,
действующего на основании Положения, с другой стороны, в дальнейшем
именуемые "Участники", заключили настоящий Договор об обмене электронными
документами между участниками юридически значимого электронного
документооборота (далее - Договор) о нижеследующем:
I. Термины и определения
В настоящем Договоре применяются следующие термины и определения:
аккредитованный удостоверяющий центр (далее - УЦ) - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон 63-ФЗ), и получившие аккредитацию. Выбор УЦ при работе с Комплексом осуществляется Организатором;
аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона 63-ФЗ;
владелец сертификата ключа проверки электронной подписи (владелец сертификата) - лицо, которому в установленном Федеральным законом 63-ФЗ порядке выдан сертификат ключа проверки электронной подписи;
дайджест - строка неограниченной длины, сформированная на основе данных электронного документа посредством определенных алгоритмов и предназначенная для формирования электронной подписи электронного документа;
журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов (далее - Журнал поэкземплярного учета СКЗИ) - документ, содержащий данные о выданных Уполномоченным сотрудникам ключевых документах;
квалифицированный сертификат ключа проверки электронной подписи (далее - Сертификат) - сертификат ключа проверки электронной подписи, выданный УЦ или доверенным лицом УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи;
ключ электронной подписи (закрытый ключ, ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи;
ключ проверки электронной подписи (открытый ключ) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи;
Комплекс - программный комплекс "СКИФ", разработанный ОАО "Финтех" (далее - разработчик), предназначенный для автоматизации процессов формирования, приема, передачи, обработки и хранения форм отчетности;
ключевой документ - ключевой носитель, содержащий ключ электронной подписи, а при необходимости - контрольную, служебную и технологическую информацию;
ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключа электронной подписи;
Организатор - Министерство финансов Пермского края, осуществляющее прием от Субъекта отчетности, обработку и хранение форм отчетности;
правила подписания - настроечный параметр Комплекса, позволяющий установить права на подписание электронных документов электронной подписью;
регламент применения электронной подписи (далее - Регламент) - документ, определяющий порядок применения усиленной квалифицированной электронной подписи, в том числе статусы электронных документов, на которых происходит наложение электронной подписи в электронном документе;
реестр Сертификатов - перечень Сертификатов Уполномоченных сотрудников Участников;
список отозванных Сертификатов - документ, содержащий список серийных номеров Сертификатов, которые в определенный момент времени были отозваны либо действие которых было приостановлено;
сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи;
средства криптографической защиты информации (далее - СКЗИ) - аппаратные и (или) программные средства, обеспечивающие применение электронной подписи (создание, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи) и (или) шифрование при осуществлении электронного документооборота, а также обеспечивающие защиту информации по утвержденным стандартам и сертифицированные в соответствии с действующим законодательством;
средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи, ключа проверки электронной подписи;
статус электронного документа - атрибут электронного документа, идентифицирующий его состояние по определенному признаку;
Субъект отчетности - Законодательное Собрание Пермского края, Контрольно-счетная палата Пермского края, Избирательная комиссия Пермского края, Уполномоченный по правам человека в Пермском крае, Уполномоченный по защите прав предпринимателей в Пермском крае, осуществляющие формирование и передачу форм отчетности Организатору;
Уполномоченный сотрудник - сотрудник, наделенный полномочиями по подписанию электронной подписью электронных документов в соответствии с утвержденным Регламентом, для которого УЦ выпущен сертификат ключа проверки электронной подписи, отмеченный в Журнале поэкземплярного учета СКЗИ как получивший ключевой носитель. Уполномоченный сотрудник назначается приказом Участника;
усиленная квалифицированная электронная подпись (далее - ЭП) - вид электронной подписи, которая соответствует следующим признакам:
электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
электронная подпись позволяет определить лицо, подписавшее электронный документ;
электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
электронная подпись создается с использованием средств электронной подписи;
ключ проверки электронной подписи указан в Сертификате;
для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ;
Экспертная комиссия - комиссия, разрешающая конфликтные ситуации, связанные с использованием юридически значимого электронного документооборота;
электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию;
электронный документ - отчет, в котором информация представлена в электронной форме в формате Комплекса. Юридическая значимость электронного документа подтверждается ЭП;
юридически значимый электронный документооборот (далее - ЮЗЭД) - документооборот на базе Комплекса, в котором участники ЮЗЭД совершают действия по передаче и приему документов в электронной форме, удостоверенных ЭП, и несут ответственность за совершение либо несовершение этих действий.
II. Предмет Договора
Настоящий Договор определяет условия и порядок обмена юридически значимыми электронными документами между Участниками на базе Комплекса, а также права и обязанности Участников, возникающие при обмене юридически значимыми электронными документами на базе Комплекса.
III. Общие положения
3.1. Участники осуществляют передачу и прием юридически значимых электронных документов на базе Комплекса по телекоммуникационным каналам связи. ЮЗЭД осуществляется с применением усиленной квалифицированной электронной подписи.
3.2. С целью обеспечения авторства, целостности и конфиденциальности электронных документов при информационном взаимодействии Участники используют сертифицированные СКЗИ.
3.3. Используемые при информационном взаимодействии Участников электронные документы с ЭП, сформированной Участниками средствами СКЗИ, имеют равную юридическую силу с документами на бумажном носителе, подписанными соответствующими собственноручными подписями Уполномоченных сотрудников Участников. При этом для их ЭП соблюдены следующие условия:
сертификаты изданы УЦ и не утратили силу (действуют) на момент проверки или на момент подписания электронного документа;
ЭП используется в соответствии со сведениями, указанными в Сертификате.
3.4. Участники признают, что используемые при ЮЗЭД в Комплексе СКЗИ, реализующие функции создания ЭП, достаточны для подтверждения следующего:
электронный документ исходит от Субъекта отчетности, его составившего (подтверждение авторства отправленного электронного документа);
электронный документ не претерпел изменений в процессе передачи (подтверждение целостности и подлинности электронного документа).
3.5. Организатор оставляет за собой право обновлять версию Комплекса с дальнейшей эксплуатацией ЮЗЭД на обновленной версии без предварительных уведомлений Субъекта отчетности.
IV. Права и обязанности Участников
4.1. Организатор обязан:
4.1.1. Обеспечить функционирование Комплекса, а также обеспечить другой необходимой информацией для предоставления Субъекту отчетности возможности передачи юридически значимых электронных документов Организатору.
4.1.2. При внесении изменений в Регламент (приложение к настоящему Договору) провести настройки серверной части Комплекса.
4.1.3. Немедленно уведомить Субъекта отчетности любым доступным способом в случаях выявления:
4.1.3.1. ошибок в работе Комплекса при работе с ЭП (подписания ЭП, проверки ЭП и др.);
4.1.3.2. ошибок, возникающих в связи с попытками нарушения информационной безопасности.
4.1.4. Вести актуальный реестр сертификатов Уполномоченных сотрудников Участников на основе принятых сертификатов и списка отозванных сертификатов от Субъекта отчетности.
4.1.5. При условии соответствия электронных документов признакам и требованиям к юридически значимым электронным документам, указанным в Регламенте, принять от Субъекта отчетности электронный документ для дальнейшей проверки в соответствии с приказами Организатора.
4.1.6. Предоставить Субъекту отчетности перечень форм отчетности, установленных нормативными правовыми актами Российской Федерации и Пермского края, подписываемых ЭП.
4.2. Организатор имеет право:
4.2.1. В случае несоответствия электронного документа признакам и требованиям к юридически значимым электронным документам отказать Субъекту отчетности в приеме электронного документа с указанием мотивированной причины отказа.
4.2.2. Приостановить осуществление ЮЗЭД при:
4.2.2.1. несоблюдении Субъектом отчетности требований по передаче ЭД и обеспечению информационной безопасности в соответствии с настоящим Договором;
4.2.2.2. разрешении спорных ситуаций;
4.2.2.3. выполнении неотложных аварийных и ремонтно-восстановительных работ Комплекса.
4.2.3. На урегулирование вопросов в случае возникновения конфликтных ситуаций.
4.2.4. Вносить изменения в Регламент в соответствии с требованиями разработчика Комплекса.
4.3. Субъект отчетности обязан:
4.3.1. Обеспечить функционирование Комплекса на рабочем месте Субъекта отчетности, установить СКЗИ, указанные Организатором, на компьютерах Уполномоченных сотрудников для обеспечения работоспособности ЮЗЭД.
4.3.2. Обеспечить всеми необходимыми средствами (сертифицированные СКЗИ, сертификаты, ключевые носители и т.д.) Уполномоченных сотрудников Субъекта отчетности.
4.3.3. Выполнять требования УЦ в соответствии с порядком УЦ и другими документами, регламентирующими процесс взаимодействия УЦ и пользователей услуг УЦ.
4.3.4. Назначить сотрудника, ответственного за эксплуатацию СКЗИ и ведение Журнала поэкземплярного учета СКЗИ, и Уполномоченных сотрудников.
4.3.5. Передавать Организатору электронные документы, оформленные в соответствии с Регламентом.
4.3.6. В целях обеспечения безопасности обработки и передачи юридически значимых электронных документов:
4.3.6.1. соблюдать требования, изложенные в разделе V настоящего Договора, и требования Положения о порядке работы со СКЗИ, утвержденного приказом Организатора;
4.3.6.2. соблюдать требования эксплуатационной документации на используемые СКЗИ;
4.3.6.3. соблюдать требования законодательства Российской Федерации в области использования ЭП;
4.3.6.4. прекратить использование ЭП в случае компрометации ключа и немедленно любым доступным способом информировать Организатора и УЦ об указанном факте;
4.3.6.5. хранить ключевой документ в месте, исключающем доступ неуполномоченных лиц и/или возможность его повреждения.
4.3.7. В случае невозможности исполнения обязательств по настоящему Договору немедленно известить Организатора о приостановлении взаимных обязательств.
4.3.8. При возникновении споров, связанных с принятием или непринятием электронных документов, подписанных ЭП, входящих в перечень юридически значимых электронных документов, руководствоваться Порядком разбора конфликтных ситуаций, утвержденным приказом Организатора. Способ разрешения конфликтных ситуаций устанавливает Организатор.
4.3.9. По первому требованию предоставить Организатору заверенные печатью и подписями Уполномоченных сотрудников Субъекта отчетности электронные документы, распечатанные по формам отчетности, входящие в перечень юридически значимых электронных документов.
4.3.10. Заменить Сертификат в порядке, предусмотренном УЦ, в следующих случаях:
4.3.10.1. смены Уполномоченных сотрудников Субъекта отчетности;
4.3.10.2. изменения данных, идентифицирующих Уполномоченного сотрудника Субъекта отчетности;
4.3.10.3. смены ключей ЭП;
4.3.10.4. компрометации ключей ЭП.
4.3.11. Немедленно уведомить Организатора любым доступным способом о случаях:
4.3.11.1. возникновения угрозы использования (копирования) иными лицами ключа ЭП, принадлежащего Уполномоченному сотруднику Субъекта отчетности;
4.3.11.2. утраты ключевого документа Уполномоченного сотрудника Субъекта отчетности;
4.3.11.3. изменения состава Уполномоченных сотрудников Субъекта отчетности, обладающих правом использования ключей ЭП.
4.4. Субъект отчетности имеет право:
4.4.1. требовать от Организатора принятия от Субъекта отчетности электронных документов;
4.4.2. на урегулирование вопросов в случае возникновения конфликтных ситуаций.
V. Безопасность эксплуатации СКЗИ в Комплексе
5.1. СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету.
5.2. Поэкземплярный учет СКЗИ, эксплуатационной и технической документации к ним, ключевых документов ведет ответственный за эксплуатацию СКЗИ сотрудник Субъекта отчетности в Журнале поэкземплярного учета СКЗИ. Ответственный за эксплуатацию СКЗИ и форма поэкземплярного учета СКЗИ утверждаются приказом Субъекта отчетности. При этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их эксплуатация.
5.3. Единицей поэкземплярного учета ключей ЭП считается ключевой носитель многократного использования. В случае когда один и тот же ключевой носитель многократно используют для записи ключей ЭП, то каждый раз он подлежит отдельной регистрации.
5.4. Дистрибутивы СКЗИ, эксплуатационная и техническая документация к СКЗИ хранятся у ответственного за эксплуатацию СКЗИ сотрудника Субъекта отчетности. Ключи ЭП хранятся у Уполномоченных сотрудников. Хранение осуществляется в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
5.5. Ключевые документы с неработоспособными ключами ЭП ответственный за эксплуатацию СКЗИ сотрудник Субъекта отчетности принимает у Уполномоченного сотрудника под роспись в Журнале поэкземплярного учета СКЗИ.
5.6. В Комплексе используется СКЗИ с открытым распределением ключей.
5.7. Подписание электронного документа ЭП осуществляется с использованием только того ключа ЭП, для которого выдан Сертификат Уполномоченного сотрудника.
5.8. Уполномоченный сотрудник Субъекта отчетности несет ответственность за отсутствие на компьютере, на котором осуществляется эксплуатация ЮЗЭД, посторонних программ (вирусов и т.д.), способствующих нарушению функционирования ЮЗЭД.
5.9. При обнаружении на компьютере, на котором осуществляется эксплуатация ЮЗЭД, посторонних программ (вирусов и т.д.) эксплуатация ЮЗЭД на этом компьютере должна быть прекращена для дальнейшей организации мероприятий по анализу и ликвидации посторонних программ и возможных последствий.
5.10. Действия в случае компрометации ключей ЭП:
5.10.1. К событиям, связанным с компрометацией ключей ЭП, относится следующее:
утрата ключевых носителей, содержащих ключи ЭП;
потеря ключевых носителей, содержащих ключи ЭП, с их последующим обнаружением;
хищение ключевых носителей, содержащих ключи ЭП;
разглашение содержимого ключевых носителей, содержащих ключи ЭП;
несанкционированное копирование содержимого ключевых носителей, содержащих ключи ЭП;
нарушение правил хранения и уничтожения (после окончания срока действия ключевых носителей, содержащих ключи ЭП);
возникновение подозрений об утечке содержимого ключевых носителей, содержащих ключи ЭП, или ее искажение в Комплексе;
нарушение печати на сейфе или замка сейфа, в котором хранятся ключевые носители, содержащие ключи ЭП;
невозможность достоверного установления того, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленников);
любые другие виды разглашения содержимого ключевых носителей, содержащих ключи ЭП, в результате которых ключи ЭП могут стать доступными посторонним лицам и (или) процессам.
5.10.2. Уполномоченный сотрудник Субъекта отчетности самостоятельно определяет факт компрометации ключа ЭП и оценивает значение этого события. Мероприятия по розыску и локализации последствий компрометации ключа ЭП организует и осуществляет Субъект отчетности с участием владельца скомпрометированного ключа ЭП.
5.10.3. В случае установления факта компрометации ключа ЭП Уполномоченный сотрудник Субъекта отчетности обязан незамедлительно прекратить эксплуатацию ключа ЭП в Комплексе и уведомить Организатора, а также УЦ по телекоммуникационным каналам связи.
В течение 30 (тридцати) минут после поступления сообщения о компрометации ключа ЭП Организатор обеспечивает прекращение работы Уполномоченного сотрудника Субъекта отчетности в Комплексе и использование соответствующего Сертификата в ЮЗЭД на базе Комплекса.
Возобновление работы Уполномоченного сотрудника Субъекта отчетности в Комплексе происходит только после замены скомпрометированного ключа.
Для получения новых ключей ЭП Уполномоченный сотрудник Субъекта отчетности должен руководствоваться порядком получения ключей ЭП, установленным УЦ.
5.11. Уполномоченному сотруднику Субъекта отчетности запрещается:
5.11.1. осуществлять несанкционированное копирование ключей ЭП;
5.11.2. разглашать содержимое ключевого документа или передавать сами ключевые документы лицам, к ним не допущенным, оставлять без присмотра ключевой документ, выводить содержимое ключевого документа на дисплей или принтер;
5.11.3. вставлять ключевые документы в устройства считывания в режимах, не предусмотренных штатным режимом работы СКЗИ, а также в устройства считывания других аппаратных средств;
5.11.4. записывать на ключевой носитель постороннюю информацию, использовать ключевой носитель на неисправных устройствах считывания информации;
5.11.5. вносить какие-либо изменения в программное обеспечение СКЗИ.
VI. Предоставление документов при вводе в действие
и дальнейшей работе в ЮЗЭД на базе Комплекса
6.1. Предоставление документов при вводе в действие ЮЗЭД на базе Комплекса:
6.1.1. Субъект отчетности в соответствии с документацией к Комплексу устанавливает СКЗИ на компьютерах Уполномоченных сотрудников.
6.1.2. Уполномоченные сотрудники Субъекта отчетности получают от УЦ средства ЭП: Сертификаты, ключи ЭП. Порядок получения Сертификатов, ключей ЭП устанавливает УЦ.
6.1.3. При заключении настоящего Договора Субъект отчетности предоставляет Организатору:
копию приказа Субъекта отчетности о назначении Уполномоченных сотрудников с указанием ролей в соответствии с приложением к настоящему Договору, заверенную уполномоченным лицом Субъекта отчетности;
полученные от УЦ Сертификаты Уполномоченных сотрудников Субъекта отчетности в электронном виде на электронную почту supportweb@fin.permregion.ru, с указанием темы письма: "Сертификаты СКИФ код Субъекта отчетности".
6.2. Предоставление документов при дальнейшей работе в ЮЗЭД на базе Комплекса:
6.2.1. В случае изменения ФИО, должности, списочного состава Уполномоченных сотрудников Субъекта отчетности, наименования Субъекта отчетности Субъект отчетности обязан в течение трех рабочих дней, в зависимости от ситуации, представить Организатору:
копию приказа Субъекта отчетности о назначении Уполномоченных сотрудников, с указанием ролей в соответствии с приложением к настоящему Договору, заверенную уполномоченным лицом Субъекта отчетности;
копию заявлений на аннулирование (отзыв) Сертификата по форме, согласно порядку УЦ, заверенную уполномоченным лицом Субъекта отчетности;
полученные от УЦ Сертификаты Уполномоченных сотрудников Субъекта отчетности в электронном виде на электронную почту supportweb@fin.permregion.ru, с указанием темы письма: "Сертификаты СКИФ трехзначный код Субъекта отчетности".
6.2.2. В случае планового перевыпуска Сертификатов Субъект отчетности в течение трех рабочих дней представляет Организатору полученные от УЦ Сертификаты Уполномоченных сотрудников Субъекта отчетности в электронном виде на электронную почту supportweb@fin.permregion.ru, с указанием темы письма: "Сертификаты СКИФ трехзначный код Субъекта отчетности".
6.2.3. В случае изменения адреса электронной почты Организатор в течение двух рабочих дней сообщает Клиенту новый адрес электронной почты для предоставления Сертификатов. Информация о смене адреса электронной почты размещается на сайте Организатора http://mfin.permkrai.ru/ в разделе "Методические рекомендации" - "ПО СКИФ".
6.3. Организатор после предоставления Субъектом отчетности документов, указанных в пунктах 6.1.3, 6.2.1 настоящего Договора, и Сертификатов Уполномоченных сотрудников, указанных в пункте 6.2.2 настоящего Договора, в течение трех рабочих дней вводит в действие Сертификаты Уполномоченных сотрудников Субъекта отчетности (вносит в реестр Сертификатов).
6.4. Организатор уведомляет Субъект отчетности о внесении Сертификатов Уполномоченных сотрудников Субъекта отчетности посредством электронной почты.
VII. Ответственность Участников
7.1. Участники несут ответственность за действия своих Уполномоченных сотрудников при осуществлении ЮЗЭД в рамках настоящего Договора.
7.2. За неисполнение или ненадлежащее исполнение Участниками своих обязательств по настоящему Договору Участники несут ответственность в соответствии с законодательством Российской Федерации.
7.3. Участник не отвечает за неисполнение или ненадлежащее выполнение своих обязательств по настоящему Договору, если это было вызвано действиями (бездействием) другого Участника.
7.4. При использовании телекоммуникационных каналов связи и передачи данных Участники не несут ответственности за возможные временные задержки при доставке юридически значимых электронных документов, произошедшие не по их вине.
VIII. Разрешение конфликтных ситуаций
8.1. Все споры и разногласия, которые могут возникнуть в связи с применением, нарушением, толкованием настоящего Договора, признанием недействительным настоящего Договора или его части, Участники будут стремиться разрешить, используя переговоры и иные механизмы урегулирования споров и разногласий.
8.2. В случаях, когда конфликтная ситуация не урегулирована в результате переговоров и работы Экспертной комиссии, созданной в соответствии с Порядком разбора конфликтных ситуаций, утвержденным приказом Организатора, Участники обращаются в Арбитражный суд Пермского края.
IX. Форс-мажорные обстоятельства
9.1. Участник не несет ответственности в случае невыполнения, несвоевременного или ненадлежащего выполнения какого-либо обязательства по настоящему Договору, если указанное невыполнение, несвоевременное или ненадлежащее выполнение обусловлены исключительно наступлением и/или действием следующих обстоятельств (далее - форс-мажорные обстоятельства): обстоятельств непреодолимой силы; сбоев, неисправностей и отказов оборудования; сбоев и ошибок программного обеспечения; сбоев, неисправностей и отказов системы связи, энергосбережения, кондиционирования и других систем жизнеобеспечения, которые Участник не мог ни предвидеть, ни предотвратить.
9.2. Участник, надлежащее исполнение обязательств которого оказалось невозможным в силу влияния форс-мажорных обстоятельств, в течение 3 (трех) рабочих часов после их наступления информирует другого Участника о наступлении этих обстоятельств и об их последствиях любым доступным способом и принимает все возможные меры с целью максимально ограничить отрицательные последствия, вызванные указанными форс-мажорными обстоятельствами.
9.3. Неизвещение или несвоевременное извещение другого Участника Участником, надлежащее исполнение обязательств которого оказалось невозможным в силу влияния форс-мажорных обстоятельств, о наступлении этих обстоятельств влечет за собой утрату права ссылаться на эти обстоятельства.
9.4. Наступление форс-мажорных обстоятельств влечет увеличение срока исполнения обязательств по настоящему Договору на период их действия, если Участники не договорились об ином.
X. Порядок внесения изменений в Договор
10.1. В случае принятия нормативного правового акта уполномоченным государственным органом по вопросам, регулируемым настоящим Договором, соответствующие положения Договора подлежат изменению по инициативе одного из Участников.
10.2. По взаимному согласию Участников в текст Договора могут вноситься изменения и дополнения.
10.3. Все изменения и дополнения к настоящему Договору действительны в том случае, если они оформлены в письменном виде и подписаны уполномоченными представителями Участников, за исключением изменений, внесенных Организатором в приложение к настоящему Договору.
10.4. Организатор вправе в одностороннем порядке внести изменения в приложение к настоящему Договору, о чем уведомляет Субъект отчетности в течение пяти рабочих дней.
XI. Срок действия Договора
11.1. Настоящий Договор вступает в силу с момента его подписания Участниками. Конечным сроком Договор не ограничивается.
11.2. Дата начала обмена юридически значимыми электронными документами определяется датой третьего рабочего дня с даты представления Субъектом отчетности документов, указанных в пункте 6.1.3 настоящего Договора.
11.3. Настоящий Договор может быть расторгнут:
11.3.1. по письменному соглашению Участников;
11.3.2. в случае исключения Субъекта отчетности из Сводного реестра главных распорядителей, распорядителей и получателей средств бюджета Пермского края. При этом Договор считается расторгнутым с момента исключения Субъекта отчетности из Сводного реестра главных распорядителей, распорядителей и получателей средств бюджета Пермского края.
11.4. В случае изменения наименования, адреса или прочих реквизитов Участник уведомляет другого Участника в течение пяти рабочих дней со дня внесения соответствующих изменений.
11.5. Расторжение настоящего Договора не влияет на действительность юридически значимых электронных документов, подписанных ЭП Уполномоченных сотрудников Участников до даты расторжения настоящего Договора.
XII. Заключительные положения
12.1. Настоящий Договор составлен в двух экземплярах, имеющих одинаковую юридическую силу, по одному экземпляру для каждого Участника.
12.2. Приложение к настоящему Договору является его неотъемлемой частью.
12.3. С даты подписания Участниками настоящего Договора договор об обмене электронными документами между участниками юридически значимого электронного документооборота от _________________ N _____ считается расторгнутым.
XIII. Адреса, банковские реквизиты и подписи Участников
КЛИЕНТ
ОРГАНИЗАТОР
_________________________________
_________________________________
_________________________________
Министерство финансов Пермского края
614006, г. Пермь, ул. Ленина, д. 51,
ИНН 5902290917, КПП 590201001
ОКВЭД 75.11.21, ОКПО 02292395
ОГРН 1025900070293,
ОКТМО 57701000001
УФК по Пермскому краю (Минфин Пермского края (Министерство финансов Пермского края, л/с 028400252))
р/с 40201810100000000005
Банк: Отделение Пермь, г. Пермь, БИК: 045773001
__________________/_______________
М.П.
________________/ ______________/
М.П.
Приложение
к Договору N __
от "___" __________ 20__ г.
РЕГЛАМЕНТ
применения электронной подписи
I. Общие сведения
Настоящий Регламент определяет порядок применения ЭП, в том числе статусы электронных документов, на которых происходит наложение электронной подписи в электронном документе.
II. Средства применения электронной подписи
При работе с ЮЗЭД принимаются и признаются Сертификаты, изданные УЦ.
Сертификат признается изданным УЦ, если подтверждена подлинность ЭП уполномоченного лица УЦ, которым подписан Сертификат Уполномоченного сотрудника Участника.
Идентификационные данные, занесенные в Сертификат, однозначно идентифицируют владельца сертификата и соответствуют идентификационным данным владельца сертификата, зарегистрированным УЦ.
Для определения статуса Сертификата используется список отозванных сертификатов, издаваемый и публикуемый УЦ в порядке и с периодичностью, определяемой УЦ.
Местом публикации списков отозванных сертификатов принимается адрес информационного ресурса, определенный УЦ.
В качестве средств ЭП используются СКЗИ, сертифицированные в соответствии с действующим законодательством, а также совместимые с Комплексом (согласно требованиям Комплекса) и обеспечивающие:
реализацию функций создания ЭП в электронном документе с использованием ключа;
подтверждение с использованием Сертификата подлинности ЭП в электронном документе;
создание ключей и Сертификатов ЭП.
ЭП хранится отдельно от электронных документов. Формат ЭП определяется рекомендациями RFC 3852 "Cryptographic Message Syntax (CMS)", с учетом использования криптографических алгоритмов ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94 в соответствии с RFC 4490 "Using the GOST 28147-89, GOST R 34.11-94, GOST R 34.10-94, and GOST R 34.10-2001 Algorithms with Cryptographic Message Syntax (CMS)".
III. Перечень электронных документов, включенных
в юридически значимый электронный документооборот
Электронными документами, которые будут считаться юридически значимыми при условии подписания их ЭП (в случае выполнения всех условий равнозначности ЭП собственноручной в соответствии с Федеральным законом 63-ФЗ) и с учетом иных требований настоящего Договора, являются формы бюджетной и сводной бухгалтерской отчетности государственных автономных и бюджетных учреждений, установленные соответствующими приказами Министерства финансов Российской Федерации, Федерального казначейства, а также дополнительные формы бюджетной и бухгалтерской отчетности, установленные соответствующими приказами Организатора (далее - формы отчетности).
Требования к дайджестам определяет Организатор. Участник имеет право быть ознакомленным с составом дайджестов юридически значимых электронных документов.
IV. Правила подписания электронных документов
Руководитель Субъекта отчетности назначает распорядительным документом Уполномоченных сотрудников.
Субъект отчетности после проведения в Комплексе функциональных этапов по вводу данных, проведения расчетов, контроля по логической увязке данных в формах отчетности (внутридокументный, междокументный контроль) устанавливает статус "Утвержден" и подписывает утвержденные формы отчетности. Каждая форма отчетности должна содержать две ЭП: первая подпись - руководитель Субъекта отчетности либо лицо, исполняющее его обязанности, вторая подпись - главный бухгалтер Субъекта отчетности либо лицо, исполняющее его обязанности.
Уполномоченные сотрудники Субъекта отчетности обязуются подписывать юридически значимые электронные документы своей электронной подписью строго в соответствии с правилами подписания, в ином случае электронные документы не считаются юридически значимыми.
V. Перечень ролей, используемых в Комплексе
1
Руководитель
2
Главный бухгалтер
VI. Контроль правил подписания юридически значимых
электронных документов
Контроль правил подписания юридически значимых электронных документов осуществляется организационными методами. Также допускается контроль техническими средствами Комплекса (использование правил проверки в Комплексе). Способы контроля правил подписания определяются Организатором.
Форма 3
ДОГОВОР N ____________
об обмене электронными документами между участниками
юридически значимого электронного документооборота
г. Пермь "___" ____________ 20__ г.
___________________________________________________________________________
(полное наименование финансового органа)
именуемое(ый) в дальнейшем "Субъект отчетности", в лице _______________
__________________________________________________________, действующего на
основании ______________________________________________, с одной стороны и
Министерство финансов Пермского края, именуемое в дальнейшем "Организатор",
в лице министра финансов Пермского края __________________________________,
действующего на основании Положения, с другой стороны, в дальнейшем
именуемые "Участники", заключили настоящий Договор об обмене электронными
документами между участниками юридически значимого электронного
документооборота (далее - Договор) о нижеследующем:
I. Термины и определения
В настоящем Договоре применяются следующие термины и определения:
аккредитованный удостоверяющий центр (далее - УЦ) - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон 63-ФЗ), и получившие аккредитацию. Выбор УЦ при работе с Комплексом осуществляется Организатором;
аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона 63-ФЗ;
владелец сертификата ключа проверки электронной подписи (владелец сертификата) - лицо, которому в установленном Федеральным законом 63-ФЗ порядке выдан сертификат ключа проверки электронной подписи;
дайджест - строка неограниченной длины, сформированная на основе данных электронного документа посредством определенных алгоритмов и предназначенная для формирования электронной подписи электронного документа;
журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов (далее - Журнал поэкземплярного учета СКЗИ) - документ, содержащий данные о выданных Уполномоченным сотрудникам ключевых документах;
информационная система электронного документооборота (далее - ИСЭД) - интегрированная система электронного документооборота, архива и управления потоками работ аппарата Правительства Пермского края, использующаяся у Организатора и у Субъекта отчетности для обмена документами в электронном виде (письма, служебные записки, приказы и т.д.);
квалифицированный сертификат ключа проверки электронной подписи (далее - Сертификат) - сертификат ключа проверки электронной подписи, выданный УЦ или доверенным лицом УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи;
ключ электронной подписи (закрытый ключ, ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи;
ключ проверки электронной подписи (открытый ключ) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи;
Комплекс - программный комплекс "СКИФ", разработанный ОАО "Финтех" (далее - разработчик), предназначенный для автоматизации процессов формирования, приема, передачи, обработки и хранения форм отчетности. У Организатора и у каждого Субъекта отчетности установлен свой экземпляр Комплекса;
ключевой документ - ключевой носитель, содержащий ключ электронной подписи, а при необходимости - контрольную, служебную и технологическую информацию;
ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключа электронной подписи;
Организатор - Министерство финансов Пермского края, осуществляющее прием от Субъекта отчетности, обработку и хранение форм отчетности, в своем экземпляре Комплекса;
правила подписания - настроечный параметр Комплекса, позволяющий установить права на подписание электронных документов электронной подписью;
регламент применения электронной подписи (далее - Регламент) - документ, определяющий порядок применения усиленной квалифицированной электронной подписи, в том числе статусы электронных документов, на которых происходит наложение электронной подписи в электронном документе;
реестр Сертификатов - перечень Сертификатов Уполномоченных сотрудников Участников;
список отозванных Сертификатов - документ, содержащий список серийных номеров Сертификатов, которые в определенный момент времени были отозваны либо действие которых было приостановлено;
сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи;
средства криптографической защиты информации (далее - СКЗИ) - аппаратные и (или) программные средства, обеспечивающие применение электронной подписи (создание, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи) и (или) шифрование при осуществлении электронного документооборота, а также обеспечивающие защиту информации по утвержденным стандартам и сертифицированные в соответствии с действующим законодательством;
средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи, ключа проверки электронной подписи;
статус электронного документа - атрибут электронного документа, идентифицирующий его состояние по определенному признаку;
Субъект отчетности - финансовый орган муниципального района (городского округа) Пермского края, осуществляющий формирование и передачу Организатору, обработку и хранение форм отчетности в своем экземпляре Комплекса;
Уполномоченный сотрудник - сотрудник, наделенный полномочиями по подписанию электронной подписью электронных документов в соответствии с утвержденным Регламентом, для которого УЦ выпущен сертификат ключа проверки электронной подписи, отмеченный в Журнале поэкземплярного учета СКЗИ как получивший ключевой носитель. Уполномоченный сотрудник назначается приказом Участника;
усиленная квалифицированная электронная подпись (далее - ЭП) - вид электронной подписи, которая соответствует следующим признакам:
электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
электронная подпись позволяет определить лицо, подписавшее электронный документ;
электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
электронная подпись создается с использованием средств электронной подписи;
ключ проверки электронной подписи указан в Сертификате;
для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ;
Экспертная комиссия - комиссия, разрешающая конфликтные ситуации, связанные с использованием юридически значимого электронного документооборота;
электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию;
электронный документ - отчет, в котором информация представлена в электронной форме в формате Комплекса. Юридическая значимость электронного документа подтверждается ЭП;
юридически значимый электронный документооборот (далее - ЮЗЭД) - документооборот на базе Комплекса, в котором участники ЮЗЭД совершают действия по передаче и приему документов в электронной форме, удостоверенных ЭП, и несут ответственность за совершение либо несовершение этих действий.
II. Предмет Договора
Настоящий Договор определяет условия и порядок обмена юридически значимыми электронными документами между Участниками на базе Комплекса, а также права и обязанности Участников, возникающие при обмене юридически значимыми электронными документами на базе Комплекса.
III. Общие положения
3.1. Участники осуществляют передачу и прием юридически значимых электронных документов на базе Комплекса по телекоммуникационным каналам связи. ЮЗЭД осуществляется с применением усиленной квалифицированной электронной подписи.
3.2. С целью обеспечения авторства, целостности и конфиденциальности электронных документов при информационном взаимодействии Участники используют сертифицированные СКЗИ.
3.3. Используемые при информационном взаимодействии Участников электронные документы с ЭП, сформированной Участниками средствами СКЗИ, имеют равную юридическую силу с документами на бумажном носителе, подписанными соответствующими собственноручными подписями Уполномоченных сотрудников Участников. При этом для их ЭП соблюдены следующие условия:
сертификаты изданы УЦ и не утратили силу (действуют) на момент проверки или на момент подписания электронного документа;
ЭП используется в соответствии со сведениями, указанными в Сертификате.
3.4. Участники признают, что используемые при ЮЗЭД в Комплексе СКЗИ, реализующие функции создания ЭП, достаточны для подтверждения следующего:
электронный документ исходит от Субъекта отчетности, его передавшего (подтверждение авторства отправленного электронного документа);
электронный документ не претерпел изменений в процессе передачи (подтверждение целостности и подлинности электронного документа).
3.5. Организатор оставляет за собой право обновлять версию Комплекса с дальнейшей эксплуатацией ЮЗЭД на обновленной версии без предварительных уведомлений Субъекта отчетности.
IV. Права и обязанности Участников
4.1. Организатор обязан:
4.1.1. Обеспечить функционирование своего экземпляра Комплекса.
4.1.2. Предоставить Субъекту отчетности адрес электронной почты либо адрес общедоступного файлового сервера для предоставления электронных документов.
4.1.3. При внесении изменении в Регламент (приложение к настоящему Договору) провести настройки своего экземпляра Комплекса.
4.1.4. Немедленно уведомить Субъекта отчетности любым доступным способом в случаях выявления:
4.1.4.1. ошибок в работе Комплекса при работе с ЭП (подписания ЭП, проверки ЭП и др.);
4.1.4.2. ошибок, возникающих в связи с попытками нарушения информационной безопасности.
4.1.5. Вести актуальный реестр Сертификатов Уполномоченных сотрудников Участников на основе принятых сертификатов и списка отозванных сертификатов от Субъекта отчетности.
4.1.6. При условии соответствия электронных документов признакам и требованиям к юридически значимым электронным документам, указанным в Регламенте, принять от Субъекта отчетности электронный документ для дальнейшей проверки в соответствии с приказами Организатора.
4.1.7. Передавать Субъекту отчетности электронные сообщения (протоколы), подтверждающие получение электронных документов.
4.1.8. Предоставить Субъекту отчетности перечень форм отчетности, установленных нормативными правовыми актами Российской Федерации и Пермского края, подписываемых ЭП.
4.2. Организатор имеет право:
4.2.1. В случае несоответствия электронного документа признакам и требованиям к юридически значимым электронным документам отказать Субъекту отчетности в приеме электронного документа с указанием мотивированной причины отказа.
4.2.2. Приостановить осуществление ЮЗЭД при:
4.2.2.1. несоблюдении Субъектом отчетности требований по передаче ЭД и обеспечению информационной безопасности в соответствии с настоящим Договором;
4.2.2.2. разрешении спорных ситуаций;
4.2.2.3. выполнении неотложных аварийных и ремонтно-восстановительных работ Комплекса.
4.2.3. Вносить изменения в Регламент в соответствии с требованиями разработчика Комплекса.
4.2.4. На урегулирование вопросов в случае возникновения конфликтных ситуаций.
4.3. Субъект отчетности обязан:
4.3.1. Обеспечить функционирование своего экземпляра Комплекса;
4.3.2. Установить СКЗИ, указанные Организатором, на компьютерах Уполномоченных сотрудников для обеспечения работоспособности ЮЗЭД;
4.3.3. Обеспечить всеми необходимыми средствами (сертифицированные СКЗИ, сертификаты, ключевые носители и т.д.) Уполномоченных сотрудников Субъекта отчетности;
4.3.4. Выполнять требования УЦ в соответствии с порядком УЦ и другими документами, регламентирующими процесс взаимодействия УЦ и пользователей услуг УЦ;
4.3.5. Назначить сотрудника, ответственного за эксплуатацию СКЗИ и ведение Журнала поэкземплярного учета СКЗИ, и Уполномоченных сотрудников;
4.3.6. Передавать Организатору электронные документы, оформленные в соответствии с Регламентом, и получать от Организатора электронные сообщения (протоколы), подтверждающие получение электронных документов;
4.3.7. Предоставить Организатору адрес электронной почты Субъекта отчетности для предоставления электронных сообщений (протоколов) и своевременно сообщать о его изменении посредством направления письма Организатору посредством ИСЭД;
4.3.8. В целях обеспечения безопасности обработки и передачи юридически значимых электронных документов:
4.3.8.1. соблюдать требования, изложенные в разделе V настоящего Договора, и требования Положения о порядке работы со СКЗИ, утвержденного приказом Организатора;
4.3.8.2. соблюдать требования эксплуатационной документации на используемые СКЗИ;
4.3.8.3. соблюдать требования законодательства Российской Федерации в области использования ЭП;
4.3.8.4. прекратить использование ЭП в случае компрометации ключа и немедленно любым доступным способом информировать Организатора и УЦ об указанном факте;
4.3.8.5. хранить ключевой документ в месте, исключающем доступ неуполномоченных лиц и/или возможность его повреждения;
4.3.9. В случае невозможности исполнения обязательств по настоящему Договору немедленно известить Организатора о приостановлении взаимных обязательств;
4.3.10. При возникновении споров, связанных с принятием или непринятием электронных документов, подписанных ЭП, входящих в перечень юридически значимых электронных документов, руководствоваться Порядком разбора конфликтных ситуаций, утвержденным приказом Организатора. Способ разрешения конфликтных ситуаций устанавливает Организатор;
4.3.11. По первому требованию предоставить Организатору заверенные печатью и подписями Уполномоченных сотрудников Субъекта отчетности электронные документы, распечатанные по формам отчетности, входящие в перечень юридически значимых электронных документов;
4.3.12. Заменить Сертификат в порядке, предусмотренном УЦ, в следующих случаях:
4.3.12.1. смены Уполномоченных сотрудников Субъекта отчетности;
4.3.12.2. изменения данных, идентифицирующих Уполномоченного сотрудника Субъекта отчетности;
4.3.12.3. смены ключей ЭП;
4.3.12.4. компрометации ключей ЭП;
4.3.13. Немедленно уведомить Организатора любым доступным способом о случаях:
4.3.13.1. возникновения угрозы использования (копирования) иными лицами ключа ЭП, принадлежащего Уполномоченному сотруднику Субъекта отчетности;
4.3.13.2. утраты ключевого документа Уполномоченного сотрудника Субъекта отчетности;
4.3.13.3. изменения состава Уполномоченных сотрудников Субъекта отчетности, обладающих правом использования ключей ЭП.
4.4. Субъект отчетности имеет право:
4.4.1. требовать от Организатора принятия от Субъекта отчетности электронных документов;
4.4.2. на урегулирование вопросов в случае возникновения конфликтных ситуаций.
V. Безопасность эксплуатации СКЗИ в Комплексе
5.1. СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету.
5.2. Поэкземплярный учет СКЗИ, эксплуатационной и технической документации к ним, ключевых документов ведет ответственный за эксплуатацию СКЗИ сотрудник Субъекта отчетности в Журнале поэкземплярного учета СКЗИ. Ответственный за эксплуатацию СКЗИ и форма поэкземплярного учета СКЗИ утверждаются приказом Субъекта отчетности. При этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их эксплуатация.
5.3. Единицей поэкземплярного учета ключей ЭП считается ключевой носитель многократного использования. В случае когда один и тот же ключевой носитель многократно используют для записи ключей ЭП, то каждый раз он подлежит отдельной регистрации.
5.4. Дистрибутивы СКЗИ, эксплуатационная и техническая документация к СКЗИ хранятся у ответственного за эксплуатацию СКЗИ сотрудника Субъекта отчетности. Ключи ЭП хранятся у Уполномоченных сотрудников. Хранение осуществляется в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
5.5. Ключевые документы с неработоспособными ключами ЭП ответственный за эксплуатацию СКЗИ сотрудник Субъекта отчетности принимает у Уполномоченного сотрудника под роспись в Журнале поэкземплярного учета СКЗИ.
5.6. В Комплексе используется СКЗИ с открытым распределением ключей.
5.7. Подписание электронного документа ЭП осуществляется с использованием только того ключа ЭП, для которого выдан Сертификат Уполномоченного сотрудника.
5.8. Уполномоченный сотрудник Субъекта отчетности несет ответственность за отсутствие на компьютере, на котором осуществляется эксплуатация ЮЗЭД, посторонних программ (вирусов и т.д.), способствующих нарушению функционирования ЮЗЭД.
5.9. При обнаружении на компьютере, на котором осуществляется эксплуатация ЮЗЭД, посторонних программ (вирусов и т.д.) эксплуатация ЮЗЭД на этом компьютере должна быть прекращена для дальнейшей организации мероприятий по анализу и ликвидации посторонних программ и возможных последствий.
5.10. Действия в случае компрометации ключей ЭП:
5.10.1. К событиям, связанным с компрометацией ключей ЭП, относится следующее:
утрата ключевых носителей, содержащих ключи ЭП;
потеря ключевых носителей, содержащих ключи ЭП, с их последующим обнаружением;
хищение ключевых носителей, содержащих ключи ЭП;
разглашение содержимого ключевых носителей, содержащих ключи ЭП;
несанкционированное копирование содержимого ключевых носителей, содержащих ключи ЭП;
нарушение правил хранения и уничтожения (после окончания срока действия ключевых носителей, содержащих ключи ЭП);
возникновение подозрений об утечке содержимого ключевых носителей, содержащих ключи ЭП, или ее искажение в Комплексе;
нарушение печати на сейфе или замка сейфа, в котором хранятся ключевые носители, содержащие ключи ЭП;
невозможность достоверного установления того, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленников);
любые другие виды разглашения содержимого ключевых носителей, содержащих ключи ЭП, в результате которых ключи ЭП могут стать доступными посторонним лицам и (или) процессам;
5.10.2. Уполномоченный сотрудник Субъекта отчетности самостоятельно определяет факт компрометации ключа ЭП и оценивает значение этого события. Мероприятия по розыску и локализации последствий компрометации ключа ЭП организует и осуществляет Субъект отчетности с участием владельца скомпрометированного ключа ЭП;
5.10.3. В случае установления факта компрометации ключа ЭП Уполномоченный сотрудник Субъекта отчетности обязан незамедлительно прекратить эксплуатацию ключа ЭП в своем экземпляре Комплекса и уведомить Организатора, а также УЦ по телекоммуникационным каналам связи.
В течение 30 (тридцати) минут после поступления сообщения о компрометации ключа ЭП Организатор обеспечивает прекращение работы Уполномоченного сотрудника Субъекта отчетности в своем экземпляре Комплекса и использование соответствующего Сертификата в ЮЗЭД на базе Комплекса.
Возобновление работы Уполномоченного сотрудника Субъекта отчетности в Комплексе происходит только после замены скомпрометированного ключа.
Для получения новых ключей ЭП Уполномоченный сотрудник Субъекта отчетности должен руководствоваться порядком получения ключей ЭП, установленным УЦ;
5.11. Уполномоченному сотруднику Субъекта отчетности запрещается:
5.11.1. осуществлять несанкционированное копирование ключей ЭП;
5.11.2. разглашать содержимое ключевого документа или передавать сами ключевые документы лицам, к ним не допущенным, оставлять без присмотра ключевой документ, выводить содержимое ключевого документа на дисплей или принтер;
5.11.3. вставлять ключевые документы в устройства считывания в режимах, не предусмотренных штатным режимом работы СКЗИ, а также в устройства считывания других аппаратных средств;
5.11.4. записывать на ключевой носитель постороннюю информацию, использовать ключевой носитель на неисправных устройствах считывания информации;
5.11.5. вносить какие-либо изменения в программное обеспечение СКЗИ.
VI. Предоставление документов при вводе в действие
и дальнейшей работе в ЮЗЭД на базе Комплекса
6.1. Предоставление документов при вводе в действие ЮЗЭД на базе Комплекса.
6.1.1. Субъект отчетности в соответствии с документацией к Комплексу устанавливает СКЗИ на компьютерах Уполномоченных сотрудников;
6.1.2. Уполномоченные сотрудники Субъекта отчетности получают от УЦ средства ЭП: Сертификаты, ключи ЭП. Порядок получения Сертификатов, ключей ЭП устанавливает УЦ;
6.1.3. При заключении настоящего Договора Субъект отчетности предоставляет Организатору:
приказ Субъекта отчетности о назначении Уполномоченных сотрудников с указанием ролей в соответствии с приложением к настоящему Договору посредством ИСЭД;
полученные от УЦ Сертификаты Уполномоченных сотрудников Субъекта отчетности в электронном виде на электронную почту supportweb@fin.permregion.ru, с указанием темы письма: "Сертификаты СКИФ пятизначный код Субъекта отчетности";
6.2. Предоставление документов при дальнейшей работе в ЮЗЭД на базе Комплекса:
6.2.1. В случае изменения ФИО, должности, списочного состава Уполномоченных сотрудников Субъекта отчетности, наименования Субъекта отчетности Субъект отчетности обязан в течение трех рабочих дней, в зависимости от ситуации, представить Организатору:
приказ Субъекта отчетности о назначении Уполномоченных сотрудников, с указанием ролей в соответствии с приложением к настоящему Договору посредством ИСЭД;
скан-копию заявлений на аннулирование (отзыв) Сертификата по форме согласно порядку УЦ посредством ИСЭД;
полученные от УЦ Сертификаты Уполномоченных сотрудников Субъекта отчетности в электронном виде на электронную почту supportweb@fin.permregion.ru, с указанием темы письма: "Сертификаты СКИФ пятизначный код Субъекта отчетности";
6.2.2. В случае планового перевыпуска Сертификатов Субъект отчетности в течение трех рабочих дней представляет Организатору полученные от УЦ Сертификаты Уполномоченных сотрудников Субъекта отчетности в электронном виде на электронную почту supportweb@fin.permregion.ru, с указанием темы письма: "Сертификаты СКИФ пятизначный код Субъекта отчетности";
6.2.3. В случае изменения адреса электронной почты Организатор в течение двух рабочих дней сообщает Клиенту новый адрес электронной почты для предоставления Сертификатов. Информация о смене адреса электронной почты размещается на сайте Организатора http://mfin.permkrai.ru/ в разделе "Методические рекомендации" - "ПО СКИФ".
6.3. Организатор после предоставления Субъектом отчетности документов, указанных в пунктах 6.1.3, 6.2.1 настоящего Договора, и Сертификатов Уполномоченных сотрудников, указанных в пункте 6.2.2 настоящего Договора, в течение трех рабочих дней вводит в действие Сертификаты Уполномоченных сотрудников Субъекта отчетности (вносит в реестр Сертификатов).
6.4. Организатор уведомляет Субъект отчетности о внесении Сертификатов Уполномоченных сотрудников Субъекта отчетности посредством электронной почты.
VII. Ответственность Участников
7.1. Участники несут ответственность за действия своих Уполномоченных сотрудников при осуществлении ЮЗЭД в рамках настоящего Договора.
7.2. За неисполнение или ненадлежащее исполнение Участниками своих обязательств по настоящему Договору Участники несут ответственность в соответствии с законодательством Российской Федерации.
7.3. Участник не отвечает за неисполнение или ненадлежащее выполнение своих обязательств по настоящему Договору, если это было вызвано действиями (бездействием) другого Участника.
7.4. При использовании телекоммуникационных каналов связи и передачи данных Участники не несут ответственности за возможные временные задержки при доставке юридически значимых электронных документов, произошедшие не по их вине.
VIII. Разрешение конфликтных ситуаций
8.1. Все споры и разногласия, которые могут возникнуть в связи с применением, нарушением, толкованием настоящего Договора, признанием недействительным настоящего Договора или его части, Участники будут стремиться разрешить, используя переговоры и иные механизмы урегулирования споров и разногласий.
8.2. В случаях, когда конфликтная ситуация не урегулирована в результате переговоров и работы Экспертной комиссии, созданной в соответствии с Порядком разбора конфликтных ситуаций, утвержденным приказом Организатора, Участники обращаются в Арбитражный суд Пермского края.
IX. Форс-мажорные обстоятельства
9.1. Участник не несет ответственности в случае невыполнения, несвоевременного или ненадлежащего выполнения какого-либо обязательства по настоящему Договору, если указанное невыполнение, несвоевременное или ненадлежащее выполнение обусловлены исключительно наступлением и/или действием следующих обстоятельств (далее - форс-мажорные обстоятельства): обстоятельств непреодолимой силы; сбоев, неисправностей и отказов оборудования; сбоев и ошибок программного обеспечения; сбоев, неисправностей и отказов системы связи, энергосбережения, кондиционирования и других систем жизнеобеспечения, которые Участник не мог ни предвидеть, ни предотвратить.
9.2. Участник, надлежащее исполнение обязательств которого оказалось невозможным в силу влияния форс-мажорных обстоятельств, в течение 3 (трех) рабочих часов после их наступления информирует другого Участника о наступлении этих обстоятельств и об их последствиях любым доступным способом и принимает все возможные меры с целью максимально ограничить отрицательные последствия, вызванные указанными форс-мажорными обстоятельствами.
9.3. Неизвещение или несвоевременное извещение другого Участника Участником, надлежащее исполнение обязательств которого оказалось невозможным в силу влияния форс-мажорных обстоятельств, о наступлении этих обстоятельств влечет за собой утрату права ссылаться на эти обстоятельства.
9.4. Наступление форс-мажорных обстоятельств влечет увеличение срока исполнения обязательств по настоящему Договору на период их действия, если Участники не договорились об ином.
X. Порядок внесения изменений в Договор
10.1. В случае принятия нормативного правового акта уполномоченным государственным органом по вопросам, регулируемым настоящим Договором, соответствующие положения Договора подлежат изменению по инициативе одного из Участников.
10.2. По взаимному согласию Участников в текст Договора могут вноситься изменения и дополнения.
10.3. Все изменения и дополнения к настоящему Договору действительны в том случае, если они оформлены в письменном виде и подписаны уполномоченными представителями Участников, за исключением изменений, внесенных Организатором в приложение к настоящему Договору.
10.4. Организатор вправе в одностороннем порядке внести изменения в приложение к настоящему Договору, о чем уведомляет Субъект отчетности в течение пяти рабочих дней.
XI. Срок действия Договора
11.1. Настоящий Договор вступает в силу с момента его подписания Участниками. Конечным сроком Договор не ограничивается.
11.2. Дата начала обмена юридически значимыми электронными документами определяется датой третьего рабочего дня с даты представления Субъектом отчетности документов, указанных в пункте 6.1.3 настоящего Договора.
11.3. Настоящий Договор может быть расторгнут по письменному соглашению Участников.
11.4. В случае изменения наименования, адреса или прочих реквизитов Участник уведомляет другого Участника в течение пяти рабочих дней со дня внесения соответствующих изменений.
11.5. Расторжение настоящего Договора не влияет на действительность юридически значимых электронных документов, подписанных ЭП Уполномоченных сотрудников Участников до даты расторжения настоящего Договора.
XII. Заключительные положения
12.1. Настоящий Договор составлен в двух экземплярах, имеющих одинаковую юридическую силу, по одному экземпляру для каждого Участника.
12.2. Приложение к настоящему Договору является его неотъемлемой частью.
12.3. С даты подписания Участниками настоящего Договора договор об обмене электронными документами между участниками юридически значимого электронного документооборота от _________________ N _____ считается расторгнутым.
XIII. Адреса, банковские реквизиты и подписи Участников
КЛИЕНТ
ОРГАНИЗАТОР
________________________________
________________________________
________________________________
Министерство финансов Пермского края
614006, г. Пермь, ул. Ленина, д. 51,
ИНН 5902290917, КПП 590201001
ОКВЭД 75.11.21, ОКПО 02292395
ОГРН 1025900070293,
ОКТМО 57701000001
УФК по Пермскому краю (Минфин Пермского края (Министерство финансов Пермского края, л/с 028400252))
р/с 40201810100000000005
Банк: Отделение Пермь, г. Пермь, БИК: 045773001
_________________/_______________/
М.П.
________________/ _____________/
М.П.
Приложение
к Договору
N ___________
от "___" __________ 20__ г.
РЕГЛАМЕНТ
применения электронной подписи
1. Общие сведения
Настоящий Регламент определяет порядок применения ЭП, в том числе статусы электронных документов, на которых происходит наложение электронной подписи в электронном документе.
2. Средства применения электронной подписи
При работе с ЮЗЭД принимаются и признаются Сертификаты, изданные УЦ.
Сертификат признается изданным УЦ, если подтверждена подлинность ЭП уполномоченного лица УЦ, которым подписан Сертификат Уполномоченного сотрудника Участника.
Идентификационные данные, занесенные в Сертификат, однозначно идентифицируют владельца сертификата и соответствуют идентификационным данным владельца сертификата, зарегистрированным УЦ.
Для определения статуса Сертификата используется список отозванных сертификатов, издаваемый и публикуемый УЦ в порядке и с периодичностью, определяемой УЦ.
Местом публикации списков отозванных сертификатов принимается адрес информационного ресурса, определенный УЦ.
В качестве средств ЭП используются СКЗИ, сертифицированные в соответствии с действующим законодательством, а также совместимые с Комплексом (согласно требованиям Комплекса) и обеспечивающие:
реализацию функций создания ЭП в электронном документе с использованием ключа;
подтверждение с использованием Сертификата подлинности ЭП в электронном документе;
создание ключей и Сертификатов ЭП.
ЭП хранится отдельно от электронных документов. Формат ЭП определяется рекомендациями RFC 3852 "Cryptographic Message Syntax (CMS)", с учетом использования криптографических алгоритмов ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94 в соответствии с RFC 4490 "Using the GOST 28147-89, GOST R 34.11-94, GOST R 34.10-94, and GOST R 34.10-2001 Algorithms with Cryptographic Message Syntax (CMS)".
III. Перечень электронных документов, включенных
в юридически значимый электронный документооборот
Электронными документами, которые будут считаться юридически значимыми при условии подписания их ЭП (в случае выполнения всех условий равнозначности ЭП собственноручной в соответствии с Федеральным законом 63-ФЗ) и с учетом иных требований настоящего Договора, являются формы бюджетной отчетности об исполнении консолидированного бюджета муниципального образования и сводной бухгалтерской отчетности муниципальных бюджетных и автономных учреждений, установленные соответствующими приказами Министерства финансов Российской Федерации, Федерального казначейства, а также дополнительные формы бюджетной и бухгалтерской отчетности, установленные соответствующими приказами Организатора (далее - формы отчетности).
Требования к дайджестам определяет Организатор. Участник имеет право быть ознакомленным с составом дайджестов юридически значимых электронных документов.
IV. Правила подписания электронных документов
Руководитель Субъекта отчетности назначает распорядительным документом Уполномоченных сотрудников.
Субъект отчетности после проведения в Комплексе функциональных этапов по вводу данных, проведения расчетов, контроля по логической увязке данных в формах отчетности (внутридокументный, междокументный контроль) устанавливает статус "Утвержден" и подписывает утвержденные формы отчетности. Каждая форма отчетности должна содержать две ЭП: первая подпись - руководитель финансового органа либо лицо, исполняющее его обязанности, вторая подпись - главный бухгалтер финансового органа либо лицо, исполняющее его обязанности.
Уполномоченные сотрудники Субъекта отчетности обязуются подписывать юридически значимые электронные документы своей электронной подписью строго в соответствии с правилами подписания, в ином случае электронные документы не считаются юридически значимыми.
V. Перечень ролей, используемых в Комплексе
1
Руководитель
2
Главный бухгалтер
VI. Контроль правил подписания юридически значимых
электронных документов
Контроль правил подписания юридически значимых электронных документов осуществляется организационными методами. Также допускается контроль техническими средствами Комплекса (использование правил проверки в Комплексе). Способы контроля правил подписания определяются Организатором.
Приложение 2
УТВЕРЖДЕН
Приказом
Министерства финансов
Пермского края
от 22.11.2012 № СЭД-39-01-22-219
Приложение 2 признано утратившим силу.
(в редакции приказа Министерства финансов Пермского края от 18.11.2015 № СЭД-39-01-22-263)
Приложение 3
УТВЕРЖДЕНО
Приказом
Министерства финансов
Пермского края
от 22.11.2012 № СЭД-39-01-22-219
ПОЛОЖЕНИЕ
О ПОРЯДКЕ РАБОТЫ СО СРЕДСТВАМИ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ
ИНФОРМАЦИИ
1. Термины и определения
Аккредитованный удостоверяющий центр (УЦ) - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (далее - Федеральный закон 63-ФЗ), и получившие аккредитацию.
Аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона 63-ФЗ.
Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов (журнал поэкземплярного учета СКЗИ) - документ, содержащий данные о выданных Уполномоченным сотрудникам ключевых документах.
Квалифицированный сертификат ключа проверки электронной подписи (Сертификат) - сертификат ключа проверки электронной подписи, выданный УЦ или доверенным лицом УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.
Компрометация криптоключа - утрата доверия к тому, что используемые ключи обеспечивают безопасность информации.
Ключ электронной подписи (криптоключ, закрытый ключ, ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи.
Ключ проверки электронной подписи (открытый ключ) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.
Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.
Ключевой документ - ключевой носитель, содержащий ключ электронной подписи, а при необходимости - контрольную, служебную и технологическую информацию.
Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключа электронной подписи.
Пользователь СКЗИ (пользователь) - физическое лицо Участника, непосредственно допущенное к работе со средствами криптографической защиты информации.
Комплекс - программный комплекс «СКИФ», разработанный ОАО «Финтех» (далее - разработчик), предназначенный для автоматизации формирования, приема, передачи, обработки и хранения форм отчетности.
Средства криптографической защиты информации (СКЗИ) - аппаратные и(или) программные средства, обеспечивающие применение электронной подписи (создание, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи) и(или) шифрование при осуществлении электронного документооборота, а также обеспечивающие защиту информации по утвержденным стандартам и сертифицированные в соответствии с действующим законодательством.
Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
Участник - юридическое лицо, принимающее участие в юридически значимом электронном документообороте.
Усиленная квалифицированная электронная подпись (ЭП) - вид электронной подписи, который соответствует следующим признакам:
электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
электронная подпись позволяет определить лицо, подписавшее электронный документ;
электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
ключ проверки электронной подписи указан в Сертификате;
для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ.
Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию.
Электронный документ - отчет, в котором информация представлена в электронной форме в формате Комплекса. Юридическая значимость электронного документа подтверждается ЭП.
Юридически значимый электронный документооборот (ЮЗЭД) - документооборот на базе Комплекса, в котором участники ЮЗЭД совершают действия по обмену и принятию к исполнению документов в электронной форме, удостоверенных ЭП, и несут ответственность за совершение либо несовершение этих действий.
2. Общие положения
Настоящий документ регламентирует порядок работы со средствами криптографической защиты информации (СКЗИ) в соответствии с Приказом ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным Приказом ФСБ РФ от 9 февраля 2005 г. № 66.
3. Организация и обеспечение безопасности хранения
и применения СКЗИ
Ключевые документы или исходная информация для выработки ключевых документов изготавливаются УЦ или ответственным за эксплуатацию СКЗИ сотрудником Участника.
Пользователи СКЗИ обязаны:
не разглашать сведения о криптоключах;
соблюдать требования и рекомендации, указанные производителем СКЗИ в сопроводительной документации;
сообщать ответственному за эксплуатацию СКЗИ сотруднику Участника, а также Организатору о ставших им известными попытках посторонних лиц получить сведения об используемых криптоключах или ключевых документах;
сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;
при получении в пользование ключевого носителя изменить PI№-код пользователя. Изменение PI№-кода администратора производит ответственный за эксплуатацию СКЗИ сотрудник Участника;
немедленно уведомлять ответственного за эксплуатацию СКЗИ сотрудника Участника, а также Организатора о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых сведений конфиденциального характера, а также о причинах и условиях возможной утечки таких сведений.
Непосредственно к работе с СКЗИ пользователи допускаются только после соответствующего инструктажа. Инструктаж включает в себя ознакомление с руководством пользователя СКЗИ, инструкцией по установке, настройке и эксплуатации СКЗИ, Регламентом УЦ. Инструктаж проводит ответственный за эксплуатацию СКЗИ сотрудник Участника и(или) УЦ.
4. Порядок обращения с СКЗИ и криптоключами к ним.
Мероприятия при компрометации криптоключей
Для организации и обеспечения безопасности хранения и применения ЭП следует использовать СКЗИ, предусматривающие запись ключей ЭП на электронные ключевые носители многократного (долговременного) использования (дискеты, компакт-диски (CD-ROM), Data Key, Smart Card, eToken, RuToken и т.п.).
Используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету по установленной форме в соответствии с требованиями Положения ПКЗ-2005. При этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование.
Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно.
Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов ведет ответственный за эксплуатацию СКЗИ сотрудник Участника по форме согласно приложению к настоящему Положению.
Все полученные ответственным за эксплуатацию СКЗИ сотрудником Участника экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета СКЗИ несущим персональную ответственность за их сохранность.
Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только между пользователями СКЗИ и(или) ответственными за эксплуатацию СКЗИ сотрудниками Участника под расписку в соответствующих журналах поэкземплярного учета СКЗИ.
Пользователи СКЗИ хранят носители СКЗИ, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
Аппаратные средства, с которыми осуществляется штатное функционирование, СКЗИ должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать. При наличии технической возможности на время отсутствия пользователей СКЗИ указанные средства необходимо отключать от линии связи и убирать в опечатываемые хранилища.
СКЗИ и ключевые документы могут доставляться фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа ответственных за эксплуатацию СКЗИ сотрудников Участника или пользователей СКЗИ, для которых они предназначены, при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки.
Эксплуатационную и техническую документацию к СКЗИ можно пересылать заказными или ценными почтовыми отправлениями.
Для пересылки СКЗИ ключевые документы должны быть помещены в прочную упаковку, исключающую возможность их физического повреждения и внешнего воздействия, в особенности на записанную ключевую информацию. СКЗИ пересылают отдельно от ключевых документов к ним. На упаковках указывают ответственного за эксплуатацию СКЗИ сотрудника Участника или пользователя СКЗИ, для которого эти упаковки предназначены. На упаковках делают пометку «Лично». Упаковки опечатывают таким образом, чтобы исключалась возможность извлечения из них содержимого без нарушения упаковок и оттисков печати.
Оформленную таким образом упаковку при предъявлении фельдсвязью дополнительных требований помещают во внешнюю упаковку, оформленную согласно предъявляемым требованиям. До первоначальной высылки (или возвращения) адресату сообщают отдельным письмом описание высылаемых ему упаковок и печатей, которыми они могут быть опечатаны.
Для пересылки СКЗИ, эксплуатационной и технической документации к ним, ключевых документов следует подготовить сопроводительное письмо, в котором необходимо указать, что посылается и в каком количестве, учетные номера изделий или документов, а также при необходимости назначение и порядок использования высылаемого отправления. Сопроводительное письмо вкладывают в одну из упаковок.
Полученные упаковки вскрывают только ответственный за эксплуатацию СКЗИ сотрудник Участника или пользователи СКЗИ, для которых они предназначены. Если содержимое полученной упаковки не соответствует указанному в сопроводительном письме или сама упаковка и печать - их описанию (оттиску), а также если упаковка повреждена, в результате чего образовался свободный доступ к ее содержимому, то получатель составляет акт, который высылает отправителю. Полученные с такими отправлениями СКЗИ и ключевые документы до получения указаний от отправителя применять не разрешается.
Получение СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должно быть подтверждено отправителю в соответствии с порядком, указанным в сопроводительном письме. Отправитель обязан контролировать доставку своих отправлений адресатам. Если от адресата своевременно не поступило соответствующего подтверждения, то отправитель должен направить ему запрос и принять меры к уточнению местонахождения отправлений.
Неиспользованные или выведенные из действия ключевые документы подлежат уничтожению на месте эксплуатации.
Уничтожение криптоключей (исходной ключевой информации) производится путем физического уничтожения ключевого носителя, на котором они расположены, или путем стирания (разрушения) криптоключей (исходной ключевой информации) без повреждения ключевого носителя (для обеспечения возможности его многократного использования).
Криптоключи (исходную ключевую информацию) стирают по технологии, принятой для соответствующих ключевых носителей многократного использования (дискет, компакт-дисков (CD-ROM), Data Key, Smart Card, eTo-ken, RuToken и т.п.). Непосредственные действия по стиранию криптоключей (исходной ключевой информации), а также возможные ограничения на дальнейшее применение соответствующих ключевых носителей многократного использования регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации).
Ключевые носители уничтожают путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления ключевой информации. Непосредственные действия по уничтожению конкретного типа ключевого носителя регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации).
Бумажные и прочие сгораемые ключевые носители, а также эксплуатационная и техническая документация к СКЗИ уничтожаются путем сжигания или с помощью любых бумагорезательных машин.
Ключевые документы должны быть уничтожены в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется в журнале поэкземплярного учета.
Ключевые документы уничтожаются либо пользователями СКЗИ, либо ответственным за эксплуатацию СКЗИ сотрудником Участника под расписку в журнале поэкземплярного учета, а уничтожение большого объема ключевых документов может быть оформлено актом. При этом пользователям СКЗИ разрешается уничтожать только использованные непосредственно ими (предназначенные для них) криптоключи.
Уничтожение по акту производит комиссия в составе не менее двух человек из числа сотрудников Участника, в том числе ответственного за эксплуатацию СКЗИ сотрудника. В акте указывается, что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых ключевых документов, инсталлирующих СКЗИ носителей, эксплуатационной и технической документации. Исправления в тексте акта должны быть оговорены и заверены подписями всех членов комиссии, принимавших участие в уничтожении. О проведенном уничтожении делается отметка в журнале поэкземплярного учета СКЗИ.
Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи необходимо немедленно вывести из действия, если иной порядок не оговорен в эксплуатационной и технической документации к СКЗИ. О выводе криптоключей из действия сообщают в УЦ и Министерство финансов Пермского края. О нарушениях, которые могут привести к компрометации криптоключей, их составных частей, пользователи СКЗИ обязаны сообщать в УЦ и Министерство финансов Пермского края. Осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения). В случаях недостачи, непредъявления ключевых документов, а также неопределенности их местонахождения принимаются срочные меры к их розыску.
Порядок оповещения пользователей СКЗИ о предполагаемой компрометации криптоключей и их замене устанавливается соответствующим Регламентом оказания услуг УЦ.
5. Контроль за организацией и обеспечением безопасности
хранения и применения СКЗИ
Контроль за организацией и обеспечением безопасности хранения, эксплуатации, обработки и передачи по каналам связи информации с использованием СКЗИ - государственный контроль осуществляют уполномоченные федеральные органы. В ходе государственного контроля изучаются и оцениваются:
организация безопасности хранения, эксплуатации СКЗИ;
достигнутый уровень криптографической защиты информации;
условия использования СКЗИ.
Приложение
к Положению
о порядке работы со
средствами криптографической
защиты информации
ЖУРНАЛ
поэкземплярного учета СКЗИ, эксплуатационной и технической
документации к ним, ключевых документов
№
п/п
Наименование
СКЗИ,
эксплуатаци-
онной и
технической
документации
к ним,
ключевых
документов
Серийные
номера СКЗИ,
эксплуатаци-
онной и
технической
документации
к ним,
номера серий
ключевых
документов
Отметка о
получении
Отметка о
выдаче
Отметка о подключении
(установке) СКЗИ
Отметка об изъятии
СКЗИ из аппаратных
средств, уничтожении
(утрате) ключевых
документов
Приме-
чание
От
кого
полу-
чены
Дата и
номер
сопрово-
дитель-
ного
письма
Ф.И.О.
пользо-
вателя
СКЗИ
Дата
и
рас-
писка
в
полу-
чении
Ф.И.О.
сотруд-
ников
пользо-
вателя
СКЗИ,
произ-
ведших
подклю-
чение
(уста-
новку)
Дата
подклю-
чения
(уста-
новки)
и
подписи
лиц,
произ-
ведших
подклю-
чение
(уста-
новку)
Номера
аппарат-
ных
средств,
в
которые
установ-
лены или
к
которым
подклю-
чены
СКЗИ
Дата
изъя-
тия
(унич-
тоже-
ния,
утери)
Ф.И.О.
сотруд-
ников
пользо-
вателя
СКЗИ,
произво-
дивших
изъятие
(уничто-
жение)/
Ф.И.О.
пользо-
вателя
СКЗИ,
утратив-
шего
Номер
акта
или
рас-
писка
об
унич-
тоже-
нии
(уте-
ре)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Приложение 4
УТВЕРЖДЕН
Приказом
Министерства финансов
Пермского края
от 22.11.2012 № СЭД-39-01-22-219
ПОРЯДОК
РАЗБОРА КОНФЛИКТНЫХ СИТУАЦИЙ
1. Термины и определения
Термины и определения, используемые в документе:
Аккредитованный удостоверяющий центр (УЦ) - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (далее - Федеральный закон 63-ФЗ), и получившее аккредитацию.
Аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона 63-ФЗ.
Альбом электронных документов - документ, содержащий список электронных документов, включенных в юридически значимый электронный документооборот.
Аттестат соответствия - документ установленной формы, подтверждающий выполнение требований нормативных правовых актов в области защиты информации.
Владелец сертификата ключа проверки электронной подписи (владелец сертификата) - лицо, которому в установленном Федеральным законом 63-ФЗ порядке выдан сертификат ключа проверки электронной подписи.
Доказательная база - информация в электронном и в бумажном виде, достаточная для разрешения конфликтных ситуаций.
Жизненный цикл электронного документа - существование электронного документа от момента формирования до момента передачи в архив или уничтожения.
Инициатор - юридическое лицо, инициирующее разбор конфликтной ситуации, связанной с необходимостью проверки юридической значимости электронного документа.
Квалифицированный сертификат ключа проверки электронной подписи (сертификат) - сертификат ключа проверки электронной подписи, выданный УЦ или доверенным лицом УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.
Ключ электронной подписи (закрытый ключ, ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи.
Ключ проверки электронной подписи (открытый ключ) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.
Область применения сертификата - параметр сертификата. Область применения сертификата определяет перечень электронных документов, возможных для подписания при помощи данного сертификата.
Ответчик - юридическое лицо, привлекаемое в качестве предполагаемого нарушителя прав Инициатора.
Отозванный сертификат - сертификат, который отозван из обращения.
Регламент применения электронной подписи (Регламент) - документ, определяющий статусы электронных документов, на которых происходит наложение электронной подписи в электронном документе.
Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
Комплекс - программный комплекс «СКИФ», разработанный ОАО «Финтех» (далее - разработчик), предназначенный для автоматизации формирования, приема, передачи, обработки и хранения форм отчетности.
Средства криптографической защиты информации (СКЗИ) - аппаратные и(или) программные средства, обеспечивающие применение электронной подписи (создание, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи) и(или) шифрование при осуществлении электронного документооборота, а также обеспечивающие защиту информации по утвержденным стандартам и сертифицированные в соответствии с действующим законодательством.
Статус электронного документа - атрибут электронного документа, идентифицирующий его состояние по определенному признаку.
Сотрудник - пользователь, имеющий имя и пароль для входа в Комплекс и наделенный полномочиями для работы в Комплексе.
Уполномоченный сотрудник - сотрудник, наделенный полномочиями по подписанию электронной подписью электронных документов в соответствии с утвержденным Регламентом, для которого УЦ выпущен сертификат ключа проверки электронной подписи.
Участник - юридическое лицо, принимающее участие в юридически значимом электронном документообороте.
Усиленная квалифицированная электронная подпись (ЭП) - вид электронной подписи, которая соответствует следующим признакам:
электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
электронная подпись позволяет определить лицо, подписавшее электронный документ;
электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
электронная подпись создается с использованием средств электронной подписи;
ключ проверки электронной подписи указан в сертификате;
для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ.
Целостность программного обеспечения - отсутствие изменений в коде программного обеспечения при эксплуатации данного программного обеспечения.
Цепочка доверия - последовательность взаимосвязанных (доверенных) сертификатов, возникающая при проверке ключа ЭП.
Экспертная комиссия - комиссия, разрешающая конфликтные ситуации, связанные с использованием юридически значимого электронного документооборота.
Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию.
Электронный документ - отчет, в котором информация представлена в электронной форме в формате Комплекса. Юридическая значимость электронного документа подтверждается ЭП.
Юридически значимый электронный документооборот (ЮЗЭД) - документооборот на базе Комплекса, в котором участники ЮЗЭД совершают действия по обмену и принятию к исполнению документов в электронной форме, удостоверенных ЭП, и несут ответственность за совершение либо несовершение этих действий.
2. Назначение документа
2.1. Настоящий документ определяет порядок разрешения конфликтных ситуаций, связанных с использованием ЮЗЭД на базе Комплекса. Использование ЮЗЭД подразумевает под собой подписание ЭП электронных документов на базе Комплекса.
2.2. Настоящий документ предназначен для Участников, в том числе для Инициаторов, Ответчиков, а также для членов Экспертных комиссий.
3. Порядок разрешения конфликтных ситуаций
3.1. Общие положения.
3.1.1. В ходе обмена юридически значимыми электронными документами между Участниками могут возникать конфликтные ситуации в части установления авторства и/или подлинности электронных документов, нарушения правил использования СКЗИ. Возможны возникновения разногласий в следующих ситуациях:
оспаривание факта отправления и/или получения электронного документа;
оспаривание времени отправления и/или получения электронного документа;
оспаривание содержания отправленного/полученного электронного документа;
оспаривание идентичности экземпляров электронного документа и/или подлинника и копии электронного документа на бумажном носителе;
оспаривание целостности электронного документа;
оспаривание идентификации лица, заверившего электронный документ ЭП;
оспаривание полномочий лица, заверившего электронный документ ЭП;
оспаривание действительности и правомочности использования сертификата, использованного для заверения электронного документа;
иные случаи возникновения конфликтных ситуаций в ходе обмена электронными документами.
3.1.2. Разрешая конфликтные ситуации, Участники исходят из того, что:
в соответствии с действующим законодательством документ в электронном виде, заверенный ЭП в Комплексе, является документом, имеющим юридическую силу, аналогичным бумажному документу, снабженному подписью и печатью;
электронный документ порождает обязательства Участника перед другими Участниками, если документ оформлен надлежащим образом, подписан ЭП в Комплексе и доставлен другому Участнику. При этом ЭП используется в соответствии со сведениями, указанными в сертификате, а сертификат отправителя является действующим;
математические свойства алгоритма ЭП должны соответствовать стандартам, существующим в Российской Федерации. Участник признает, что разбор конфликтной ситуации в отношении авторства, целостности и подлинности электронного документа заключается в доказательстве подписания конкретного электронного документа на конкретном ключе ЭП.
3.1.3. Разрешение конфликтных ситуаций может осуществляться несколькими способами (в зависимости от уровня эскалации конфликтной ситуации), а именно:
Участник, инициировавший разбор, и Ответчик разрешают конфликтную ситуацию в рабочем порядке (без создания Экспертной комиссии);
Участник, инициировавший разбор, и Ответчик разрешают конфликтную ситуацию с созданием Экспертной комиссии и привлечением разработчиков программного обеспечения Комплекса;
претензионный порядок разрешения конфликтной ситуации;
Участник, инициировавший разбор, и Ответчик разрешают конфликтную ситуацию в судебном порядке.
3.2. Разрешение конфликтных ситуаций в рабочем порядке.
В случае возникновения обстоятельств, свидетельствующих, по мнению одного из Участников, о возникновении конфликтной ситуации, данный Участник (Инициатор) незамедлительно извещает ответственного сотрудника других заинтересованных Участников любым доступным способом о возможном возникновении и/или наличии конфликтной ситуации, обстоятельствах, свидетельствующих о ее возникновении или наличии, а также о ее предполагаемых причинах. Информация, полученная от Инициатора по телефону или в ином устном обращении, регистрируется ответственным сотрудником в журнале регистрации извещений о разборе конфликтной ситуации. Инициатор обязан продублировать извещение в письменном виде.
Ответчик, которому была направлена информация (извещение в свободной форме) о конфликтной ситуации и который должен участвовать в ее разрешении, обязан проверить наличие указанных в извещении обстоятельств и принять меры по разрешению конфликтной ситуации со своей стороны.
Ответчик письмом извещает Инициатора о результатах проверки и при необходимости о мерах, принятых для разрешения конфликтной ситуации.
Конфликтная ситуация признается разрешенной в рабочем порядке в случае, если Инициатор удовлетворен информацией, содержащейся в извещениях Ответчика, и не имеет к ней претензий.
Разрешение конфликтных ситуаций в рабочем порядке допускается в тех случаях, когда действия, являющиеся причиной конфликта, не наносят существенный ущерб Участникам.
3.3. Разрешение конфликтной ситуации с созданием Экспертной комиссии.
В случае если конфликтная ситуация не была разрешена в рабочем порядке, Инициатор может направить Ответчику заявление о разногласиях в свободной форме с предложением создать Экспертную комиссию.
Экспертная комиссия создается с целью разрешения конфликтных ситуаций, возникающих в ходе обмена электронными документами в Комплексе, в тех случаях, когда разрешение конфликтных ситуаций в рабочем порядке не представляется возможным по следующим причинам:
действия, являющиеся конфликтными, наносят существенный ущерб;
действия, являющиеся конфликтными, не наносят существенный ущерб, но Участник, инициировавший разбор, не удовлетворен информацией, полученной от Ответчика в процессе разрешения конфликтной ситуации в рабочем порядке.
3.3.1. Формирование заявления о разногласиях.
При возникновении разногласий Инициатор, заявляющий о разногласии, направляет Ответчику заявление о разногласиях <1> в свободной форме.
--------------------------------
<1> До подачи заявления Участнику, инициировавшему разбор конфликтной ситуации, необходимо убедиться в целостности установленного на его технических средствах программного обеспечения, в том числе средств ЭП. Инициатор обязан убедиться в том, что не было произведено несанкционированных действий относительно программного обеспечения. А также удостовериться в том, что на его технических средствах не установлено вредоносное или шпионское программное обеспечение.
Заявление должно содержать информацию о предмете и существе конфликтной ситуации, обстоятельствах, по мнению Инициатора, свидетельствующих о наличии конфликтной ситуации, возможных причинах и последствиях ее возникновения. Заявление составляется в свободной форме на бумажном носителе, подписывается должностными лицами Инициатора, уполномоченными участвовать в разрешении конфликтной ситуации, и передаются Ответчику.
Заявление о разногласиях в обязательном порядке должно содержать следующую информацию:
уникальный идентификатор электронного документа <2>;
--------------------------------
<2> Определяется через интерфейс Комплекса.
название класса электронного документа и его номер в Комплексе;
дата заявления;
обстоятельства, на которых основаны заявленные требования, и сведения о подтверждающих их доказательствах;
нормы законодательных и иных нормативных правовых актов, на основании которых выставляется требование (в том числе договор об обмене электронными документами между Участниками юридически значимого электронного документооборота);
предложение создать Экспертную комиссию;
перечень документов (составляющих доказательную базу при конфликтной ситуации для судебных разбирательств), прилагаемых к заявлению о разногласии. В состав указанных документов должны быть включены:
файл, содержащий электронный документ, а также ЭП этого электронного документа <3>;
--------------------------------
<3> Выгружается из Комплекса.
файл, содержащий вложение электронного документа, а также ЭП этого вложения электронного документа <4>;
--------------------------------
<4> Выгружается из Комплекса.
файлы, содержащие сертификаты ключей ЭП, которыми был подписан электронный документ и вложения.
3.3.2. Предполагаемое место и дата сбора Экспертной комиссии.
Не позднее чем на третий рабочий день после получения заявления о разногласиях Участниками, участвующими в разрешении конфликтной ситуации, должна быть сформирована Экспертная комиссия.
Экспертная комиссия формируется на основании приказа Министерства финансов Пермского края. Приказ устанавливает состав Экспертной комиссии, время, место и срок ее работы.
Устанавливается срок работы Экспертной комиссии - 5 рабочих дней. В исключительных случаях срок работы Экспертной комиссии может быть продлен, но не более чем на тридцать рабочих дней.
Если Участники не договорятся об ином, то в состав Экспертной комиссии входит равное количество уполномоченных лиц Участников, участвующих в разрешении конфликтной ситуации.
В состав Экспертной комиссии включаются представители отдела автоматизации Министерства финансов Пермского края, а также исполнители электронных документов, являющиеся подписантами с использованием ЭП в Комплексе.
В состав Экспертной комиссии могут быть включены представители юридических служб Участников, представители органов, осуществляющих государственное регулирование и контроль соответствующих видов деятельности.
По инициативе любого из Участников, участвующих в разрешении конфликтной ситуации, к работе Экспертной комиссии для проведения технической экспертизы привлекаются уполномоченные сотрудники УЦ и(или) иные независимые эксперты.
Лица, входящие в состав Экспертной комиссии, должны обладать необходимыми знаниями и опытом работы с электронными документами, опытом организации и обеспечения информационной безопасности при обмене электронными документами, иметь соответствующий допуск к необходимым документальным материалам и программно-техническим средствам.
Председатель Экспертной комиссии назначается по согласованию Участников.
При участии в Экспертной комиссии представителей иных органов и организаций их право представлять соответствующие органы и организации должно подтверждаться официальным документом (доверенностью, предписанием, копией приказа или распоряжения).
3.3.3. Права и полномочия Экспертной комиссии.
Экспертная комиссия имеет право получать доступ к необходимым для ее работы документальным материалам Участников, в том числе нормативным правовым актам по обмену электронными документами, архивам электронных документов.
Экспертная комиссия имеет право на ознакомление с условиями и порядком подготовки, формирования, обработки, доставки, исполнения, хранения и учета электронных документов Участников.
Экспертная комиссия имеет право на ознакомление с условиями и порядком эксплуатации программных и технических средств обмена электронными документами Участников.
Экспертная комиссия имеет право на ознакомление с условиями и порядком изготовления, использования и хранения Участниками ключей, иной конфиденциальной информации, а также материальных носителей, необходимых для работы средств обмена электронными документами.
Экспертная комиссия имеет право получать объяснения от должностных лиц Участников, обеспечивающих обмен электронными документами.
Экспертная комиссия вправе получать от Участников любую иную информацию, относящуюся, по ее мнению, к разрешаемой конфликтной ситуации.
Для проведения необходимых проверок и документирования данных Экспертной комиссией могут применяться специальные программные и технические средства.
3.3.4. Порядок работы Экспертной комиссии.
Ответчик обязан в период работы Экспертной комиссии представить Инициатору и Экспертной комиссии ответы по каждому вопросу, изложенному в заявлении о разногласиях.
В ответах Ответчика на каждое требование должны содержаться документально обоснованные ответы или даны ссылки на доказательства, которые могут быть представлены в ходе работы Экспертной комиссии.
Любая сторона в ходе работы Экспертной комиссии может внести ходатайства об изменении или дополнении своих требований или возражений.
Экспертная комиссия в любой момент может затребовать от сторон предоставления документов, вещественных или иных доказательств в устанавливаемый Экспертной комиссией срок.
Рассмотрение спора производится на основании всех представленных документов, доказательств.
В том случае, если обстоятельства требуют подтверждения факта подлинности ЭП в электронном документе, Экспертная комиссия проводит экспертизу по подтверждению подлинности ЭП.
Для проведения экспертизы по подтверждению подлинности ЭП привлекаются уполномоченные сотрудники УЦ.
Технический порядок проведения экспертизы определяется эксплуатационной документацией на данное специализированное программное обеспечение.
3.3.5. Проверка подлинности электронных документов.
Для проверки подлинности электронного документа необходимо:
проверить наличие данного электронного документа в Комплексе;
получить электронный документ и ЭП для проведения анализа, при этом документ и ЭП выгружают из Комплекса в виде файла: документ и подпись в виде файла в формате xml.
Проверка осуществляется посредством поиска уникального идентификатора, указанного в заявлении о разногласиях.
При установлении факта отсутствия данного электронного документа в Комплексе делается вывод об отсутствии причин конфликтной ситуации. При установлении факта присутствия электронного документа в Комплексе необходимо продолжить разрешение конфликтной ситуации в соответствии с настоящим Порядком.
3.3.6. Подтверждение подлинности ЭП.
Подтверждение подлинности ЭП в электронном документе - это положительный результат подтверждения сертифицированным средством ЭП принадлежности содержащейся в электронном документе ЭП ее владельцу и отсутствия искажения и подделки подписанного данной ЭП электронного документа.
Подтверждение подлинности ЭП выполняется путем проведения экспертизы. Экспертиза подлинности ЭП в электронном документе выполняется уполномоченным сотрудником УЦ. Экспертиза осуществляется с использованием применяемого средства ЭП и специализированного программного обеспечения, используемого УЦ для разрешения конфликтных ситуаций.
Для проведения экспертизы подлинности ЭП в электронном документе необходимо:
определить сертификат, необходимый для проверки ЭП;
проверить подлинность ЭП электронного документа с использованием сертификата;
в случае если при наложении ЭП используется штамп времени, проверить статус сертификата на момент подписания.
При установлении факта неподтверждения подлинности ЭП делается вывод об отсутствии причин конфликтной ситуации.
При установлении факта подлинности ЭП делается вывод о продолжении разрешения конфликтной ситуации в соответствии с настоящим Порядком.
3.3.7. Проверка организационных аспектов.
После подтверждения подлинности ЭП в представленном электронном документе проводится проверка организационных аспектов электронного документа.
3.3.7.1. При проверке на соответствие положениям Регламента в Комплексе проверяются следующие условия:
соответствие полномочий Уполномоченного сотрудника на подписание электронного документа ЭП в соответствии с Регламентом;
соответствие личности должностного лица, подписавшего документ, информации, указанной в сертификате, который был представлен Экспертной комиссии.
При проверке соответствия полномочий Уполномоченного сотрудника на подписание электронного документа ЭП в соответствии с Регламентом проверяется:
соответствие представленного электронного документа описанию класса (описание классов документов приведено в документации к Комплексу);
возможность подписания ЭП электронных документов данного класса;
возможность подписания ЭП на заданном статусе жизненного цикла электронного документа;
присутствие электронного документа данного класса в перечне юридически значимых электронных документов;
время и дата подписания электронного документа (по времени системного журнала).
При установлении факта соответствия между Регламентом в Комплексе и ЭП в электронном документе, факта соответствия времени и даты подписания электронного документа, указанных в системном журнале, времени и дате подписания электронного документа, указанным в заявке о разногласиях, а также при наличии остальных подтверждающих фактов делается вывод о правомерности зафиксированных в заявлении о разногласиях претензий Инициатора.
При установлении факта несоответствия между Регламентом в Комплексе и ЭП в электронном документе, несоответствии времени и даты подписания электронного документа, указанных в системном журнале, времени и дате подписания электронного документа, указанным в заявлении о разногласиях, делается вывод об отсутствии причин конфликтной ситуации.
3.3.7.2. Правомерность использования копий СКЗИ и Комплекса в соответствии с условиями лицензионных соглашений.
При установлении факта правомерности использования СКЗИ и Комплекса, а также при наличии остальных подтверждающих фактов делается вывод о правомерности претензий Инициатора, зафиксированных в заявлении о разногласиях.
При установлении факта неправомерности использования СКЗИ и Комплекса делается вывод об отсутствии причин конфликтной ситуации.
3.3.7.3. Корректность использования копий СКЗИ и Комплекса в соответствии с документацией на используемые программные и аппаратные средства и аттестатами соответствия.
При установлении факта корректного использования СКЗИ и Комплекса, а также при наличии остальных подтверждающих фактов делается вывод о правомерности претензий Инициатора, зафиксированных в заявлении о разногласиях.
При установлении факта некорректного использования СКЗИ и Комплекса делается вывод об отсутствии причин конфликтной ситуации.
3.3.7.4. Правомерность подписания электронного документа Уполномоченным сотрудником Участника на основании приказов о наделении сотрудника правом подписи электронных документов определенных классов.
При установлении факта правомерного подписания электронного документа сотрудником Участника, а также при наличии остальных подтверждающих фактов делается вывод о правомерности претензий Инициатора, зафиксированных в заявлении о разногласиях.
При установлении факта неправомерного подписания электронного документа сотрудником Участника делается вывод об отсутствии причин конфликтной ситуации.
3.3.7.5. Доказательства корректности условий использования сертификатов в соответствии с областью применения.
При установлении факта использования сертификатов в соответствии с областью применения, а также при наличии остальных подтверждающих фактов делается вывод о правомерности претензий Инициатора, зафиксированных в заявлении о разногласиях.
При установлении факта использования не в соответствии с областью применения сертификатов делается вывод об отсутствии причин конфликтной ситуации.
3.3.8. Оформление результатов работы Экспертной комиссии.
3.3.8.1. Протокол работы Экспертной комиссии.
Все действия, предпринимаемые Экспертной комиссией для выяснения фактических обстоятельств, а также выводы, сделанные Экспертной комиссией, заносятся в протокол работы Экспертной комиссии.
Протокол работы Экспертной комиссии должен содержать следующие данные:
состав Экспертной комиссии с указанием фамилии, имени, отчества, места работы, занимаемой должности, при необходимости исполняемой при обмене электронными документами функциональной роли, контактной информации и квалификации членов Экспертной комиссии;
краткое изложение обстоятельств, свидетельствующих, по мнению Инициатора, о возникновении и/или наличии конфликтной ситуации;
установленные Экспертной комиссией фактические обстоятельства;
мероприятия, проводимые Экспертной комиссией для установления наличия, причин возникновения и последствий возникшей конфликтной ситуации, с указанием даты, времени и места их проведения;
выводы, к которым пришла Экспертная комиссия в результате проведенных мероприятий;
подписи всех членов Экспертной комиссии.
3.3.8.2. Акт по итогам работы Экспертной комиссии.
По итогам работы Экспертной комиссии составляется акт, который должен содержать следующую информацию:
краткое изложение выводов Экспертной комиссии;
принятое решение Экспертной комиссии;
состав Экспертной комиссии;
дату и место составления акта;
дату и время начала и окончания работы Экспертной комиссии;
перечень мероприятий, проведенных Экспертной комиссией;
собственноручные подписи членов Экспертной комиссии;
указание на особое мнение члена (членов) Экспертной комиссии в случае наличия такового.
Акт составляется в форме документа в свободной форме на бумажном носителе в 2 экземплярах и выдается Инициатору и Ответчику.
3.3.9. Разрешение конфликтной ситуации по итогам работы Экспертной комиссии.
Акт Экспертной комиссии является основанием для принятия Участниками, участвующими в разрешении конфликтной ситуации, решения по урегулированию конфликтной ситуации.
В срок не позднее трех рабочих дней со дня окончания работы Экспертной комиссии Участники, участвующие в разрешении конфликтной ситуации, на основании выводов Экспертной комиссии принимают меры по разрешению конфликтной ситуации.
Конфликтная ситуация признается разрешенной по итогам работы Экспертной комиссии, если Участники, участвующие в разрешении конфликтной ситуации, удовлетворены выводами, полученными Экспертной комиссией, и не имеют претензий в связи с разрешаемой конфликтной ситуацией.
В случае если конфликтная ситуация признается разрешенной, Участники, участвующие в разрешении конфликтной ситуации, в срок не позднее пяти рабочих дней со дня окончания работы Экспертной комиссии оформляют решение об урегулировании конфликтной ситуации.
Решение составляется Участниками, участвующими в разрешении конфликтной ситуации, в форме документа на бумажном носителе и выдается по одному экземпляру каждому Участнику. Решение подписывается уполномоченными в разрешении конфликтной ситуации лицами Участников и утверждается руководителями Участников.
4. Претензионный порядок разрешения конфликтной ситуации
Претензионный порядок разрешения конфликтной ситуации применяется:
когда конфликтная ситуация не разрешена по итогам работы Экспертной комиссии;
в случае прямого или косвенного отказа одного из Участников от участия в работе Экспертной комиссии или если одним из Участников, участвующим в разрешении конфликтной ситуации, создавались препятствия работе Экспертной комиссии;
в случае если один из Участников считает, что его права в связи с обменом электронными документами были нарушены.
Претензия должна содержать:
изложение требований Инициатора;
изложение фактических обстоятельств, на которых основываются требования Инициатора, и доказательства, подтверждающие их, со ссылкой на соответствующие нормы законодательства и нормативные акты;
сведения о работе Экспертной комиссии и в случае если Экспертная комиссия работала в связи с разрешаемой конфликтной ситуацией - копии материалов работы Экспертной комиссии независимо от выводов Экспертной комиссии, согласия или несогласия с этими выводами Инициатора;
иные документы, имеющие значение, по мнению Участника, инициирующего претензионный порядок разрешения конфликтной ситуации;
перечень прилагаемых к претензии документов и других доказательств, а также иные сведения, необходимые для урегулирования разногласий по претензии.
Претензия составляется в форме документа на бумажном носителе в свободной форме, подписывается руководителем Инициатора, заверяется печатью Инициатора. Претензия и прилагаемые к ней документы направляются в адрес Ответчика. Участник, в адрес которого направлена претензия, обязан в срок не позднее трех рабочих дней удовлетворить требования претензии или представить мотивированный отказ в их удовлетворении. Непредставление ответа на претензию в течение указанного срока является нарушением установленного настоящим разделом претензионного порядка и может рассматриваться в качестве отказа в удовлетворении требований претензии.
5. Разрешение конфликтных ситуаций в судах
Разрешение конфликтных ситуаций в судах допускается в тех случаях, когда разрешение конфликтных ситуаций в рабочем порядке, с созданием Экспертной комиссии или в претензионном порядке не привело к разрешению конфликтной ситуации.
Разрешение конфликтных ситуаций в судах проводится в порядке, установленном законодательством Российской Федерации.
Список
необходимых для разрешения конфликтной ситуации проверок
№
Наименование проверки
Результат
проверки
(да/нет)
1
2
3
1
Проверка подлинности электронного документа
1.1
Проверка присутствия документа в Комплексе
2
Подтверждение подлинности ЭП
2.1
Успешно ли выполнена проверка ЭП с использованием
сертификатов, представленных Инициатором и УЦ?
2.2
Действителен ли сертификат, которым подписан конфликтный
документ на момент подписания?
3
Проверка организационных аспектов
3.1
Проверка на соответствие положениям Регламента в
Комплексе
3.1.1
Соответствует ли представленный документ описанию класса?
3.1.2
Возможно ли подписание ЭП документов данного класса?
3.1.3
Подтверждена ли правомерность использования электронного
документа данного класса в ЮЗЭД в соответствии со списком
электронных документов, включенных в альбом электронных
документов?
3.1.4
Соответствует ли время и дата подписания электронного
документа, указанные в системном журнале, времени и дате
подписания электронного документа, указанным в заявке о
разногласиях?
3.1.5
Соответствует ли личность должностного лица, подписавшего
документ, информации, указанной в сертификате,
представленном Экспертной комиссии?
3.2
Прочие организационные аспекты
3.2.1
Подтверждена ли правомерность использования копий средств
криптографической защиты информации и Комплекса в
соответствии с условиями лицензионных соглашений?
3.2.2
Подтверждена ли корректность использования копий средств
криптографической защиты информации и Комплекса в
соответствии с документацией на используемые программные
и аппаратные средства и аттестатами соответствия?
3.2.3
Правомерно ли подписание электронного документа
Уполномоченным сотрудником Участника на основании
приказов о наделении сотрудника правом подписи
электронных документов определенных классов?
3.2.4
Представлены ли доказательства признания цепочек доверия
на основании договоров на обслуживание сертификатов
ключей ЭП, договоров на оказание услуг УЦ?
Приложение 5
УТВЕРЖДЕН
Приказом
Министерства финансов
Пермского края
от 22.11.2012 № СЭД-39-01-22-219
ПОРЯДОК
ПРЕДОСТАВЛЕНИЯ ДОКУМЕНТОВ ИЗ ПРОГРАММНОГО КОМПЛЕКСА «СКИФ»
ПО ЗАПРОСУ КОНТРОЛИРУЮЩИХ ОРГАНОВ
1. Термины и определения
Термины и определения, используемые в документе:
Квалифицированный сертификат ключа проверки электронной подписи (Сертификат) - сертификат ключа проверки электронной подписи, выданный удостоверяющим центром или доверенным лицом удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.
Ключ электронной подписи (закрытый ключ, ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи.
Ключ проверки электронной подписи (открытый ключ) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.
Комплекс - программный комплекс «СКИФ», разработанный ОАО «Финтех» (далее - разработчик), предназначенный для автоматизации формирования, приема, передачи, обработки и хранения форм отчетности.
Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
Сотрудник - пользователь, имеющий имя и пароль для входа в Комплекс и наделенный полномочиями для работы в Комплексе.
Участник - юридическое лицо, принимающее участие в юридически значимом электронном документообороте.
Усиленная квалифицированная электронная подпись (ЭП) - вид электронной подписи, которая соответствует следующим признакам:
электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
электронная подпись позволяет определить лицо, подписавшее электронный документ;
электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
электронная подпись создается с использованием средств электронной подписи;
ключ проверки электронной подписи указан в Сертификате;
для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию.
Электронный документ - отчет, в котором информация представлена в электронной форме в формате Комплекса. Юридическая значимость электронного документа подтверждается ЭП.
Юридически значимый электронный документооборот (ЮЗЭД) - документооборот на базе Комплекса, в котором участники ЮЗЭД совершают действия по обмену и принятию к исполнению документов в электронной форме, удостоверенных ЭП, и при этом несут ответственность за совершение либо несовершение этих действий.
2. Общие положения
Предоставление документов из Комплекса контролирующим органам происходит в целях осуществления государственного контроля, в том числе государственного финансового контроля в соответствии с действующим законодательством.
Настоящий Порядок определяет перечень и формат предоставляемых из Комплекса электронных документов для контролирующих органов при осуществлении ЮЗЭД.
3. Предоставление документов
3.1. Порядок формирования и содержание запроса.
Контролирующие органы направляют запрос об истребовании документов Участнику в форме официального запроса, подписанного уполномоченным должностным лицом контролирующего органа, или посредством Интегрированной системы электронного документооборота (далее - ИСЭД), подписанный ЭП уполномоченного должностного лица контролирующего органа (при использовании ИСЭД в контролирующем органе).
3.2. Порядок подготовки ответа на запрос.
Подготовка ответа на запрос осуществляется Участниками в рамках своей компетенции.
Непосредственную подготовку ответа осуществляют сотрудники Участника, ответственные за работу с указанными в запросе электронными документами.
После прохождения процедуры согласования в ИСЭД или на бумажном носителе ответ на запрос подписывается должностным лицом Участника и направляется в контролирующие органы. К ответу на запрос в качестве приложения прикрепляются распечатанные документы или электронные документы, выгруженные из Комплекса, с отпечатанными реквизитами ЭП и Сертификатом должностного лица, подписавшего документ ЭП. До выгрузки документов с реквизитами ЭП ответственный сотрудник отдела автоматизации Министерства финансов Пермского края проводит настройку выгрузки ЭП в Комплексе.
4. Выгрузка электронных документов из Комплекса
4.1. Выгрузка электронных документов из Комплекса.
Для того чтобы выгрузить электронный документ из Комплекса, необходимо:
открыть список электронных документов, содержащий искомый документ;
выбрать запрашиваемый электронный документ;
открыть выгружаемый документ на редактирование одним щелчком мыши;
выбрать операцию «Экспорт» и необходимый формат выгрузки (см. рис. 1 - не приводится).
5. Перечень предоставляемых документов
К документам, предоставляемым из Комплекса по запросу контролирующих органов, относятся формы бюджетной отчетности и сводной бухгалтерской отчетности государственных (муниципальных) бюджетных и автономных учреждений.
Приложение 6
УТВЕРЖДЕНА
Приказом
Министерства финансов
Пермского края
от 22.11.2012 № СЭД-39-01-22-219
КАРТА
РИСКОВ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА
1. Термины и определения
Термины и определения, используемые в документе:
Аккредитованный удостоверяющий центр (УЦ) - юридическое лицо, осуществляющее функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (далее - Федеральный закон 63-ФЗ), и получившее аккредитацию.
Аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона 63-ФЗ.
Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов (журнал поэкземплярного учета СКЗИ) - документ, содержащий данные о выданных уполномоченным сотрудникам ключевых документах.
Квалифицированный сертификат ключа проверки электронной подписи (Сертификат) - сертификат ключа проверки электронной подписи, выданный УЦ или доверенным лицом УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.
Ключ электронной подписи (закрытый ключ, ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи.
Ключ проверки электронной подписи (открытый ключ) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.
Ключевой документ - ключевой носитель, содержащий ключ электронной подписи, а при необходимости - контрольную, служебную и технологическую информацию.
Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключа электронной подписи.
Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся ее владельцем.
Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Роль - совокупность прав сотрудников при работе в Комплексе, с использованием которых они подписывают электронные документы электронной подписью.
Комплекс - программный комплекс «СКИФ», разработанный ОАО «Финтех» (далее - разработчик), предназначенный для автоматизации формирования, приема, передачи, обработки и хранения форм отчетности.
Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
Сотрудник - пользователь, имеющий имя и пароль для входа в Комплекс и наделенный полномочиями для работы в Комплексе.
Средства криптографической защиты информации (СКЗИ) - аппаратные и(или) программные средства, обеспечивающие применение электронной подписи (создание, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи) и(или) шифрование при осуществлении электронного документооборота, а также обеспечивающие защиту информации по утвержденным стандартам и сертифицированные в соответствии с действующим законодательством.
Уполномоченный сотрудник - сотрудник, наделенный полномочиями по подписанию электронной подписью электронных документов в соответствии с утвержденным Регламентом, для которого УЦ выпущен сертификат ключа проверки электронной подписи, отмеченный в журнале поэкземплярного учета СКЗИ как получивший ключевой носитель. Уполномоченный сотрудник назначается приказом Участника.
Участник - юридическое лицо, принимающее участие в юридически значимом электронном документообороте.
Усиленная квалифицированная электронная подпись (ЭП) - вид электронной подписи, который соответствует следующим признакам:
электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
электронная подпись позволяет определить лицо, подписавшее электронный документ;
электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
электронная подпись создается с использованием средств электронной подписи;
ключ проверки электронной подписи указан в Сертификате;
для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ.
Цепочка доверия - последовательность взаимосвязанных (доверенных) сертификатов, возникающая при проверке ключа ЭП.
Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию.
Электронный документ - отчет, в котором информация представлена в электронной форме в формате Комплекса. Юридическая значимость электронного документа подтверждается ЭП.
Юридически значимый электронный документооборот (ЮЗЭД) - документооборот на базе Комплекса, в котором участники ЮЗЭД совершают действия по обмену и принятию к исполнению документов в электронной форме, удостоверенных ЭП, и несут ответственность за совершение либо несовершение этих действий.
2. Общие сведения
Настоящий документ предназначен для описания вероятности возникновения рисков и мероприятий по их снижению, а также возможной степени причиненного ущерба.
3. Классификация рисков
Риски, связанные с ведением электронного документооборота в Комплексе, можно разделить по типу: организационные и технические, а также по источнику возникновения: внешние и внутренние. Классификация рисков представлена в таблицах 3 и 4.
4. Вероятность реализации рисков, подверженность
информационных активов воздействию рисков
С целью выделения групп, близких по значимости рисков, и подготовки полученных материалов для дальнейшего (например, количественного) анализа для каждого риска, выявленного в процессе анализа, оцениваются следующие показатели (значения атрибутов):
вероятность реализации риска;
уровень подверженности информационного актива воздействию (существенность ущерба для Министерства финансов Пермского края).
Текстовые описания значений атрибутов приведены в таблицах 1 и 2.
Таблица 1. Значения атрибута «Вероятность реализации риска»
Вероятность
Описание
Высокая
Вероятна реализация риска один или несколько раз в течение
года
Средняя
Риск может быть реализован хотя бы один раз в течение двух-
трех лет
Низкая
Реализация риска в течение трех лет маловероятна
Таблица 2. Значения атрибута «Уровень подверженности
информационного актива воздействию»
Уровень
подверженности
воздействию
Существенность ущерба (конфиденциальность/целостность
информационного актива)
5
Серьезные повреждения или полный выход информационного
актива из строя (например, видимые снаружи и существенно
влияющие на ход производственных процессов, существенно
увеличивающие затраты)
4
Серьезные повреждения, не приводящие к полному выходу
информационного актива из строя (например, не видимые
снаружи, но существенно влияющие на ход производственных
процессов, увеличивающие затраты)
3
Средние повреждения или ущерб (например, влияющие на
внутренние регламенты, увеличивающие затраты)
2
Незначительные повреждения или ущерб
1
Небольшие изменения информационного актива
Таблица 3. Организационные риски
№
Тип риска
(внутренний/
внешний)
Описание
Вероят-
ность
реали-
зации
Сущест-
венность
ущерба
Меры по снижению
1
2
3
4
5
6
1
Внутренний/
внешний
Компрометация ключа
ЭП путем хищения
носителей/копирования
данных
Высокая
4
Организация хранения
ключевых носителей и
документов, журналов
поэкземплярного учета
СКЗИ
2
Внутренний
Нарушение сотрудником
правил использования
СКЗИ
Высокая
3
Ознакомление
сотрудника под
роспись с пакетом
документации по ЮЗЭД
3
Внутренний
Увольнение
сотрудника, имевшего
доступ к ключам ЭП
Высокая
3
Подача заявления в УЦ
на отзыв Сертификата
4
Внутренний
Отказ от выполнения
должностных
обязанностей со
ссылкой на нормы
Федерального закона
63-ФЗ по части защиты
ключа ЭП
Средняя
4
Проведение обучения
персонала с показом,
что работа в
Комплексе при ЮЗЭД
соответствует по
защищенности
локальному рабочему
месту, т.е. риска
компрометации ключа
ЭП нет
5
Внутренний
Несоответствие
Комплекса требованиям
Федеральной службы по
техническому и
экспортному контролю
по части защиты
информации
Низкая
5
Обеспечение
доступности
информации об
аттестате
соответствия для всех
заинтересованных лиц
6
Внутренний
Выгрузка в архивное
хранение произведена
не полностью и(или) с
нарушением
целостности
информации о цепочках
доверия или с
нарушением
целостности
документарных томов.
Утрата документов или
их реквизитов в
процессе выгрузки
Высокая
4
Исполнение регламента
выгрузки документов
на архивное хранение
и хранения документов
в архиве
7
Внутренний
Низкая степень
значимости (важности)
Сертификата как
документа для
уполномоченных
сотрудников
Высокая
4
Выдавать бумажный
оригинал Сертификата
8
Внутренний/
внешний
Несанкционированный
доступ к техническим
средствам Комплекса
(серверам, рабочим
станциям
пользователей и т.д.)
Средняя
5
Организация
пропускного режима в
помещения,
размещающие
технические средства
системы, кабинеты, в
которых расположены
рабочие станции
пользователей
9
Внутренний
Отказ от признания
результатов
экспертизы
электронного
документа одним из
представителей
конфликтующих сторон
Высокая
3
Разработка порядка
разбора конфликтных
ситуаций,
описывающего
действия, находящиеся
за пределами
установления
авторства подписи
10
Внутренний
Разрешение конфликтов
в суде
Средняя
5
Описание досудебного
разбора конфликтов
11
Внутренний
Длительная остановка
производственного
процесса по причине
невозможности
проведения изъятия
(выемки) документов
контролирующими
органами (ситуация
рассматривается как
экстренная для
организации)
Средняя
5
Описать порядок
предоставления
документов по запросу
контролирующих
органов
12
Внутренний
Доступ пользователей
к не принадлежащим им
объектам Комплекса
Высокая
3
Использование системы
разграничения прав
доступа, настройка
ролей пользователей
13
Внутренний
Сопротивление
персонала внедрению и
использованию ЮЗЭД,
неприятие новых
методов работы
Высокая
4
Каждый этап внедрения
сопровождается
письменными
распоряжениями
руководства
Министерства финансов
Пермского края.
Организация обучения
сотрудников
14
Внутренний
Утечка
конфиденциальной
информации
Высокая
5
Назначение
персональной
ответственности
сотрудников
Таблица 4. Технические риски
№
Тип риска
Описание
Вероят-
ность
реали-
зации
Сущест-
венность
ущерба
Меры по снижению
1
Внешний
Перехват информации,
передаваемой по
каналам связи
Средняя
4
Защита протокола
передачи данных между
клиентами и веб-
серверами путем
организации https-
доступа к web-
серверу, SSL-
шифрование трафика
между клиентами и
веб-серверами
2
Внешний
Несанкционированный
доступ к серверам
Комплекса
Средняя
5
Организация VP№-сети;
расположение серверов
в DMZ;
ограничение по портам
доступа к серверам
приложений Комплекса;
использование
аппаратного
брандмауэра
3
Внутренний
Нарушение целостности
данных баз данных
Высокая
5
Резервное копирование
средствами
используемых СУБД
(средств управления
базами данных)
4
Внутренний/
внешний
Утечка ключей ЭП с
рабочих станций
пользователей
Средняя
4
Применение к рабочим
станциям единой
политики безопасности
5
Внешний
Заражение
компьютерными
вирусами
Средняя
4
Организация
антивирусной защиты
6
Внутренний
Нехватка
производственных
мощностей серверов
Комплекса
Низкая
3
Анализ планируемой
нагрузки и
наращивание мощностей
в случае
необходимости
Дополнительные сведения
| Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 05.01.2019 |
| Рубрики правового классификатора: | 080.060.060 Бюджетный процесс, 120.020.000 Управление в сфере информации и информатизации (см. также 010.150.040, 020.010.040, 020.010.050), 080.060.000 Бюджеты субъектов Российской Федерации |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
