Об утверждении документов, применяемых при юридически значимом электронном документообороте в системе «АЦК-Финансы»



МИНИСТЕРСТВО ФИНАНСОВ ПЕРМСКОГО КРАЯ

1

МИНИСТЕРСТВО ФИНАНСОВ ПЕРМСКОГО КРАЯ

ПРИКАЗ

30.07.2012   №  СЭД-39-01-22-126

Об утверждении документов, применяемых при юридически значимом электронном документообороте в системе «АЦК-Финансы»

В редакции Приказов Министерства финансов Пермского края от 11.09.2012 № СЭД-39-01-22-150, от 27.06.2014 № СЭД-39-01-22-140, от 02.07.2015 № СЭД-39-01-22-155

В целях внедрения юридически значимого электронного документооборота при исполнении бюджета Пермского края в "Системе автоматизации финансово-казначейских органов - Автоматизированный Центр Контроля исполнения бюджета" ("АЦК-Финансы") приказываю:

1. Утвердить форму договора об обмене электронными документами между участниками юридически значимого электронного документооборота согласно приложению 1 к Приказу.

2. Утвердить Положение о порядке работы со средствами криптографической защиты информации согласно приложению 2 к Приказу.

3. Утвердить Порядок разбора конфликтных ситуаций согласно приложению 3 к Приказу.

4. Утвердить Порядок предоставления документов из "Системы автоматизации финансово-казначейских органов - Автоматизированный Центр Контроля исполнения бюджета" ("АЦК-Финансы") по запросу контролирующих органов согласно приложению 4 к Приказу.

5. Утвердить карту рисков электронного документооборота согласно приложению 5 к Приказу.

6. Контроль за исполнением приказа возложить на заместителя министра финансов, начальника управления казначейского исполнения бюджета Груздеву И.Л.

Министр финансов

О.В.АНТИПИНА

Приложение 1

к приказу Министерства финансов

Пермского края

от 30.07.2012 № СЭД-39-01-22-126

(Приложение в редакции приказа Министерства финансов Пермского края от 02.07.2015 № СЭД-39-01-22-155)

ДОГОВОР № ____   

об обмене электронными документами между участниками юридически значимого электронного документооборота

г. Пермь

«___» ____________ 20__ г.

_____________________________________________________________________

                                               (полное наименование организации)

именуемое в дальнейшем “Клиент”, в лице________________________________ ____________________________________________________________________, действующего на основании ___________________________________________,
с одной стороны, и Министерство финансов Пермского края, именуемое
в дальнейшем «Организатор», в лице _______________________________________ ____________________________________________________________________, действующего на основании _____________________________________, с другой стороны, в дальнейшем именуемые «Участники», заключили настоящий Договор об обмене электронными документами между участниками юридически значимого электронного документооборота (далее - Договор) о нижеследующем:

Термины и определения

В настоящем Договоре применяются следующие термины и определения:

аккредитованный удостоверяющий центр (далее - УЦ) – юридическое лицо
или индивидуальный предприниматель, осуществляющие функции
по созданию и выдаче сертификатов ключей проверки электронных подписей,
а также иные функции, предусмотренные Федеральным законом
от 06 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (далее – Федеральный закон 63-ФЗ), и получившие аккредитацию. Выбор УЦ при работе с Системой осуществляется Организатором;

аккредитация удостоверяющего центра – признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона 63-ФЗ;

владелец сертификата ключа проверки электронной подписи (далее - владелец сертификата) – лицо, которому в установленном Федеральным законом 63-ФЗ порядке выдан сертификат ключа проверки электронной подписи;

дайджест – строка неограниченной длины, сформированная на основе данных электронного документа посредством определенных алгоритмов
и предназначенная для формирования электронной подписи электронного документа;

журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов (далее - Журнал поэкземплярного учета СКЗИ) – документ, содержащий данные о выданных Уполномоченным сотрудникам ключевых документах;

квалифицированный сертификат ключа проверки электронной подписи (далее - Сертификат) – сертификат ключа проверки электронной подписи, выданный УЦ или доверенным лицом УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи;

ключ электронной подписи (закрытый ключ, ключ ЭП) – уникальная последовательность символов, предназначенная для создания электронной подписи;

ключ проверки электронной подписи (открытый ключ) – уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи;

Система – Система автоматизации финансово-казначейских органов – Автоматизированный Центр Контроля исполнения бюджета  («АЦК - Финансы»), установленная  в Министерстве финансов Пермского края;

клиентская часть Системы – аппаратно-программный комплекс, предназначенный для хранения, обработки и передачи данных
по телекоммуникационным каналам связи с рабочих компьютеров Уполномоченных сотрудников на сервер приложений Системы;

ключевой документ – ключевой носитель, содержащий ключ электронной подписи, а при необходимости – контрольную, служебную и технологическую информацию;

ключевой носитель – физический носитель определенной структуры, предназначенный для размещения на нем ключа электронной подписи;

Организатор – Министерство финансов Пермского края, осуществляющее хранение на своем аппаратном обеспечении базы данных и конфигурации серверной части Системы, настройку Системы на серверах;

правила подписания – настроечный параметр Системы, позволяющий установить права на подписание электронных документов электронной подписью для определенных ролей на определенных статусах;

регламент применения электронной подписи (далее - Регламент) – документ, определяющий порядок применения ЭП, в том числе статусы электронных документов, на которых происходит наложение электронной подписи в электронном документе;

реестр Системы – справочник Системы, в котором хранится перечень Сертификатов Уполномоченных сотрудников Участников;

список отозванных сертификатов – документ, содержащий список серийных номеров Сертификатов, которые в определенный момент времени были отозваны, либо действие которых было приостановлено;

сертификат ключа проверки электронной подписи – электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи;

средства криптографической защиты информации (далее - СКЗИ) –  аппаратные и (или) программные средства, обеспечивающие применение электронной подписи (создание, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи),
и (или) шифрование при осуществлении электронного документооборота, а также обеспечивающие защиту информации по утвержденным стандартам
и сертифицированные в соответствии с действующим законодательством;

средства электронной подписи – шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи, ключа проверки электронной подписи;

статус электронного документа – атрибут электронного документа, идентифицирующий его состояние по определенному признаку;

Уполномоченный сотрудник – сотрудник, имеющий имя и пароль
для входа в Систему и наделенный полномочиями для работы в Системе,
в том числе сотрудник, наделенный полномочиями  по подписанию электронной подписью электронных документов в соответствии с утвержденным регламентом, для которого УЦ выпущен сертификат ключа проверки электронной подписи, отмеченный в Журнале поэкземплярного учета СКЗИ как получивший ключевой носитель. Уполномоченный сотрудник назначается приказом Участника;

Участник – юридическое лицо, принимающее участие в юридически значимом электронном документообороте;

усиленная квалифицированная электронная подпись (далее - ЭП) – вид электронной подписи, которая соответствует следующим признакам:

электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

электронная подпись позволяет определить лицо, подписавшее электронный документ;

электронная подпись позволяет обнаружить факт внесения изменений
в электронный документ после момента его подписания;

электронная подпись создается с использованием средств электронной подписи;

ключ проверки электронной подписи указан в Сертификате;

для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ;

Экспертная комиссия – комиссия, разрешающая конфликтные ситуации, связанные с использованием юридически значимого электронного документооборота;

электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется
для определения лица, подписывающего информацию;

электронный документ – документ, в котором информация представлена
в электронной форме. Юридическая значимость электронного документа подтверждается ЭП;

юридически значимый электронный документооборот (далее - ЮЗЭД) – документооборот на базе Системы, в котором участники ЮЗЭД совершают действия по обмену и принятию к исполнению документов в электронной форме, удостоверенных ЭП, и несут ответственность за совершение либо несовершение этих действий. 

Предмет договора

Настоящий Договор определяет условия и порядок обмена юридически значимыми электронными документами между Участниками на базе Системы,
а также права и обязанности Участников, возникающие при обмене юридически значимыми электронными документами на базе Системы.

Общие положения

3.1. Участники осуществляют обмен юридически значимыми электронными документами на базе Системы по телекоммуникационным каналам связи. ЮЗЭД осуществляется  с применением усиленной квалифицированной электронной  подписи.

3.2. С целью обеспечения авторства, целостности и конфиденциальности электронных документов при информационном взаимодействии Участники используют сертифицированные СКЗИ.

3.3. Используемые при информационном взаимодействии Участников электронные документы с ЭП, сформированной Участниками средствами СКЗИ, имеют равную юридическую силу с документами на бумажном носителе, подписанными соответствующими собственноручными подписями Уполномоченных сотрудников Участников и скрепленными оттисками печатей Участников, независимо от того существуют такие документы на бумажных носителях или нет.

3.4. Участники признают, что используемые при обмене юридически значимыми электронными документами в Системе СКЗИ, реализующие функции  создания ЭП, достаточны для подтверждения следующего:

электронный документ, в том числе с присоединенными к нему файлами, исходит от Участника, его передавшего (подтверждение авторства отправленного электронного документа);

электронный документ, в том числе с присоединенными к нему файлами, 
не претерпел изменений в процессе передачи между Участниками (подтверждение целостности и подлинности электронного документа).

3.5. Организатор оставляет за собой право обновлять версию Системы             
с дальнейшей эксплуатацией ЮЗЭД на обновленной версии без предварительных уведомлений Клиента, если такие изменения не повлекут существенных изменений.

IV. Обязанности Участников

4.1. Организатор обязан:

4.1.1. Обеспечить функционирование необходимого аппаратно-программного комплекса серверной части Системы, а также предоставить доступ к программному обеспечению для установки Клиентом клиентской части Системы, выделить сетевые адреса,  порты, а также обеспечить другой необходимой информацией для предоставления Клиенту возможности обмена юридически значимыми электронными документами между Участниками.

4.1.2. Оповестить по телекоммуникационным каналам связи Клиента
об изменении настроек на серверной части Системы.

4.1.3. Немедленно уведомить  Клиента  любым доступным способом
в случаях выявления:

4.1.3.1. ошибок в Системе при работе с ЭП (подписания ЭП, проверки ЭП);

4.1.3.2. ошибок, возникающих в связи с попытками нарушения информационной безопасности.

4.1.4. Вести актуальный состав Сертификатов Уполномоченных сотрудников Участников на основе списка отозванных сертификатов.

4.1.5. Вывести из реестра Системы Сертификаты Уполномоченных сотрудников Участников в максимально короткие сроки, но не позднее следующего рабочего дня после получения сообщения о факте компрометации ключа ЭП.

4.1.6. В случае несоответствия электронного документа признакам
и требованиям к юридически значимым электронным документам в соответствии с настоящим Договором, а также в случае угрозы несанкционированного доступа к программно-аппаратным комплексам Участников, отказать в обработке электронного документа, уведомив об этом Клиента с указанием причины отказа.

4.1.7. При условии соответствия электронных документов признакам
и требованиям к юридически значимым электронным документам, указанным
в Регламенте (Приложение к настоящему Договору), принять от Клиента электронный документ для дальнейшей обработки и (или) проверки
в соответствии с приказами Организатора.

4.2. Клиент обязан:

4.2.1. Обеспечить функционирование аппаратно-программного комплекса клиентской части Системы, организовать доступ к сетевому адресу и порту выделенному Организатором, в том числе через сеть Интернет, установить программное обеспечение средств криптозащиты версии, указанной Организатором, на компьютерах Уполномоченных сотрудников для обеспечения работоспособности ЮЗЭД (требования к аппаратно-программному комплексу клиентской части указаны в документации к Системе).

4.2.2. Обеспечить всеми необходимыми средствами (сертифицированные СКЗИ, Сертификаты, ключевые носители и т.д.), Уполномоченных сотрудников Клиента для подписания электронных документов ЭП в ЮЗЭД. Перечень необходимых средств устанавливается Организатором.

4.2.3. Выполнять требования УЦ в соответствии с регламентом УЦ
и другими документами, регламентирующими процесс взаимодействия УЦ
и пользователей услуг УЦ.

4.2.4. Назначить сотрудника, ответственного за эксплуатацию СКЗИ
и ведение Журнала поэкземплярного учета СКЗИ, и Уполномоченных сотрудников.

4.2.5.              Передавать Организатору электронные документы, обработанные
в соответствии с Приложением к настоящему Договору и получать
от Организатора электронные сообщения, подтверждающие получение
и обработку электронных документов.

4.2.6. В целях обеспечения безопасности обработки и передачи юридически значимых электронных документов:

4.2.6.1. соблюдать требования, изложенные в разделе 5 настоящего Договора, и требования Положения о порядке работы со средствами криптографической защиты информации, утвержденного приказом Организатора;

4.2.6.2. соблюдать требования эксплуатационной документации
на используемые СКЗИ;

4.2.6.3. соблюдать требования законодательства Российской Федерации
в области использования электронных подписей;

4.2.6.4. не допускать появления в аппаратно-программном комплексе Системы компьютерных вирусов;

4.2.6.5. прекращать использование скомпрометированного ключа ЭП
и немедленно информировать Организатора и УЦ о факте компрометации ключа ЭП;

4.2.6.6. хранить ключевой документ в месте, исключающем доступ неуполномоченных лиц и/или возможность его повреждения.

4.2.7. В случае невозможности исполнения обязательств по настоящему Договору немедленно известить Организатора о приостановлении взаимных обязательств.

4.2.8. При возникновении споров, связанных с принятием или непринятием
и (или) с исполнением или неисполнением электронных документов, подписанных ЭП, входящих в перечень юридически значимых электронных документов согласно Приложению к настоящему Договору, руководствоваться Порядком разбора конфликтных ситуаций, утвержденным приказом Организатора. Способ разрешения конфликтных ситуаций устанавливает Организатор.

4.2.9. По первому требованию предоставить Организатору на бумажном носителе копии выгруженных из Системы и заверенных подписями уполномоченных лиц и печатью Участника электронных документов, входящих
в перечень юридически значимых электронных документов согласно Приложению.

4.2.10. Заменить Сертификат в порядке, предусмотренном для его оформления, согласно регламенту УЦ  в следующих случаях:

4.2.10.1. смены Уполномоченных сотрудников Клиента;

4.2.10.2. изменения данных, идентифицирующих Уполномоченного сотрудника Клиента;

4.2.10.3. смены ключей ЭП;

4.2.10.4. компрометации ключей ЭП.

4.2.11. Немедленно уведомить Организатора любым доступным способом
о случаях:

4.2.11.1. возникновения угрозы использования (копирования) иными лицами ключа ЭП, принадлежащего Уполномоченному сотруднику Клиента;

4.2.11.2. несанкционированного доступа к Системе;

4.2.11.3. утраты ключевого документа Уполномоченного сотрудника Клиента;

4.2.11.4. изменения состава Уполномоченных сотрудников Клиента, обладающих правом использования ключей ЭП;

4.2.11.5. ошибок в работе Системы, возникающих при работе с ЭП (подписания электронных документов ЭП, проверка ЭП и др.);

4.2.11.6. ошибок, возникающих в связи с попытками нарушения информационной безопасности.

4.2.12. В случае несоответствия электронного документа признакам
и требованиям  к юридически значимым электронным документам в соответствии с настоящим Договором, а также в случае угрозы несанкционированного доступа к программно-аппаратному комплексу Клиента, уведомить Организатора
по телекоммуникационным каналам связи с указанием обоснованной причины для отказа Организатором электронного документа.

4.2.13. Принять необходимые меры для предотвращения полного
или частичного разглашения информации, указанной в Договоре, знаний и опыта, полученных в результате обмена юридически значимыми электронными документами между Участниками на базе Системы или ознакомления
с ней третьих лиц, не поименованных в настоящем Договоре. 

V. Безопасность эксплуатации  средств криптографической защиты

информации в Системе

5.1. СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету.

5.2. Поэкземплярный учет СКЗИ, эксплуатационной и технической документации к ним, ключевых документов ведет ответственный за эксплуатацию СКЗИ сотрудник Клиента в Журнале поэкземплярного учета СКЗИ. Ответственный за эксплуатацию СКЗИ и форма поэкземплярного учета СКЗИ утверждаются приказом Клиента. При этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их эксплуатация.

5.3. Единицей поэкземплярного учета ключей ЭП считается ключевой носитель многократного использования. В случае, когда один и тот же ключевой носитель многократно используют для записи ключей ЭП, каждый раз
он подлежит отдельной регистрации.

5.4. Дистрибутивы СКЗИ, эксплуатационная и техническая документация
к СКЗИ хранятся у ответственного за эксплуатацию СКЗИ сотрудника Клиента. Ключи ЭП хранятся у Уполномоченных сотрудников. Хранение осуществляется
в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а так же их непреднамеренное уничтожение.

5.5. Ключевые документы с неработоспособными ключами ЭП ответственный за эксплуатацию СКЗИ сотрудник Клиента принимает
у Уполномоченного сотрудника под роспись в Журнале поэкземплярного учета СКЗИ. Неработоспособные ключевые носители подлежат уничтожению.

5.6. В Системе используется СКЗИ с открытым распределением ключей.

5.7. Подписание электронного документа ЭП осуществляется
с использованием только того ключа ЭП, для которого выдан Сертификат Уполномоченного сотрудника.

5.8. Сотрудник Клиента несет ответственность за отсутствие
на компьютере, на котором осуществляется эксплуатация ЮЗЭД, посторонних программ (вирусов и т.д.), способствующих нарушению функционирования ЮЗЭД.

5.9. При обнаружении на компьютере, на котором осуществляется эксплуатация ЮЗЭД, посторонних программ (вирусов и т.д.), эксплуатация ЮЗЭД на этом компьютере должна быть прекращена для дальнейшей организации мероприятий по анализу и ликвидации посторонних программ
и возможных последствий.

5.10. Действия в случае компрометации ключей ЭП.

5.10.1. К событиям, связанным с компрометацией ключей ЭП, относится следующее:

утрата ключевых носителей, содержащих ключи ЭП;

потеря ключевых носителей, содержащих ключи ЭП, с их последующим обнаружением;

хищение ключевых носителей, содержащих ключи ЭП;

разглашение содержимого ключевых носителей, содержащих ключи ЭП;

несанкционированное копирование содержимого ключевых носителей, содержащих ключи ЭП;

нарушение правил хранения и уничтожения (после окончания срока действия ключевых носителей, содержащих ключи ЭП);

возникновение подозрений об утечке содержимого ключевых носителей, содержащих ключи ЭП, или ее искажение в Системе;

нарушение печати на сейфе или замка сейфа, в котором хранятся ключевые носители, содержащие ключи ЭП;

невозможность достоверного установления того, что произошло
с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел
из строя и не опровергнута возможность того, что данный факт произошел
в результате несанкционированных действий злоумышленников);

любые другие виды разглашения содержимого ключевых носителей, содержащих ключи ЭП, в результате которых ключи могут стать доступными посторонним лицам и (или) процессам.

5.10.2. Уполномоченный сотрудник Клиента самостоятельно определяет факт компрометации ключа ЭП и оценивает значение этого события. Мероприятия по розыску и локализации последствий компрометации ключа ЭП организует и осуществляет Клиент с участием владельца скомпрометированного ключа ЭП.

5.10.3. В случае установления факта компрометации ключа ЭП Уполномоченный сотрудник Клиента обязан незамедлительно прекратить эксплуатацию ключа ЭП в Системе и уведомить Организатора, а так же УЦ
по телекоммуникационным каналам связи.

В течение 30 (тридцати) минут после поступления сообщения
о компрометации ключа ЭП, Организатор обеспечивает прекращение работы Уполномоченного сотрудника Клиента в Системе и использование соответствующего Сертификата в ЮЗЭД на базе Системы.

Возобновление работы Уполномоченного сотрудника Клиента в Системе происходит только после замены скомпрометированного ключа.

Для получения новых ключей ЭП Уполномоченный сотрудник Клиента должен руководствоваться порядком получения ключей ЭП, установленным УЦ.

5.11. Уполномоченному сотруднику Клиента запрещается:

осуществлять несанкционированное копирование ключей ЭП;

разглашать содержимое ключевого документа или передавать сами ключевые документы лицам, к ним не допущенным, оставлять без присмотра ключевой документ, выводить содержимое ключевого документа на дисплей
или принтер;

вставлять ключевые документы в устройства считывания в режимах,
не предусмотренных штатным режимом работы СКЗИ, а также в устройства считывания других аппаратных средств;

записывать на ключевой носитель постороннюю информацию, использовать ключевой носитель на неисправных устройствах считывания информации;

вносить какие-либо изменения в программное обеспечение СКЗИ.

Предоставление документов при вводе в действие и дальнейшей работе в юридически значимом электронном документообороте на базе Системы

6.1.              Предоставление документов при вводе в действие ЮЗЭД на базе Системы.

6.1.1.              Клиент, используя инструкции Организатора, производит
при необходимости установку и настройку клиентской части Системы, организует доступ через сеть Интернет к сетевому адресу и порту, выделенные Организатором. При необходимости Клиент приобретает и устанавливает программное обеспечение, указанное Организатором, на компьютерах Уполномоченных сотрудников.

6.1.2.              Уполномоченные сотрудники Клиента получают от УЦ средства ЭП: Сертификаты, ключи ЭП. Порядок получения Сертификатов, ключей ЭП устанавливает УЦ.

6.1.3.              При заключении настоящего Договора Клиент предоставляет Организатору:

копию приказа, заверенную Клиентом, о назначении Уполномоченных сотрудников с указанием ролей в соответствии с Приложением к настоящему Договору;

Сертификат в электронном виде.

6.2.              Предоставление документов при дальнейшей работе в ЮЗЭД на базе Системы.

6.2.1.              В случае изменения ФИО и/или должности Уполномоченного сотрудника Клиента, списочного состава Уполномоченных сотрудников Клиента, наименования Клиента, Клиент обязан в течение пяти рабочих дней,
в зависимости от ситуации, представить:

полученные от УЦ Сертификаты Уполномоченных сотрудников Клиента
в электронном виде;

копию приказа, заверенную Клиентом, о назначении Уполномоченных сотрудников, с указанием ролей в соответствии с Приложением к настоящему Договору;

копию заявлений на аннулирование (отзыв) Сертификата по форме, согласно регламенту УЦ.

6.2.2.              В случае планового перевыпуска Сертификатов без изменения ФИО или должности Уполномоченного сотрудника Клиента, Клиент обязан в течение трех рабочих дней представить полученные от УЦ Сертификаты Уполномоченных сотрудников Клиента в электронном виде на электронную почту supportweb@fin.permregion.ru. В случае изменения адреса электронной почты Организатор в течение двух рабочих дней сообщает Клиенту новый адрес электронной почты для предоставления Сертификатов. Информация
о смене адреса электронной почты размещается на сайте Организатора http://mfin.permkrai.ru/ в разделе «Методические рекомендации» -
«Веб-интерфейс».

6.3.              Организатор после предоставления Клиентом документов, указанных в пунктах 6.1.4, 6.2.1 настоящего Договора, и Сертификатов Уполномоченных сотрудников, указанных в пункте 6.2.2 настоящего Договора, в течение трех рабочих дней вводит в действие Сертификаты Уполномоченных сотрудников Клиента (вносит в реестр Системы).

6.4.              Клиент (сотрудник Клиента по доверенности) после предоставления документов, указанных в пунктах 6.1.4 и 6.2.1 настоящего Договора,
при необходимости получает именные конверты с именем и паролем
для Уполномоченных сотрудников Клиента. Вскрытие именного конверта осуществляется Уполномоченным сотрудником, фамилия которого указана
на конверте.

VII. Ответственность Участников

7.1. Участники несут ответственность за действия своих Уполномоченных сотрудников при осуществлении обмена юридически значимыми электронными документами в рамках настоящего Договора.

7.2. За неисполнение или ненадлежащее исполнение Участниками своих обязательств по настоящему Договору Участники несут ответственность
в соответствии с законодательством Российской Федерации.

7.3. Участник не отвечает за неисполнение или ненадлежащее выполнение своих обязательств по настоящему Договору, если это было вызвано действиями (бездействием) другого Участника.

7.4. При использовании телекоммуникационных каналов связи и передачи данных Участники не несут ответственности за возможные временные задержки при доставке юридически значимых электронных документов, произошедшие
не по их вине.

VIII. Разрешение конфликтных ситуаций

8.1. Все споры и разногласия, которые могут возникнуть в связи
с применением, нарушением, толкованием настоящего Договора, признанием недействительным настоящего Договора или его части, Участники будут стремиться разрешить, используя переговоры и иные механизмы урегулирования споров и разногласий.

8.2. В случаях, когда конфликтная ситуация не урегулирована в результате переговоров и работы Экспертной комиссии, созданной в соответствии
с Порядком разбора конфликтных ситуаций, утвержденным приказом Организатора, Участники обращаются в Арбитражный суд Пермского края.

IX. Форс-мажорные обстоятельства

9.1. Участник не несет ответственности в случае невыполнения, несвоевременного или ненадлежащего выполнения какого-либо обязательства
по настоящему Договору, если указанное невыполнение, несвоевременное
или ненадлежащее выполнение обусловлены исключительно наступлением
и/или действием следующих обстоятельств (далее - форс-мажорные обстоятельства): обстоятельств непреодолимой силы; сбоев, неисправностей
и отказов оборудования; сбоев и ошибок программного обеспечения; сбоев, неисправностей и отказов систем связи, энергоснабжения, кондиционирования
и других систем жизнеобеспечения, которые Участник не мог ни предвидеть,
ни предотвратить.

9.2. Участник, надлежащее исполнение обязательств которого оказалось невозможным в силу влияния форс-мажорных обстоятельств, в течение
3 (трех) рабочих часов после их наступления  информирует другого Участника
о наступлении этих обстоятельств и об их последствиях любым доступным способом и принимает все возможные меры с целью максимально ограничить отрицательные последствия, вызванные указанными форс-мажорными обстоятельствами.

9.3. Неизвещение или несвоевременное извещение другого Участника Участником, надлежащее исполнение обязательств которого оказалось невозможным в силу влияния форс-мажорных обстоятельств, о наступлении этих обстоятельств влечет за собой утрату права ссылаться на эти обстоятельства.

9.4. Наступление форс-мажорных обстоятельств может вызвать увеличение срока исполнения обязательств по настоящему Договору на период их действия, если Участники не договорились об ином.

X. Порядок внесения изменений в договор

10.1. В случае принятия нормативного акта уполномоченным государственным органом по вопросам, регулируемым настоящим Договором, соответствующие положения Договора подлежат изменению по инициативе одного из Участников.

10.2. По взаимному согласию Участников в текст Договора могут вноситься изменения и дополнения.

10.3. Все изменения и дополнения к настоящему Договору действительны
в том случае, если они оформлены в письменном виде и подписаны уполномоченными представителями Участников, за исключением изменений внесенных Организатором в Приложение к настоящему Договору.

10.4. Организатор вправе в одностороннем порядке внести изменения
в Приложение к настоящему Договору, о чем уведомляет Клиента в течение пяти рабочих дней.

XI. Срок действия Договора

11.1. Настоящий Договор вступает в силу с момента его подписания Участниками. Конечным сроком Договор не ограничивается.

11.2. Дата начала обмена юридически значимыми электронными документами определяется датой третьего рабочего дня с даты представления Клиентом документов, указанных в пункте 6.1.4. настоящего Договора. 

11.3. Настоящий Договор может быть расторгнут:

11.3.1. по письменному соглашению Участников;

11.3.2. в случае исключения Клиента из Сводного реестра главных распорядителей, распорядителей и получателей средств краевого бюджета
или Реестра государственных бюджетных и автономных учреждений Пермского края. При этом Договор считается расторгнутым с момента исключения Клиента из Сводного реестра главных распорядителей, распорядителей и получателей средств краевого бюджета или Реестра государственных бюджетных
и автономных учреждений Пермского края.

11.4. В случае изменения наименования, адреса или банковских реквизитов, Участник уведомляет другого Участника в течение пяти рабочих дней со дня внесения соответствующих изменений.

11.5. Расторжение настоящего Договора не влияет на действительность
юридически значимых электронных документов, подписанных ЭП Уполномоченных сотрудников Участников до даты расторжения настоящего Договора.

XII. Заключительные положения

12.1. Настоящий Договор составлен в двух экземплярах, имеющих одинаковую юридическую силу, по одному экземпляру для  каждого Участника.

12.2.              Приложение к настоящему Договору является его неотъемлемой частью.             

XIII. Адреса, банковские реквизиты и подписи Участников

КЛИЕНТ

ОРГАНИЗАТОР

_____________________________________

_____________________________________

_____________________________________

Министерство финансов Пермского края

__________________/ _______________

М.П.

614006, г. Пермь, ул. Ленина, д. 51,

ИНН 5902290917, КПП 590201001

ОКВЭД 75.11.21, ОКПО 02292395

ОГРН 1025900070293,

ОКТМО 57701000001

УФК по Пермскому краю (Минфин Пермского края (Министерство финансов Пермского края, л/c 028400252))

р/с 40201810100000000005

Банк: Отделение Пермь г. Пермь БИК: 045773001

________________/ ____________/

М.П.

1

Приложение

к Договору №__  от  «___» ____________ 20__ г.

(Применяется при заключении договора с учреждением)     

Регламент применения электронной подписи

Общие сведения

Настоящий регламент определяет порядок применения ЭП, в том числе статусы электронных документов, на которых происходит наложение электронной подписи в электронном документе.

Средства применения электронной подписи

При работе с ЮЗЭД принимаются и признаются Сертификаты, изданные УЦ.

Сертификат признается изданным УЦ, если подтверждена подлинность ЭП уполномоченного лица УЦ, которым подписан Сертификат Уполномоченного сотрудника Участника.

Идентификационные данные, занесенные в Сертификат, однозначно идентифицируют владельца сертификата и соответствуют идентификационным данным владельца сертификата, зарегистрированным УЦ.

Для определения статуса Сертификата используется список отозванных сертификатов, издаваемый и публикуемый УЦ в порядке и с периодичностью, определяемой УЦ.

Местом публикации списков отозванных сертификатов принимается адрес информационного ресурса, определенный в регламенте или других нормативно-правовых актах УЦ.

В качестве средств ЭП, используются СКЗИ, сертифицированные
в соответствии с действующим законодательством, а также совместимые
с Системой (согласно требованиям Системы) и обеспечивающие:

         реализацию функций создания ЭП в электронном документе
с использованием ключа;

подтверждение с использованием Сертификата подлинности ЭП
в электронном документе;

создание ключей и Сертификатов ЭП.

ЭП хранится отдельно от электронных документов. Формат ЭП определяется рекомендациями RFC 3852 «Cryptographic Message Syntax (CMS)»,
с учетом использования криптографических алгоритмов ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94 в соответствии с RFC 4490 «Using the GOST 28147-89, GOST R 34.11-94, GOST R 34.10-94, and GOST R 34.10-2001 Algorithms with Cryptographic Message Syntax (CMS)».

Перечень электронных документов, включенных в юридически значимый электронный документооборот

Перечень электронных документов, которые будут считаться юридически значимыми при условии подписания их ЭП, (в случае выполнения всех условий равнозначности ЭП собственноручной в соответствии с Федеральным законом
63-ФЗ) и с учетом иных требований настоящего Договора:

электронный документ «Договор»;

электронный документ «Заявка на оплату расходов»;

электронный документ «Заявка на списание специальных средств             
с лицевого счета»;

электронный документ «Заявка БУ/АУ на выплату средств»; 

электронный документ «Сведения об операциях с целевыми субсидиями».

Требования к дайджестам определяет Организатор. Клиент имеет право быть ознакомленным с составом дайджестов юридически значимых электронных документов.

Контроль правил подписания юридически значимых электронных документов

Контроль правил подписания юридически значимых электронных документов осуществляется организационными методами. Также допускается контроль техническими средствами Системы (использование правил проверки
в Системе).

Способы контроля правил подписания определяются Организатором.

Перечень ролей, используемых в Системе

№

Название роли

Право подписи

1

Руководитель клиента

Первая подпись в соответствии с Карточкой образцов подписей и оттиска печати Клиента

2

Главный бухгалтер клиента

Вторая подпись в соответствии с Карточкой образцов подписей и оттиска печати Клиента

3

Исполнитель клиента

Без права подписи

Правила подписания электронных документов

Руководитель Клиента назначает распорядительным документом Уполномоченных сотрудников, имеющих право на работу в Системе.

Право электронной подписи принадлежит Уполномоченным сотрудникам Клиента, подпись которых включена в Карточку образцов подписей и оттиска печати,  представленную Организатору в соответствии с приказами Организатора.

Правила подписания электронных документов представлены
в Таблицах 1 и 2.

Таблица 1

Правила подписания электронных документов

государственными бюджетными, автономными учреждениями

№ п/п

Документы

Статус подписания

Название роли при подписании электронных документов

Действие после подписания

1

Заявка на оплату расходов

Отложен

Главный бухгалтер клиента

Завершить подготовку

Подготовлен

Руководитель клиента

В обработку

2

Заявка БУ/АУ на выплату средств

Черновик

Главный бухгалтер клиента

Завершить подготовку

Подготовлен

Руководитель клиента

Отправить в обработку

3

Сведения об операциях с целевыми субсидиями

Черновик

Нет подписания

Завершить подготовку

Таблица 2

Правила подписания электронных документов

государственными казенными учреждениями

№ п/п

Документы

Статус подписания

Название роли при подписании электронных документов

Действие после подписания

1

Договор

Отложен

Главный бухгалтер клиента, руководитель клиента

Завершить подготовку

2

Заявка на оплату расходов

Отложен

Главный бухгалтер клиента

Завершить подготовку

Подготовлен

Руководитель клиента

В обработку

3

Заявка на списание специальных средств с лицевого счета

Отложен

Главный бухгалтер клиента, руководитель клиента

Зарегистрировать

Уполномоченные сотрудники Участников обязуются подписывать юридически значимые электронные документы своей электронной подписью строго в соответствии с правилами подписания электронных документов, в ином случае электронные документы не считаются юридически значимыми.

1

Приложение

к Договору №__  от  «___» ____________ 20__ г.

(Применяется при заключении договора с ГРБС)

Регламент применения электронной подписи

Общие сведения

Настоящий регламент определяет порядок применения ЭП, в том числе статусы электронных документов, на которых происходит наложение электронной подписи в электронном документе.

Средства применения электронной подписи

При работе с ЮЗЭД принимаются и признаются Сертификаты, изданные УЦ.

Сертификат признается изданным УЦ, если подтверждена подлинность ЭП уполномоченного лица УЦ, которым подписан Сертификат Уполномоченного сотрудника Участника.

Идентификационные данные, занесенные в Сертификат, однозначно идентифицируют владельца сертификата и соответствуют идентификационным данным владельца сертификата, зарегистрированным УЦ.

Для определения статуса Сертификата используется список отозванных сертификатов, издаваемый и публикуемый УЦ в порядке и с периодичностью, определяемой УЦ.

Местом публикации списков отозванных сертификатов принимается адрес информационного ресурса, определенный в регламенте или других нормативно-правовых актах УЦ.

В качестве средств ЭП, используются СКЗИ, сертифицированные
в соответствии с действующим законодательством, а также совместимые
с Системой (согласно требованиям Системы) и обеспечивающие:

реализацию функций создания ЭП в электронном документе
с использованием ключа;

подтверждение с использованием Сертификата подлинности ЭП
в электронном документе;

создание ключей и Сертификатов ЭП.

ЭП хранится отдельно от электронных документов. Формат ЭП определяется рекомендациями RFC 3852 «Cryptographic Message Syntax (CMS)», с учетом использования криптографических алгоритмов ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94 в соответствии с RFC 4490 «Using the GOST 28147-89, GOST R 34.11-94, GOST R 34.10-94, and GOST R 34.10-2001 Algorithms with Cryptographic Message Syntax (CMS)».

III. Перечень электронных документов, включенных в юридически
значимый электронный документооборот

Перечень электронных документов, которые будут считаться юридически значимыми при условии подписания их  ЭП (в случае выполнения всех условий равнозначности  ЭП собственноручной в соответствии с Федеральным законом 63-ФЗ) и с учетом иных требований настоящего Договора:

электронный документ «Договор»;

электронный документ «Заявка на оплату расходов»;

        электронный документ «Заявка на списание специальных средств с лицевого счета»;

электронный документ «Уведомление о бюджетных назначениях
по доходам»;

       электронный документ «Уведомление об изменении бюджетных назначений по доходам»;

электронный документ «Кассовый план по доходам»;

электронный документ «Изменение кассового плана по доходам»;

        электронный документ «Уведомление о бюджетных назначениях
по источникам»;

       электронный документ «Уведомление об изменении бюджетных назначений по источникам»;

электронный документ «Кассовый план по источникам»;

электронный документ «Изменение кассового плана по источникам»;

        электронный документ «Уведомление о бюджетных назначениях» тип Смета;

электронный документ «Уведомление об изменении бюджетных назначений»   тип Смета;

электронный документ «Уведомление об изменении бюджетных назначений»   тип Роспись (в случае обработки ГРБС);

электронный документ «Кассовый план по расходам» тип Смета;

        электронный документ «Изменение кассового плана по расходам» тип Смета;

электронный документ «Изменение кассового плана по расходам» тип Роспись (в случае обработки ГРБС);

электронный документ «Заявка на финансирование»;

электронный документ «Распорядительная заявка»;

электронный документ «Расходное расписание»;

электронный документ «Справка по расходам»  тип операции «Месячный отчет»;

электронный документ «Сведения об операциях с целевыми субсидиями».

Требования к дайджестам определяет Организатор. Участник имеет право быть ознакомленным с составом дайджестов юридически значимых электронных документов.

IV. Контроль правил подписания юридически значимых электронных документов

Контроль правил подписания юридически значимых электронных документов  осуществляется организационными методами. Также допускается контроль техническими средствами Системы (использование правил проверки
в Системе). Способы контроля правил подписания определяются Организатором.

Перечень ролей, используемых в Системе

1

Руководитель клиента

2

Руководитель ГРБС

3

Главный бухгалтер клиента

4

Руководитель структурного подразделения ГРБС

5

Исполнитель клиента

6

Исполнитель ГРБС

VI. Правила подписания электронных документов

Руководитель Клиента назначает распорядительным документом Уполномоченных сотрудников, имеющих право на работу в Системе.

Право электронной подписи принадлежит Уполномоченным сотрудникам, подпись которых включена в Карточку образцов подписей и оттиска печати,  представленную Организатору в соответствии с приказами Организатора,
при подписании следующих документов:

электронный документ «Договор»;

электронный документ «Заявка на оплату расходов»;

электронный документ «Заявка на списание специальных средств с лицевого счета»;

электронный документ «Заявка на финансирование»;

электронный документ «Расходное расписание».

Правила подписания электронных документов представлены в Таблице.

Таблица

Правила подписания электронных документов Участником, являющимся  главным распорядителем (распорядителем) средств краевого бюджета (далее – ГРБС)

№ п/п

Документы

Статус подписания

Уполномоченный сотрудник ГРБС

Название роли при подписании электронных документов

Действие после подписания

Количество

ЭП

1

Договор

Отложен

Главный бухгалтер (заместитель), руководитель (заместитель) ГРБС

Главный бухгалтер клиента,

Руководитель клиента

Завершить подготовку

2

2

Заявка на оплату расходов

Отложен

Главный бухгалтер (заместитель) ГРБС

Главный бухгалтер клиента

Завершить подготовку

1

Подготовлен

Руководитель (заместитель) ГРБС

Руководитель клиента

В обработку

1

3

Заявка на списание специальных средств с лицевого счета

Отложен

Главный бухгалтер (заместитель), руководитель (заместитель) ГРБС

Главный бухгалтер клиента,

Руководитель клиента

Зарегистрировать

2

4

Уведомление о бюджетных назначениях по доходам

Отложен

Руководитель (заместитель) структурного подразделения ГРБС (начальник отдела или управления, главный бухгалтер)

Руководитель структурного подразделения ГРБС

Обработать

1

5

Уведомление об изменении бюджетных назначений по доходам

Отложен

Руководитель (заместитель) структурного подразделения ГРБС (начальник отдела или управления, главный бухгалтер)

Руководитель структурного подразделения ГРБС

Обработать

1

6

Кассовый план по доходам

Отложен

Руководитель (заместитель) структурного подразделения ГРБС (начальник отдела или управления, главный бухгалтер)

Руководитель структурного подразделения ГРБС

Обработать

1

7

Изменение кассового плана по доходам

Отложен

Руководитель (заместитель) структурного подразделения ГРБС (начальник отдела или управления, главный бухгалтер)

Руководитель структурного подразделения ГРБС

Обработать

1

8

Уведомление о бюджетных назначениях по источникам

Отложен

Руководитель (заместитель) структурного подразделения ГРБС (начальник отдела или управления, главный бухгалтер), руководитель (заместитель) ГРБС

Руководитель структурного подразделения ГРБС,

Руководитель ГРБС

Обработать

2

9

Уведомление об изменении бюджетных назначений по источникам

Отложен

Руководитель (заместитель) структурного подразделения ГРБС (начальник отдела или управления, главный бухгалтер), руководитель (заместитель) ГРБС

Руководитель структурного подразделения ГРБС,

Руководитель ГРБС

Обработать

2

10

Кассовый план по источникам

Отложен

Руководитель (заместитель) структурного подразделения ГРБС (начальник отдела или управления, главный бухгалтер), руководитель (заместитель) ГРБС

Руководитель структурного подразделения ГРБС,

Руководитель ГРБС

Обработать

2

11

Изменение кассового плана по источникам

Отложен

Руководитель (заместитель) структурного подразделения ГРБС (начальник отдела или управления, главный бухгалтер), руководитель (заместитель) ГРБС

Руководитель структурного подразделения ГРБС,

Руководитель ГРБС

Обработать

2

12

Уведомление о бюджетных назначениях тип Смета

Отложен

нет

Обработать

Новый

Исполнитель ГРБС

Исполнитель ГРБС

На согласование

1

Согласование

Руководитель (заместитель) структурного подразделения ГРБС (начальник отдела или управления, главный бухгалтер)

Руководитель структурного подразделения ГРБС

Отправить на подпись

1

Ожидание подписи

Руководитель (заместитель) ГРБС

Руководитель ГРБС

Утвердить подпись

1

Подписан

нет

Направить на утверждение ГРБС (выполняет исполнитель ГРБС)

13

Уведомление об изменении бюджетных назначений тип Смета

Отложен

нет

Обработать

Новый

Исполнитель ГРБС

Исполнитель ГРБС

На согласование

1

Согласование

Руководитель (заместитель) структурного подразделения ГРБС (начальник отдела или управления, главный бухгалтер)

Руководитель структурного подразделения ГРБС

Отправить на подпись

1

Ожидание подписи

Руководитель (заместитель) ГРБС

Руководитель ГРБС

Утвердить подпись

1

Подписан

нет

Направить на утверждение ГРБС (выполняет исполнитель ГРБС)

14

Уведомление об изменении бюджетных назначений тип Роспись (в случае обработки ГРБС)

На утверждении ГРБС

тип смета

нет

Формирование сводного документа

Отложен

нет

Обработать

– 1

Новый

нет

Исполнить

– 1

15

Кассовый план по расходам тип Смета

Отложен

нет

Обработать   (выполняет исполнитель ГРБС)

Новый

Исполнитель

ГРБС

Исполнитель

ГРБС

На согласование

1

Согласование

Руководитель (заместитель) структурного подразделения ГРБС (начальник отдела или управления, главный бухгалтер)

Руководитель структурного подразделения ГРБС

Отправить на подпись

1

Ожидание подписи

Руководитель (заместитель)

ГРБС

Руководитель ГРБС

Утвердить подпись

1

Подписан

нет

Направить на утверждение ГРБС (выполняет исполнитель ГРБС)

– 18

16

Изменение кассового плана по расходам тип Смета

Отложен

нет

Обработать  (выполняет исполнитель ГРБС)

Новый

Исполнитель

ГРБС

Исполнитель

ГРБС

На согласование

1

Согласование

Руководитель (заместитель) структурного подразделения ГРБС (начальник отдела или управления, главный бухгалтер)

Руководитель структурного подразделения ГРБС

Отправить на подпись

1

Ожидание подписи

Руководитель

(заместитель)

ГРБС

Руководитель

ГРБС

Утвердить подпись

1

Подписан

нет

Направить на утверждение ГРБС (выполняет исполнитель ГРБС)

17

Изменение кассового плана по расходам тип Роспись (в случае обработки ГРБС)

На утверждение ГРБС

нет

Формирование сводного документа (выполняет исполнитель ГРБС)

Отложен

нет

Обработать

Новый

нет

Завершить обработку

18

Заявка на финансирование

Подписывается Уполномоченным сотрудником при принятии решения ГРБС

19

Распорядительная заявка

Подписывается Уполномоченным сотрудником при принятии решения ГРБС

20

Расходное расписание

Новый

Главный бухгалтер (заместитель), руководитель (заместитель) ГРБС

Главный бухгалтер клиента,

Руководитель клиента

Направить на подпись

2

21

Справка по расходам тип операции Месячный отчет

Отложен

Главный бухгалтер (заместитель), руководитель (заместитель) ГРБС (при формировании кассового расхода по ЛС УФК)

Главный бухгалтер клиента,

Руководитель клиента

На согласование

2

Черновик

Нет подписания

Завершить подготовку

22

Сведения об операциях с целевыми субсидиями

Подготовлен

Руководитель (заместитель) структурного подразделения ГРБС (начальник отдела или управления, главный бухгалтер)

Руководитель структурного подразделения ГРБС

Отправить на утверждение

1

На утверждении

Руководитель (заместитель) ГРБС

Руководитель

ГРБС

Утвердить

1

             

Уполномоченные сотрудники Участников обязуются подписывать юридически значимые электронные документы своей электронной подписью строго в соответствии с правилами подписания электронных документов, в ином случае электронные документы не считаются юридически значимыми.

Приложение 2

к Приказу

Министерства финансов

Пермского края

от 30.07.2012 N СЭД-39-01-22-126

ПОЛОЖЕНИЕ

О ПОРЯДКЕ РАБОТЫ СО СРЕДСТВАМИ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ

ИНФОРМАЦИИ

1. Термины и определения

Аккредитованный удостоверяющий центр (УЦ) - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон 63-ФЗ), и получившие аккредитацию.

Аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона 63-ФЗ.

Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов (журнал поэкземплярного учета СКЗИ) - документ, содержащий данные о выданных уполномоченным сотрудникам ключевых документах.

Квалифицированный сертификат ключа проверки электронной подписи (Сертификат) - сертификат ключа проверки электронной подписи, выданный УЦ или доверенным лицом УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.

Компрометация криптоключа - утрата доверия к тому, что используемые ключи обеспечивают безопасность информации.

Ключ электронной подписи (криптоключ, закрытый ключ, ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи.

Ключ проверки электронной подписи (открытый ключ) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.

Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.

Ключевой документ - ключевой носитель, содержащий ключ электронной подписи, а при необходимости - контрольную, служебную и технологическую информацию.

Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключа электронной подписи.

Пользователь СКЗИ (пользователь) - физическое лицо Участника, непосредственно допущенное к работе со средствами криптографической защиты информации.

Система - Система автоматизации финансово-казначейских органов - Автоматизированный Центр Контроля исполнения бюджета ("АЦК-Финансы"), установленная в Министерстве финансов Пермского края.

Средства криптографической защиты информации (СКЗИ) - аппаратные и(или) программные средства, обеспечивающие применение электронной подписи (создание, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи) и(или) шифрование при осуществлении электронного документооборота, а также обеспечивающие защиту информации по утвержденным стандартам и сертифицированные в соответствии с действующим законодательством.

Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Участник - юридическое лицо, принимающее участие в юридически значимом электронном документообороте.

Усиленная квалифицированная электронная подпись (ЭП) - вид электронной подписи, который соответствует следующим признакам:

электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

электронная подпись позволяет определить лицо, подписавшее электронный документ;

электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

ключ проверки электронной подписи указан в Сертификате;

для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ.

Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию.

Электронный документ - документ, в котором информация представлена в электронной форме. Юридическая значимость электронного документа подтверждается ЭП.

Юридически значимый электронный документооборот (ЮЗЭД) - документооборот на базе Системы, в котором участники ЮЗЭД совершают действия по обмену и принятию к исполнению документов в электронной форме, удостоверенных ЭП, и несут ответственность за совершение либо несовершение этих действий.

2. Общие положения

Настоящий документ регламентирует порядок работы со средствами криптографической защиты информации (СКЗИ) в соответствии с Приказом ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным Приказом ФСБ РФ от 9 февраля 2005 г. N 66.

3. Организация и обеспечение безопасности хранения

и применения СКЗИ

Ключевые документы или исходная информация для выработки ключевых документов изготавливаются УЦ или ответственным за эксплуатацию СКЗИ сотрудником Участника.

Пользователи СКЗИ обязаны:

не разглашать сведения о криптоключах;

соблюдать требования и рекомендации указанные производителем СКЗИ в сопроводительной документации;

сообщать ответственному за эксплуатацию СКЗИ сотруднику Участника, а также Организатору о ставших им известными попытках посторонних лиц получить сведения об используемых криптоключах или ключевых документах;

сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;

при получении в пользование ключевого носителя изменить PIN-код пользователя. Изменение PIN-кода администратора производит ответственный за эксплуатацию СКЗИ сотрудник Участника;

немедленно уведомлять ответственного за эксплуатацию СКЗИ сотрудника Участника, а также организатора о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых сведений конфиденциального характера, а также о причинах и условиях возможной утечки таких сведений.

Непосредственно к работе с СКЗИ пользователи допускаются только после соответствующего инструктажа. Инструктаж включает в себя ознакомление с руководством пользователя СКЗИ, инструкцией по установке, настройке и эксплуатации СКЗИ, Регламентом УЦ. Инструктаж проводит ответственный за эксплуатацию СКЗИ сотрудник Участника и(или) УЦ.

4. Порядок обращения с СКЗИ и криптоключами к ним.

Мероприятия при компрометации криптоключей

Для организации и обеспечения безопасности хранения и применения ЭП следует использовать СКЗИ, предусматривающие запись ключей ЭП на электронные ключевые носители многократного (долговременного) использования (дискеты, компакт-диски (CD-ROM), Data Key, Smart Card, eToken, RuToken и т.п.).

Используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету по установленной форме в соответствии с требованиями Положения ПКЗ-2005. При этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование.

Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно.

Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов ведет ответственный за эксплуатацию СКЗИ сотрудник Участника по форме согласно приложению к настоящему Положению.

Все полученные ответственным за эксплуатацию СКЗИ сотрудником Участника экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета СКЗИ несущим персональную ответственность за их сохранность.

Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только между пользователями СКЗИ и(или) ответственными за эксплуатацию СКЗИ сотрудниками Участника под расписку в соответствующих журналах поэкземплярного учета СКЗИ.

Пользователи СКЗИ хранят носители СКЗИ, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.

Аппаратные средства, с которыми осуществляется штатное функционирование, СКЗИ должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать. При наличии технической возможности на время отсутствия пользователей СКЗИ указанные средства необходимо отключать от линии связи и убирать в опечатываемые хранилища.

СКЗИ и ключевые документы могут доставляться фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа ответственных за эксплуатацию СКЗИ сотрудников Участника или пользователей СКЗИ, для которых они предназначены, при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки.

Эксплуатационную и техническую документацию к СКЗИ можно пересылать заказными или ценными почтовыми отправлениями.

Для пересылки СКЗИ ключевые документы должны быть помещены в прочную упаковку, исключающую возможность их физического повреждения и внешнего воздействия, в особенности на записанную ключевую информацию. СКЗИ пересылают отдельно от ключевых документов к ним. На упаковках указывают ответственного за эксплуатацию СКЗИ сотрудника Участника или пользователя СКЗИ, для которого эти упаковки предназначены. На упаковках делают пометку "Лично". Упаковки опечатывают таким образом, чтобы исключалась возможность извлечения из них содержимого без нарушения упаковок и оттисков печати.

Оформленную таким образом упаковку, при предъявлении фельдсвязью дополнительных требований, помещают во внешнюю упаковку, оформленную согласно предъявляемым требованиям. До первоначальной высылки (или возвращения) адресату сообщают отдельным письмом описание высылаемых ему упаковок и печатей, которыми они могут быть опечатаны.

Для пересылки СКЗИ, эксплуатационной и технической документации к ним, ключевых документов следует подготовить сопроводительное письмо, в котором необходимо указать, что посылается и в каком количестве, учетные номера изделий или документов, а также, при необходимости, назначение и порядок использования высылаемого отправления. Сопроводительное письмо вкладывают в одну из упаковок.

Полученные упаковки вскрывают только ответственный за эксплуатацию СКЗИ сотрудник Участника или пользователи СКЗИ, для которых они предназначены. Если содержимое полученной упаковки не соответствует указанному в сопроводительном письме или сама упаковка и печать - их описанию (оттиску), а также если упаковка повреждена, в результате чего образовался свободный доступ к ее содержимому, то получатель составляет акт, который высылает отправителю. Полученные с такими отправлениями СКЗИ и ключевые документы до получения указаний от отправителя применять не разрешается.

Получение СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должно быть подтверждено отправителю в соответствии с порядком, указанным в сопроводительном письме. Отправитель обязан контролировать доставку своих отправлений адресатам. Если от адресата своевременно не поступило соответствующего подтверждения, то отправитель должен направить ему запрос и принять меры к уточнению местонахождения отправлений.

Неиспользованные или выведенные из действия ключевые документы подлежат уничтожению на месте эксплуатации.

Уничтожение криптоключей (исходной ключевой информации) производится путем физического уничтожения ключевого носителя, на котором они расположены, или путем стирания (разрушения) криптоключей (исходной ключевой информации) без повреждения ключевого носителя (для обеспечения возможности его многократного использования).

Криптоключи (исходную ключевую информацию) стирают по технологии, принятой для соответствующих ключевых носителей многократного использования (дискет, компакт-дисков (CD-ROM), Data Key, Smart Card, eTo-ken, RuToken и т.п.). Непосредственные действия по стиранию криптоключей (исходной ключевой информации), а также возможные ограничения на дальнейшее применение соответствующих ключевых носителей многократного использования регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации).

Ключевые носители уничтожают путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления ключевой информации. Непосредственные действия по уничтожению конкретного типа ключевого носителя регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации).

Бумажные и прочие сгораемые ключевые носители, а также эксплуатационная и техническая документация к СКЗИ уничтожаются путем сжигания или с помощью любых бумагорезательных машин.

Ключевые документы должны быть уничтожены в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется в журнале поэкземплярного учета.

Ключевые документы уничтожаются либо пользователями СКЗИ, либо ответственным за эксплуатацию СКЗИ сотрудником Участника под расписку в журнале поэкземплярного учета, а уничтожение большого объема ключевых документов может быть оформлено актом. При этом, пользователям СКЗИ разрешается уничтожать только использованные непосредственно ими (предназначенные для них) криптоключи.

Уничтожение по акту производит комиссия в составе не менее двух человек из числа сотрудников Участника, в том числе ответственного за эксплуатацию СКЗИ сотрудника. В акте указывается, что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых ключевых документов, инсталлирующих СКЗИ носителей, эксплуатационной и технической документации. Исправления в тексте акта должны быть оговорены и заверены подписями всех членов комиссии, принимавших участие в уничтожении. О проведенном уничтожении делается отметка в журнале поэкземплярного учета СКЗИ.

Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи необходимо немедленно вывести из действия, если иной порядок не оговорен в эксплуатационной и технической документации к СКЗИ. О выводе криптоключей из действия сообщают в УЦ и Министерство финансов Пермского края. О нарушениях, которые могут привести к компрометации криптоключей, их составных частей, пользователи СКЗИ обязаны сообщать в УЦ и Министерство финансов Пермского края. Осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения). В случаях недостачи, непредъявления ключевых документов, а также неопределенности их местонахождения принимаются срочные меры к их розыску.

Порядок оповещения пользователей СКЗИ о предполагаемой компрометации криптоключей и их замене устанавливается соответствующим Регламентом оказания услуг УЦ.

5. Контроль за организацией и обеспечением безопасности

хранения и применения СКЗИ

Контроль за организацией и обеспечением безопасности хранения, эксплуатации, обработки и передачи по каналам связи информации с использованием СКЗИ - государственный контроль осуществляют уполномоченные федеральные органы. В ходе государственного контроля изучаются и оцениваются:

организация безопасности хранения, эксплуатации СКЗИ;

достигнутый уровень криптографической защиты информации;

условия использования СКЗИ.

Приложение 1

к Положению

о порядке работы со средствами

криптографической защиты

информации

Журнал

поэкземплярного учета СКЗИ, эксплуатационной и технической

документации к ним, ключевых документов

N
п/п

  Наименование 
     СКЗИ,     
эксплуатационной
и технической 
документации к
ним, ключевых 
   документов  

Серийные номера
     СКЗИ,     
эксплуатационной
и технической 
документации к
  ним, номера  
серий ключевых
   документов  

Отметка о получении

Отметка о выдаче

От кого
получены

Дата и   
номер    
сопроводи-
тельного 
письма   

Ф.И.О.
пользо-
вателя
СКЗИ  

Дата и 
расписка
в      
получе-
нии    

1

       2       

       3       

   4   

    5    

   6  

   7   

    Отметка о подключении   
       (установке) СКЗИ     

  Отметка об изъятии СКЗИ из  
аппаратных средств, уничтожении
(утрате) ключевых документов 

Примечание

Ф.И.О.  
сотруд- 
ников   
пользова-
теля    
СКЗИ,   
произвед-
ших     
подключе-
ние     
(установ-
ку)     

Дата    
подключе-
ния     
(установ-
ки) и   
подписи 
лиц,    
произвед-
ших     
подключе-
ние     
(установ-
ку)     

Номера  
аппарат-
ных     
средств,
в которые
установ-
лены или
к которым
подключе-
ны СКЗИ 

Дата   
изъятия
(уничто-
жения, 
утери) 

Ф.И.О.      
сотрудников 
пользователя
СКЗИ,       
производивших
изъятие     
(уничтоже-  
ние)/       
Ф.И.О.      
пользователя
СКЗИ,       
утратившего 

Номер  
акта или
расписка
об унич-
тожении
(утере)

    8   

    9   

    10  

   11  

     12     

   13  

    14   

Приложение 3

к Приказу

Министерства финансов

Пермского края

от 30.07.2012 N СЭД-39-01-22-126

ПОРЯДОК

РАЗБОРА КОНФЛИКТНЫХ СИТУАЦИЙ

1. Термины и определения

Термины и определения, используемые в документе:

Аккредитованный удостоверяющий центр (УЦ) - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон 63-ФЗ), и получившее аккредитацию.

Аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона 63-ФЗ.

Альбом электронных документов - документ, содержащий список электронных документов, включенных в юридически значимый электронный документооборот.

Аттестат соответствия - документ установленной формы, подтверждающий выполнение требований нормативных правовых актов в области защиты информации.

Владелец сертификата ключа проверки электронной подписи (владелец сертификата) - лицо, которому в установленном Федеральным законом 63-ФЗ порядке выдан сертификат ключа проверки электронной подписи.

Доказательная база - информация в электронном и в бумажном виде, достаточная для разрешения конфликтных ситуаций.

Жизненный цикл электронного документа - существование электронного документа от момента формирования до момента передачи в архив или уничтожения.

Инициатор - юридическое лицо, инициирующее разбор конфликтной ситуации, связанной с необходимостью проверки юридической значимости электронного документа.

Квалифицированный сертификат ключа проверки электронной подписи (сертификат) - сертификат ключа проверки электронной подписи, выданный УЦ или доверенным лицом УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.

Ключ электронной подписи (закрытый ключ, ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи.

Ключ проверки электронной подписи (открытый ключ) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.

Область применения сертификата - параметр сертификата. Область применения сертификата определяет перечень электронных документов, возможных для подписания при помощи данного сертификата.

Ответчик - юридическое лицо, привлекаемое в качестве предположительного нарушителя прав Инициатора.

Отозванный сертификат - сертификат, который отозван из обращения.

Регламент применения электронной подписи (Регламент) - документ, определяющий статусы электронных документов, на которых происходит наложение электронной подписи в электронном документе.

Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Система - Система автоматизации финансово-казначейских органов - Автоматизированный Центр Контроля исполнения бюджета ("АЦК-Финансы"), установленная в Министерстве финансов Пермского края.

Средства криптографической защиты информации (СКЗИ) - аппаратные и(или) программные средства, обеспечивающие применение электронной подписи (создание, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи) и(или) шифрование при осуществлении электронного документооборота, а также обеспечивающие защиту информации по утвержденным стандартам и сертифицированные в соответствии с действующим законодательством.

Статус электронного документа - атрибут электронного документа, идентифицирующий его состояние по определенному признаку.

Сотрудник - пользователь, имеющий имя и пароль для входа в Систему и наделенный полномочиями для работы в Системе.

Уполномоченный сотрудник - сотрудник, наделенный полномочиями по подписанию электронной подписью электронных документов в соответствии с утвержденным Регламентом, для которого УЦ выпущен сертификат ключа проверки электронной подписи.

Участник - юридическое лицо, принимающее участие в юридически значимом электронном документообороте.

Усиленная квалифицированная электронная подпись (ЭП) - вид электронной подписи, которая соответствует следующим признакам;

электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

электронная подпись позволяет определить лицо, подписавшее электронный документ;

электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

электронная подпись создается с использованием средств электронной подписи;

ключ проверки электронной подписи указан в сертификате;

для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ.

Целостность программного обеспечения - отсутствие изменений в коде программного обеспечения при эксплуатации данного программного обеспечения.

Цепочка доверия - последовательность взаимосвязанных (доверенных) сертификатов, возникающая при проверке ключа ЭП.

Экспертная комиссия - комиссия, разрешающая конфликтные ситуации, связанные с использованием юридически значимого электронного документооборота.

Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию.

Электронный документ - документ, в котором информация представлена в электронной форме. Юридическая значимость электронного документа подтверждается ЭП.

Юридически значимый электронный документооборот (ЮЗЭД) - документооборот на базе Системы, в котором участники ЮЗЭД совершают действия по обмену и принятию к исполнению документов в электронной форме, удостоверенных ЭП, и несут ответственность за совершение либо несовершение этих действий.

2. Назначение документа

Настоящий документ определяет порядок разрешения конфликтных ситуаций, связанных с использованием ЮЗЭД на базе Системы. Использование ЮЗЭД подразумевает под собой подписание ЭП электронных документов на базе Системы.

Настоящий документ предназначен для Участников, в том числе для Инициаторов, Ответчиков, а также для членов Экспертных комиссий.

3. Порядок разрешения конфликтных ситуаций

3.1. Общие положения

3.1.1. В ходе обмена юридически значимыми электронными документами между Участниками могут возникать конфликтные ситуации в части установления авторства и/или подлинности электронных документов, нарушения правил использования СКЗИ. Возможны возникновения разногласий в следующих ситуациях:

оспаривание факта отправления и/или получения электронного документа;

оспаривание времени отправления и/или получения электронного документа;

оспаривание содержания отправленного/полученного электронного документа;

оспаривание идентичности экземпляров электронного документа и/или подлинника и копии электронного документа на бумажном носителе;

оспаривание целостности электронного документа;

оспаривание идентификации лица, заверившего электронный документ ЭП;

оспаривание полномочий лица, заверившего электронный документ ЭП;

оспаривание действительности и правомочности использования сертификата, использованного для заверения электронного документа;

иные случаи возникновения конфликтных ситуаций в ходе обмена электронными документами.

3.1.2. Разрешая конфликтные ситуации, Участники исходят из того, что:

в соответствии с действующим законодательством документ в электронном виде, заверенный ЭП в Системе, является документом, имеющим юридическую силу, аналогичным бумажному документу, снабженному подписью и печатью;

электронный документ порождает обязательства Участника перед другими Участниками, если документ оформлен надлежащим образом, подписан ЭП в Системе и доставлен другому Участнику. При этом ЭП используется в соответствии со сведениями, указанными в сертификате, а сертификат отправителя является действующим;

математические свойства алгоритма ЭП должны соответствовать стандартам, существующим в Российской Федерации. Участник признает, что разбор конфликтной ситуации в отношении авторства, целостности и подлинности электронного документа заключается в доказательстве подписания конкретного электронного документа на конкретном ключе ЭП.

3.1.3. Разрешение конфликтных ситуаций может осуществляться несколькими способами (в зависимости от уровня эскалации конфликтной ситуации), а именно:

Участник, инициировавший разбор, и Ответчик разрешают конфликтную ситуацию в рабочем порядке (без создания Экспертной комиссии);

Участник, инициировавший разбор, и Ответчик разрешают конфликтную ситуацию с созданием Экспертной комиссии и разработчиков программного обеспечения Системы;

претензионный порядок разрешения конфликтной ситуации;

Участник, инициировавший разбор, и Ответчик разрешают конфликтную ситуацию в судебном порядке.

3.2. Разрешение конфликтных ситуаций в рабочем порядке

В случае возникновения обстоятельств, свидетельствующих, по мнению одного из Участников, о возникновении конфликтной ситуации, данный Участник (Инициатор) незамедлительно извещает ответственного сотрудника других заинтересованных Участников любым доступным способом о возможном возникновении и/или наличии конфликтной ситуации, обстоятельствах, свидетельствующих о ее возникновении или наличии, а также о ее предполагаемых причинах. Информация, полученная от Инициатора по телефону или в ином устном обращении, регистрируется ответственным сотрудником в журнале регистрации извещений о разборе конфликтной ситуации. Инициатор обязан продублировать извещение в письменном виде.

Ответчик, которому была направлена информация (извещение в свободной форме) о конфликтной ситуации, и который должен участвовать в ее разрешении, обязан проверить наличие указанных в извещении обстоятельств и принять меры по разрешению конфликтной ситуации со своей стороны.

Ответчик письмом извещает Инициатора о результатах проверки и, при необходимости, о мерах, принятых для разрешения конфликтной ситуации.

Конфликтная ситуация признается разрешенной в рабочем порядке в случае, если Инициатор удовлетворен информацией, содержащейся в извещениях Ответчика, и не имеет к ней претензий.

Разрешение конфликтных ситуаций в рабочем порядке допускается в тех случаях, когда действия, являющиеся причиной конфликта, не наносят существенный ущерб Участникам.

3.3. Разрешение конфликтной ситуации с созданием Экспертной комиссии

В случае если конфликтная ситуация не была разрешена в рабочем порядке, Инициатор, может направить Ответчику заявление о разногласиях в свободной форме с предложением создать Экспертную комиссию.

Экспертная комиссия создается с целью разрешения конфликтных ситуаций, возникающих в ходе обмена электронными документами в Системе в тех случаях, когда разрешение конфликтных ситуаций в рабочем порядке не представляется возможным по следующим причинам:

действия, являющиеся конфликтными, наносят существенный ущерб;

действия, являющиеся конфликтными, не наносят существенный ущерб, но Участник, инициировавший разбор, не удовлетворен информацией, полученной от Ответчика в процессе разрешения конфликтной ситуации в рабочем порядке.

3.3.1. Формирование заявления о разногласиях

При возникновении разногласий Инициатор, заявляющий о разногласии, направляет Ответчику заявление о разногласиях <1> в свободной форме. Заявление должно содержать информацию о предмете и существе конфликтной ситуации, обстоятельствах, по мнению Инициатора, свидетельствующих о наличии конфликтной ситуации, возможных причинах и последствиях ее возникновения. Заявление составляется в свободной форме на бумажном носителе, подписывается должностными лицами Инициатора, уполномоченными участвовать в разрешении конфликтной ситуации, и передаются Ответчику.

--------------------------------

<1> До подачи заявления Участнику, инициировавшему разбор конфликтной ситуации, необходимо убедиться в целостности установленного на его технических средствах программного обеспечения, в том числе средства ЭП. Инициатор обязан убедиться в том, что не было произведено несанкционированных действий относительно программного обеспечения. А также удостовериться в том, что на его технических средствах не установлено вредоносного или шпионского программного обеспечения.

Заявление о разногласиях в обязательном порядке должно содержать следующую информацию:

уникальный идентификатор электронного документа <2>;

--------------------------------

<2> Определяется через интерфейс Системы.

название класса электронного документа и его номер в Системе;

дата заявления;

обстоятельства, на которых основаны заявленные требования, и сведения о подтверждающих их доказательствах;

нормы законодательных и иных нормативных правовых актов, на основании которых выставляется требование (в том числе договор об обмене электронными документами между Участниками юридически значимого электронного документооборота);

предложение создать Экспертную комиссию;

перечень документов (составляющих доказательную базу при конфликтной ситуации для судебных разбирательств), прилагаемых к заявлению о разногласии. В состав указанных документов должны быть включены:

файл, содержащий электронный документ, а также ЭП этого электронного документа <3>;

--------------------------------

<3> Выгружается из Системы.

файл, содержащий вложение электронного документа, а также ЭП этого вложения электронного документа <4>;

--------------------------------

<4> Выгружается из Системы.

файлы, содержащие сертификаты ключей ЭП, которыми был подписан электронный документ и вложения.

3.3.2. Предполагаемое место и дата сбора Экспертной комиссии

Не позднее чем на третий рабочий день после получения заявления о разногласиях Участниками, участвующими в разрешении конфликтной ситуации, должна быть сформирована Экспертная комиссия.

Экспертная комиссия формируется на основании приказа Министерства финансов Пермского края. Приказ устанавливает состав Экспертной комиссии, время, место и срок ее работы.

Устанавливается срок работы Экспертной комиссии - 5 рабочих дней. В исключительных случаях срок работы Экспертной комиссии может быть продлен, но не более чем на тридцать рабочих дней.

Если Участники не договорятся об ином, то в состав Экспертной комиссии входит равное количество уполномоченных лиц Участников, участвующих в разрешении конфликтной ситуации.

В состав Экспертной комиссии включаются представители отдела автоматизации Министерства финансов Пермского края, а также исполнители электронных документов, являющиеся подписантами с использованием ЭП в Системе.

В состав Экспертной комиссии могут быть включены представители юридических служб Участников, представители органов, осуществляющих государственное регулирование и контроль соответствующих видов деятельности.

По инициативе любого из Участников, участвующих в разрешении конфликтной ситуации, к работе Экспертной комиссии для проведения технической экспертизы привлекаются уполномоченные сотрудники УЦ и(или) иные независимые эксперты.

Лица, входящие в состав Экспертной комиссии, должны обладать необходимыми знаниями и опытом работы с электронными документами, опытом организации и обеспечения информационной безопасности при обмене электронными документами, иметь соответствующий допуск к необходимым документальным материалам и программно-техническим средствам.

Председатель Экспертной комиссии назначается по согласованию Участников.

При участии в Экспертной комиссии представителей иных органов и организаций их право представлять соответствующие органы и организации должно подтверждаться официальным документом (доверенностью, предписанием, копией приказа или распоряжения).

3.3.3. Права и полномочия Экспертной комиссии

Экспертная комиссия имеет право получать доступ к необходимым для ее работы документальным материалам Участников, в том числе нормативным правовым актам обмена электронными документами, архивам электронных документов.

Экспертная комиссия имеет право на ознакомление с условиями и порядком подготовки, формирования, обработки, доставки, исполнения, хранения и учета электронных документов Участников.

Экспертная комиссия имеет право на ознакомление с условиями и порядком эксплуатации программных и технических средств обмена электронными документами Участников.

Экспертная комиссия имеет право на ознакомление с условиями и порядком изготовления, использования и хранения Участниками ключей, иной конфиденциальной информации, а также материальных носителей, необходимых для работы средств обмена электронными документами.

Экспертная комиссия имеет право получать объяснения от должностных лиц Участников, обеспечивающих обмен электронными документами.

Экспертная комиссия вправе получать от Участников любую иную информацию, относящуюся, по ее мнению, к разрешаемой конфликтной ситуации.

Для проведения необходимых проверок и документирования данных Экспертной комиссией могут применяться специальные программные и технические средства.

3.3.4. Порядок работы Экспертной комиссии

Ответчик обязан в период работы Экспертной комиссии представить Инициатору и Экспертной комиссии ответы по каждому вопросу, изложенному в заявлении о разногласиях.

В ответах Ответчика на каждое требование должны содержаться документально обоснованные ответы или даны ссылки на доказательства, которые могут быть представлены в ходе работы Экспертной комиссии.

Любая сторона в ходе работы Экспертной комиссии может внести ходатайства об изменении или дополнении своих требований или возражений.

Экспертная комиссия в любой момент может затребовать от сторон предоставления документов, вещественных или иных доказательств в устанавливаемый Экспертной комиссией срок.

Рассмотрение спора производится на основании всех представленных документов, доказательств.

В том случае, если обстоятельства требуют подтверждения факта подлинности ЭП в электронном документе, Экспертная комиссия проводит экспертизу по подтверждению подлинности ЭП.

Для проведения экспертизы по подтверждению подлинности ЭП привлекаются уполномоченные сотрудники УЦ.

Технический порядок проведения экспертизы определяется эксплуатационной документацией на данное специализированное программное обеспечение.

3.3.5. Проверка подлинности электронных документов

Для проверки подлинности электронного документа необходимо:

проверить наличие данного электронного документа в Системе;

получить электронный документ и ЭП для проведения анализа, при этом документ и ЭП выгружают из Системы в виде двух файлов: документ в виде файла в формате txt, подпись в виде файла в формате PKCS#7.

Проверка осуществляется посредством поиска уникального идентификатора, указанного в заявлении о разногласиях.

При установлении факта отсутствия данного электронного документа в Системе делается вывод об отсутствии причин конфликтной ситуации. При установлении факта присутствия электронного документа в Системе необходимо продолжить разрешение конфликтной ситуации в соответствии с настоящим Порядком.

3.3.6. Подтверждение подлинности ЭП

Подтверждение подлинности ЭП в электронном документе - это положительный результат подтверждения сертифицированным средством ЭП принадлежности содержащейся в электронном документе ЭП ее владельцу и отсутствия искажения и подделки подписанного данной ЭП электронного документа.

Подтверждение подлинности ЭП выполняется путем проведения экспертизы. Экспертиза подлинности ЭП в электронном документе выполняется уполномоченным сотрудником УЦ. Экспертиза осуществляется с использованием применяемого средства ЭП и специализированного программного обеспечения, используемого УЦ для разрешения конфликтных ситуаций.

Для проведения экспертизы подлинности ЭП в электронном документе необходимо:

определить сертификат, необходимый для проверки ЭП;

проверить подлинность ЭП электронного документа с использованием сертификата;

в случае если при наложении ЭП используется штамп времени, проверить статус сертификата на момент подписания.

При установлении факта неподтверждения подлинности ЭП делается вывод об отсутствии причин конфликтной ситуации.

При установлении факта подлинности ЭП делается вывод о продолжении разрешения конфликтной ситуации в соответствии с настоящим Порядком.

3.3.7. Проверка организационных аспектов

После подтверждения подлинности ЭП в представленном электронном документе проводится проверка организационных аспектов электронного документа.

3.3.7.1. Проверка на соответствие положениям Регламента в Системе. Проверяются следующие условия:

соответствие полномочий подписанта на подписание электронного документа ЭП в соответствии с Регламентом;

соответствие личности должностного лица, подписавшего документ, информации, указанной в сертификате, который был представлен Экспертной комиссии.

При проверке соответствия полномочий подписанта на подписание электронного документа ЭП в соответствии с Регламентом проверяется:

соответствие представленного электронного документа описанию класса (описание классов документов см. в документации к Системе);

возможность подписания ЭП электронных документов данного класса;

возможность подписания ЭП на заданном статусе жизненного цикла электронного документа;

присутствие электронного документа данного класса в перечне юридически значимых электронных документов;

время и дата подписания электронного документа (по времени системного журнала).

При установлении факта соответствия между Регламентом в Системе и ЭП в электронном документе, факта соответствия времени и даты подписания электронного документа, указанных в системном журнале, времени и дате подписания электронного документа, указанным в заявке о разногласиях, а также при наличии остальных подтверждающих фактов делается вывод о правомерности зафиксированных в заявлении о разногласиях претензий Инициатора.

При установлении факта несоответствия между Регламентом в Системе и ЭП в электронном документе, несоответствии времени и даты подписания электронного документа, указанных в системном журнале, времени и дате подписания электронного документа, указанным в заявлении о разногласиях, делается вывод об отсутствии причин конфликтной ситуации.

3.3.7.2. Правомерность использования копий СКЗИ и Системы в соответствии с условиями лицензионных соглашений.

При установлении факта правомерности использования СКЗИ и Системы, а также при наличии остальных подтверждающих фактов делается вывод о правомерности претензий Инициатора, зафиксированных в заявлении о разногласиях.

При установлении факта неправомерности использования СКЗИ и Системы делается вывод об отсутствии причин конфликтной ситуации.

3.3.7.3. Корректность использования копий СКЗИ и Системы в соответствии с документацией на используемые программные и аппаратные средства и аттестатами соответствия.

При установлении факта корректного использования СКЗИ и Системы, а также при наличии остальных подтверждающих фактов делается вывод о правомерности претензий Инициатора, зафиксированных в заявлении о разногласиях.

При установлении факта некорректного использования СКЗИ и Системы делается вывод об отсутствии причин конфликтной ситуации.

3.3.7.4. Правомерность подписания электронного документа Уполномоченным сотрудником Участника на основании приказов о наделении сотрудника правом подписи электронных документов определенных классов.

При установлении факта правомерного подписания электронного документа сотрудником Участника, а также при наличии остальных подтверждающих фактов делается вывод о правомерности претензий Инициатора, зафиксированных в заявлении о разногласиях.

При установлении факта неправомерного подписания Электронного документа сотрудником Участника делается вывод об отсутствии причин конфликтной ситуации.

3.3.7.5. Доказательства корректности условий использования сертификатов в соответствии с областью применения.

При установлении факта использования сертификатов в соответствии с областью применения, а также при наличии остальных подтверждающих фактов делается вывод о правомерности претензий Инициатора, зафиксированных в заявлении о разногласиях.

При установлении факта использования не в соответствии с областью применения сертификатов делается вывод об отсутствии причин конфликтной ситуации.

3.3.8. Оформление результатов работы Экспертной комиссии

3.3.8.1. Протокол работы Экспертной комиссии

Все действия, предпринимаемые Экспертной комиссией для выяснения фактических обстоятельств, а также выводы, сделанные Экспертной комиссией, заносятся в протокол работы Экспертной комиссии.

Протокол работы Экспертной комиссии должен содержать следующие данные:

состав Экспертной комиссии с указанием фамилий, имен, отчеств, мест работы, занимаемых должностей, при необходимости исполняемых при обмене электронными документами функциональных ролей, контактной информации и квалификации членов Экспертной комиссии;

краткое изложение обстоятельств, свидетельствующих, по мнению Инициатора, о возникновении и/или наличии конфликтной ситуации;

установленные Экспертной комиссией фактические обстоятельства;

мероприятия, проводимые Экспертной комиссией для установления наличия, причин возникновения и последствий возникшей конфликтной ситуации с указанием даты, времени и места их проведения;

выводы, к которым пришла Экспертная комиссия в результате проведенных мероприятий;

подписи всех членов Экспертной комиссии.

3.3.8.2. Акт по итогам работы Экспертной комиссии

По итогам работы Экспертной комиссии составляется акт, который должен содержать следующую информацию:

краткое изложение выводов Экспертной комиссии;

принятое решение Экспертной комиссии;

состав Экспертной комиссии;

дату и место составления акта;

дату и время начала и окончания работы Экспертной комиссии;

перечень мероприятий, проведенных Экспертной комиссией;

собственноручные подписи членов Экспертной комиссии;

указание на особое мнение члена Экспертной комиссии (или членов комиссии), в случае наличия такового.

Акт составляется в форме документа в свободной форме на бумажном носителе в 2 экземплярах и выдается Инициатору и ответчику.

3.3.9. Разрешение конфликтной ситуации по итогам работы Экспертной комиссии

Акт Экспертной комиссии является основанием для принятия Участниками, участвующими в разрешении конфликтной ситуации, решения по урегулированию конфликтной ситуации.

В срок не позднее трех рабочих дней со дня окончания работы Экспертной комиссии Участники, участвующие в разрешении конфликтной ситуации, на основании выводов Экспертной комиссии принимают меры по разрешению конфликтной ситуации.

Конфликтная ситуация признается разрешенной по итогам работы Экспертной комиссии, если Участники, участвующие в разрешении конфликтной ситуации, удовлетворены выводами, полученными Экспертной комиссией, и не имеют претензий в связи с разрешаемой конфликтной ситуацией.

В случае если конфликтная ситуация признается разрешенной, Участники, участвующие в разрешении конфликтной ситуации, в срок не позднее пяти рабочих дней со дня окончания работы Экспертной комиссии оформляют решение об урегулировании конфликтной ситуации.

Решение составляется Участниками, участвующими в разрешении конфликтной ситуации, в форме документа на бумажном носителе и выдается по одному экземпляру каждому Участнику. Решение подписывается уполномоченными в разрешении конфликтной ситуации лицами Участников и утверждается руководителями Участников либо их заместителями.

4. Претензионный порядок разрешения конфликтной ситуации

Претензионный порядок разрешения конфликтной ситуации применяется:

когда конфликтная ситуация не разрешена по итогам работы Экспертной комиссии;

в случае прямого или косвенного отказа одного из Участников от участия в работе Экспертной комиссии или если одним из Участников, участвующим в разрешении конфликтной ситуации, создавались препятствия работе Экспертной комиссии;

в случае если один из Участников считает, что его права в связи с обменом электронными документами были нарушены.

Претензия должна содержать:

изложение требований Инициатора;

изложение фактических обстоятельств, на которых основываются требования Инициатора, и доказательства, подтверждающие их, со ссылкой на соответствующие нормы законодательства и нормативные акты;

сведения о работе Экспертной комиссии и, в случае если Экспертная комиссия работала в связи с разрешаемой конфликтной ситуацией, копии материалов работы Экспертной комиссии независимо от выводов Экспертной комиссии, согласия или несогласия с этими выводами Инициатора;

иные документы, имеющие значение, по мнению Участника, инициирующего претензионный порядок разрешения конфликтной ситуации;

перечень прилагаемых к претензии документов и других доказательств, а также иные сведения, необходимые для урегулирования разногласий по претензии.

Претензия составляется в форме документа на бумажном носителе в свободной форме, подписывается руководителем Инициатора либо его заместителем, заверяется печатью Инициатора. Претензия и прилагаемые к ней документы направляются в адрес Ответчика. Участник, в адрес которого направлена претензия, обязан в срок не позднее трех рабочих дней удовлетворить требования претензии или представить мотивированный отказ в их удовлетворении. Непредставление ответа на претензию в течение указанного срока является нарушением установленного настоящим разделом претензионного порядка и может рассматриваться в качестве отказа в удовлетворении требований претензии.

5. Разрешение конфликтных ситуаций в судах

Разрешение конфликтных ситуаций в судах допускается в тех случаях, когда разрешение конфликтных ситуаций в рабочем порядке, с созданием Экспертной комиссии или в претензионном порядке не привело к разрешению конфликтной ситуации.

Разрешение конфликтных ситуаций в судах проводится в порядке, установленном законодательством Российской Федерации.

Список необходимых для разрешения конфликтной ситуации

проверок

  N 

                  Наименование проверки                 

Результат
проверки
(да/нет)

1   

Проверка подлинности электронного документа             

1.1 

Присутствует ли документ в Системе?                     

2   

Подтверждение подлинности ЭП                            

2.1 

Успешно ли выполнена проверка ЭП с использованием       
сертификатов, представленных Инициатором и УЦ?          

2.2 

Действителен ли сертификат, которым подписан конфликтный
документ на момент подписания?                          

3   

Проверка организационных аспектов                       

3.1 

Проверка на соответствие положениям Регламента в Системе

3.1.1

Соответствует ли представленный документ описанию класса?

3.1.2

Возможно ли подписание ЭП документов данного класса?    

3.1.3

Подтверждена ли правомерность использования электронного
документа данного класса в ЮЗЭД в соответствии со списком
электронных документов, включенных в альбом электронных 
документов?                                             

3.1.4

Соответствует ли время и дата подписания электронного   
документа, указанные в системном журнале, времени и дате
подписания электронного документа, указанным в заявке о 
разногласиях?                                           

3.1.5

Соответствует ли личность должностного лица, подписавшего
документ, информации, указанной в сертификате,          
представленном Экспертной комиссии?                     

3.2 

Прочие организационные аспекты                          

3.2.1

Подтверждена ли правомерность использования копий средств
криптографической защиты информации и Системы в         
соответствии с условиями лицензионных соглашений?       

3.2.2

Подтверждена ли корректность использования копий средств
криптографической защиты информации и Системы в         
соответствии с документацией на используемые программные
и аппаратные средства и аттестатами соответствия?       

3.2.3

Правомерно ли подписание электронного документа         
Уполномоченным сотрудником Участника на основании       
приказов о наделении сотрудника правом подписи          
электронных документов определенных классов?            

3.2.4

Представлены ли доказательства признания цепочек доверия
на основании договоров на обслуживание сертификатов     
ключей ЭП, договоров на оказание услуг УЦ?              

Приложение 4

к Приказу

Министерства финансов

Пермского края

от 30.07.2012 N СЭД-39-01-22-126

ПОРЯДОК

ПРЕДОСТАВЛЕНИЯ ДОКУМЕНТОВ ИЗ СИСТЕМЫ АВТОМАТИЗАЦИИ

ФИНАНСОВО-КАЗНАЧЕЙСКИХ ОРГАНОВ - АВТОМАТИЗИРОВАННЫЙ ЦЕНТР

КОНТРОЛЯ ИСПОЛНЕНИЯ БЮДЖЕТА ("АЦК-ФИНАНСЫ") ПО ЗАПРОСУ

КОНТРОЛИРУЮЩИХ ОРГАНОВ

1. Термины и определения

Термины и определения, используемые в документе:

Квалифицированный сертификат ключа проверки электронной подписи (Сертификат) - сертификат ключа проверки электронной подписи, выданный удостоверяющим центром или доверенным лицом удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.

Ключ электронной подписи (закрытый ключ, ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи.

Ключ проверки электронной подписи (открытый ключ) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.

Система - Система автоматизации финансово-казначейских органов - Автоматизированный Центр Контроля исполнения бюджета ("АЦК-Финансы"), установленная в Министерстве финансов Пермского края.

Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Сотрудник - пользователь, имеющий имя и пароль для входа в Систему и наделенный полномочиями для работы в Системе.

Участник - юридическое лицо, принимающее участие в юридически значимом электронном документообороте.

Усиленная квалифицированная электронная подпись (ЭП) - вид электронной подписи, которая соответствует следующим признакам:

электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

электронная подпись позволяет определить лицо, подписавшее электронный документ;

электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

электронная подпись создается с использованием средств электронной подписи;

ключ проверки электронной подписи указан в Сертификате;

для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ.

Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию.

Электронный документ - документ, в котором информация представлена в электронной форме. Юридическая значимость электронного документа подтверждается ЭП.

Юридически значимый электронный документооборот (ЮЗЭД) - документооборот на базе Системы, в котором участники ЮЗЭД совершают действия по обмену и принятию к исполнению документов в электронной форме, удостоверенных ЭП, и при этом несут ответственность за совершение либо несовершение этих действий.

2. Общие положения

Предоставление документов из Системы контролирующим органам происходит в целях осуществления государственного контроля, в том числе государственного финансового контроля в соответствии с действующим законодательством.

Настоящий Порядок определяет перечень и формат предоставляемых из Системы электронных документов для контролирующих органов при осуществлении ЮЗЭД.

3. Предоставление документов

3.1. Порядок формирования и содержание запроса

Контролирующие органы направляют запрос об истребовании документов Участнику в форме официального запроса, подписанного уполномоченным должностным лицом контролирующего органа, или посредством Интегрированной системы электронного документооборота (далее - ИСЭД), подписанный ЭП уполномоченного должностного лица контролирующего органа (при использовании ИСЭД в контролирующем органе).

3.2. Порядок подготовки ответа на запрос

Подготовка ответа на запрос осуществляется Участниками в рамках своей компетенции.

Непосредственную подготовку ответа осуществляют сотрудники Участника, ответственные за работу с указанными в запросе электронными документами.

После прохождения процедуры согласования в ИСЭД или на бумажном носителе ответ на запрос подписывается должностным лицом Участника и направляется в контролирующие органы. К ответу на запрос, в качестве приложения прикрепляются распечатанные документы или электронные документы в формате MS Office, выгруженные из Системы, с отпечатанными реквизитами ЭП и Сертификатом должностного лица, подписавшего документ ЭП. До выгрузки документов с реквизитами ЭП ответственный сотрудник отдела автоматизации Министерства финансов Пермского края проводит настройку выгрузки ЭП в Системе.

4. Выгрузка электронных документов из Системы

и Web-интерфейса

4.1. Выгрузка электронных документов из Системы

Для того чтобы выгрузить электронный документ из Системы, необходимо:

открыть список электронных документов, содержащий искомый документ;

открыть выгружаемый документ на редактирование двойным щелчком мыши;

нажать кнопку "Печать" (см. рис. 1 - не приводится).

4.2. Выгрузка электронных документов из Web-интерфейса

Сотрудники Участника производят выгрузку документов из Web-интерфейса самостоятельно.

Для того чтобы выгрузить электронный документ из Системы в Web-интерфейса, необходимо:

открыть список электронных документов, содержащий искомый документ;

открыть выгружаемый документ на редактирование двойным щелчком мыши;

нажать кнопку "Печать" (см. рис. 2 - не приводится).

5. Перечень предоставляемых документов

Перечень документов, предоставляемых из Системы по запросу контролирующих органов:

электронный документ "Уведомление о бюджетных назначениях по доходам";

электронный документ "Уведомление об изменении бюджетных назначений по доходам";

электронный документ "Распоряжение на зачисление средств по источникам";

электронный документ "Уведомление о бюджетных назначениях по источникам";

электронный документ "Уведомление об изменении бюджетных назначений по источникам";

электронный документ "Распоряжение на выплату по договору размещения средств";

электронный документ "Распоряжение на выплату по договору привлечения средств";

электронный документ "Начисление поступлений по договору размещения средств";

электронный документ "Начисление выплат по договору привлечения средств";

электронный документ "Уведомление о поступлении средств по договору размещения средств";

электронный документ "Уведомление о бюджетных назначениях";

электронный документ "Уведомление об изменении бюджетных назначений";

электронный документ "Кассовый план по расходам";

электронный документ "Изменение кассового плана по расходам";

электронный документ "Заявка БУ/АУ на выплату средств";

электронный документ "Заявка БУ/АУ на получение наличных денег";

электронный документ "Справка - уведомление об уточнении операций БУ/АУ";

электронный документ "Справки по операциям БУ/АУ";

электронный документ "Заявка на оплату расходов";

электронный документ "Справка по расходам";

электронный документ "Расходное расписание";

электронный документ "Уведомление о возврате средств в бюджет";

электронный документ "Распоряжение на зачисление специальных средств";

электронный документ "Заявка на списание специальных средств с лицевого счета";

электронный документ "Справка по специальным средствам";

электронный документ "Отчет учреждения" (регулярные отчеты);

электронный документ "Универсальный документ" (разовые отчеты);

электронный документ "Уведомление об уточнении вида и принадлежности платежа";

электронный документ "Сведения об операциях с целевыми субсидиями";

электронный документ "Распоряжение на зачисление средств на л/с";

электронный документ "Распоряжение на зачисление в доходы".

Приложение 5

к Приказу

Министерства финансов

Пермского края

от 30.07.2012 N СЭД-39-01-22-126

КАРТА

РИСКОВ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА

1. Термины и определения

Термины и определения, используемые в документе:

Аккредитованный удостоверяющий центр (УЦ) - юридическое лицо, осуществляющее функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон 63-ФЗ), и получившее аккредитацию.

Аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона 63-ФЗ.

Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов (журнал поэкземплярного учета СКЗИ) - документ, содержащий данные о выданных уполномоченным сотрудникам ключевых документах.

Квалифицированный сертификат ключа проверки электронной подписи (Сертификат) - сертификат ключа проверки электронной подписи, выданный УЦ или доверенным лицом УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.

Ключ электронной подписи (закрытый ключ, ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи.

Ключ проверки электронной подписи (открытый ключ) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.

Ключевой документ - ключевой носитель, содержащий ключ электронной подписи, а при необходимости - контрольную, служебную и технологическую информацию.

Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключа электронной подписи.

Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, и представляет собой коммерческую, служебную или личную тайны, охраняющиеся ее владельцем.

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Роль - совокупность прав сотрудников при работе в Системе, с использованием которых они подписывают электронные документы электронной подписью.

Система - Система автоматизации финансово-казначейских органов - Автоматизированный Центр Контроля исполнения бюджета ("АЦК-Финансы"), установленная в Министерстве финансов Пермского края.

Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Сотрудник - пользователь, имеющий имя и пароль для входа в Систему и наделенный полномочиями для работы в Системе.

Средства криптографической защиты информации (СКЗИ) - аппаратные и(или) программные средства, обеспечивающие применение электронной подписи (создание, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи) и(или) шифрование при осуществлении электронного документооборота, а также обеспечивающие защиту информации по утвержденным стандартам и сертифицированные в соответствии с действующим законодательством.

Уполномоченный сотрудник - сотрудник, наделенный полномочиями по подписанию электронной подписью электронных документов в соответствии с утвержденным Регламентом, для которого УЦ выпущен сертификат ключа проверки электронной подписи, отмеченный в журнале поэкземплярного учета СКЗИ как получивший ключевой носитель. Уполномоченный сотрудник назначается приказом Участника.

Участник - юридическое лицо, принимающее участие в юридически значимом электронном документообороте.

Усиленная квалифицированная электронная подпись (ЭП) - вид электронной подписи, который соответствует следующим признакам:

электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

электронная подпись позволяет определить лицо, подписавшее электронный документ;

электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

электронная подпись создается с использованием средств электронной подписи;

ключ проверки электронной подписи указан в Сертификате;

для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ.

Цепочка доверия - последовательность взаимосвязанных (доверенных) сертификатов, возникающая при проверке ключа ЭП.

Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию.

Электронный документ - документ, в котором информация представлена в электронной форме. Юридическая значимость электронного документа подтверждается ЭП.

Юридически значимый электронный документооборот (ЮЗЭД) - документооборот на базе Системы, в котором участники ЮЗЭД совершают действия по обмену и принятию к исполнению документов в электронной форме, удостоверенных ЭП, и несут ответственность за совершение либо несовершение этих действий.

2. Общие сведения

Настоящий документ предназначен для описания вероятности возникновения рисков и мероприятий по их снижению, а также возможной степени причиненного ущерба.

3. Классификация рисков

Риски, связанные с ведением электронного документооборота в Системе, можно разделить по типу: организационные и технические, а также по источнику возникновения: внешние и внутренние.

Классификация рисков представлена в таблицах 3 и 4.

4. Вероятность реализации рисков, подверженность

информационных активов воздействию рисков

С целью выделения групп, близких по значимости рисков, и подготовки полученных материалов для дальнейшего (например, количественного) анализа для каждого риска, выявленного в процессе анализа, оцениваются следующие показатели (значения атрибутов):

вероятность реализации риска;

уровень подверженности актива воздействию (существенность ущерба для Министерства финансов Пермского края).

Текстовые описания значений атрибутов приведены в таблицах 1 и 2.

Таблица 1. Значения атрибута "Вероятность реализации риска"

Вероятность 

                         Описание                         

Высокая      

Вероятна реализация риска один или несколько раз в течение
года                                                      

Средняя      

Риск может быть реализован хотя бы один раз в течение двух-
трех лет                                                  

Низкая       

Реализация риска в течение трех лет маловероятна          

Таблица 2. Значения атрибута "Уровень подверженности актива

воздействию"

   Уровень   
подверженности
воздействию 

   Существенность ущерба (конфиденциальность/целостность  
                          актива)                         

      5      

Серьезные повреждения или полный выход актива из строя    
(например, видимые снаружи и существенно влияющие на ход  
производственных процессов, существенно увеличивающие     
затраты)                                                  

      4      

Серьезные повреждения, не приводящие к полному выходу     
актива из строя (например, не видимые снаружи, но         
существенно влияющие на ход производственных процессов,   
увеличивающие затраты)                                    

      3      

Средние повреждения или ущерб (например, влияющие на      
внутренние регламенты, увеличивающие затраты)             

      2      

Незначительные повреждения или ущерб                      

      1      

Небольшие изменения актива                                

Таблица 3. Организационные риски

N

Тип риска 
(внутренний/
  внешний) 

       Описание       

Вероятность
реализации

Сущест-
венность
ущерба 

    Меры по снижению   

1

Внутренний/
внешний    

Компрометация ключа ЭП
путем хищения         
носителей/копирования 
данных                

Высокая   

   4   

Организация хранения   
ключевых носителей и   
документов, журналов   
поэкземплярного учета  
СКЗИ                   

2

Внутренний 

Нарушение сотрудником 
правил использования  
СКЗИ                  

Высокая   

   3   

Ознакомление сотрудника
под роспись с пакетом  
документации по ЮЗЭД   

3

Внутренний 

Увольнение сотрудника,
имевшего доступ к     
ключам ЭП             

Высокая   

   3   

Подача заявления в УЦ на
отзыв Сертификата      

4

Внутренний 

Отказ от выполнения   
должностных           
обязанностей со ссылкой
на нормы Федерального 
закона 63-ФЗ по части 
защиты ключа ЭП       

Средняя   

   4   

Проведение обучения    
персонала с показом,   
что работа в Web-      
интерфейсе при ЮЗЭД    
соответствует по       
защищенности локальному
рабочему месту, т.е.   
риска компрометации    
ключа ЭП нет           

5

Внутренний 

Несоответствие Системы
требованиям Федеральной
службы по техническому
и экспортному контролю
по части защиты       
информации            

Низкая    

   5   

Проведение аттестации  
Системы на 1Г.         
Обеспечение доступности
информации об аттестате
соответствия для всех  
заинтересованных лиц   

6

Внутренний 

Выгрузка в архивное   
хранение произведена не
полностью и(или) с    
нарушением целостности
информации о цепочках 
доверия или с         
нарушением целостности
документарных томов.  
Утрата документов или 
их реквизитов в       
процессе выгрузки     

Высокая   

   4   

Исполнение регламента  
выгрузки документов на 
архивное хранение и    
хранения документов в  
архиве                 

7

Внутренний 

Низкая степень        
значимости (важности) 
Сертификата как       
документа для         
уполномоченных        
сотрудников           

Высокая   

   4   

Выдавать бумажный      
оригинал Сертификата   

8

Внутренний/
внешний    

Несанкционированный   
доступ к техническим  
средствам Системы     
(серверам, рабочим    
станциям пользователей
и т.д.)               

Средняя   

   5   

Организация пропускного
режима в помещения,    
размещающие технические
средства системы,      
кабинеты, в которых    
расположены рабочие    
станции пользователей  

9

Внутренний 

Отказ от признания    
результатов экспертизы
электронного документа
одним из представителей
конфликтующих сторон  

Высокая   

   3   

Разработка порядка     
разбора конфликтных    
ситуаций, описывающего 
действия, находящиеся за
пределами установления 
авторства подписи      

10

Внутренний 

Разрешение конфликтов в
суде                  

Средняя   

   5   

Описание досудебного   
разбора конфликтов     

11

Внутренний 

Длительная остановка  
производственного     
процесса по причине   
невозможности         
проведения изъятия    
(выемки) документов   
контролирующими       
органами (ситуация    
рассматривается как   
экстренная для        
организации)          

Средняя   

   5   

Описать порядок        
предоставления         
документов по запросу  
контролирующих органов 

12

Внутренний 

Доступ пользователей к
не принадлежащим им   
объектам Системы      

Высокая   

   3   

Использование системы  
разграничения прав     
доступа, настройка ролей
пользователей          

13

Внутренний 

Утечка персональных   
данных из Системы     

Средняя   

   3   

Заключение соглашения о
неразглашении          
персональных данных с  
физическими лицами,    
данные которых заносятся
в Систему, заключение  
соглашения о           
неразглашении          
персональных данных с  
каждым пользователем   
Системы                

14

Внутренний 

Сопротивление персонала
внедрению и           
использованию ЮЗЭД,   
неприятие новых методов
работы                

Высокая   

   4   

Каждый этап внедрения  
сопровождается         
письменными            
распоряжениями         
руководства Министерства
финансов Пермского края.
Организация обучения   
сотрудников            

15

Внутренний 

Утечка конфиденциальной
информации            

Высокая   

   5   

Назначение персональной
ответственности        
сотрудников            

Таблица 4. Технические риски

N

Тип риска 

       Описание       

Вероятность
реализации

Сущест-
венность
ущерба 

    Меры по снижению   

1

Внешний    

Перехват информации,  
передаваемой по каналам
связи                 

Средняя   

   4   

Защита протокола       
передачи данных между  
клиентами и веб-       
серверами путем        
организации https-     
доступа к web-серверу, 
SSL-шифрование трафика 
между клиентами и веб- 
серверами              

2

Внешний    

Несанкционированный   
доступ к серверам     
Системы               

Средняя   

   5   

Организация VPN-сети;  
расположение серверов в
DMZ;                   
ограничение по портам  
доступа к серверам     
приложений Системы;    
использование          
аппаратного брандмауэра

3

Внутренний 

Нарушение целостности 
данных баз данных     

Высокая   

   5   

Резервное копирование  
средствами используемых
СУБД (средств управления
базами данных)         

4

Внутренний/
внешний    

Утечка ключей ЭП с    
рабочих станций       
пользователей         

Средняя   

   4   

Применение к рабочим   
станциям единой политики
безопасности           

5

Внешний    

Заражение компьютерными
вирусами              

Средняя   

   4   

Организация антивирусной
защиты                 

6

Внутренний 

Нехватка              
производственных      
мощностей серверов    
Системы               

Низкая    

   3   

Анализ планируемой     
нагрузки и наращивание 
мощностей в случае     
необходимости