Приказ от 29.06.2011 г № 54-П

Об утверждении Регламента взаимодействия регионального удостоверяющего центра Самарской области и органов исполнительной власти Самарской области

В соответствии с распоряжением Правительства Самарской области от 8 июня 2011 года N 175-р "О региональном удостоверяющем центре Самарской области" приказываю:
1.Утвердить прилагаемый Регламент взаимодействия регионального удостоверяющего центра Самарской области и органов исполнительной власти Самарской области.
2.Опубликовать настоящий Приказ в средствах массовой информации.
3.Настоящий Приказ вступает в силу со дня его официального опубликования.
И.о. руководителя
департамента информационных технологий
и связи Самарской области
В.Е.КУРОШИН
РЕГЛАМЕНТ
ВЗАИМОДЕЙСТВИЯ РЕГИОНАЛЬНОГО УДОСТОВЕРЯЮЩЕГО ЦЕНТРА
САМАРСКОЙ ОБЛАСТИ И ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ
САМАРСКОЙ ОБЛАСТИ
1.Общие положения
1.1.Настоящий Регламент взаимодействия регионального удостоверяющего центра Самарской области и органов исполнительной власти Самарской области (далее - Регламент) разработан в соответствии с требованиями законодательства Российской Федерации, регулирующего отношения в области использования электронной подписи, и устанавливает порядок взаимодействия регионального удостоверяющего центра Самарской области и органов исполнительной власти Самарской области и их подведомственных учреждений.
1.2.Для целей Регламента используются следующие понятия:
авторизация - установка подлинности лица, получающего доступ к системе или ее отдельным функциям;
аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности;
владелец сертификата ключа проверки электронной подписи (далее - владелец СКП) - физическое лицо, на имя которого региональным удостоверяющим центром Самарской области (далее - УЦ) выдан сертификат ключа подписи и которое владеет соответствующим ключом электронной подписи (далее - ЭП), позволяющим создавать свою ЭП в электронных документах (подписывать электронные документы);
валидность сертификата ключа проверки электронной подписи - положительный результат прохождения сертификатом ключа проверки электронной подписи всех операций проверки;
доверенное лицо - физическое лицо, уполномоченное на выполнение определенных действий в порядке, установленном гражданским законодательством Российской Федерации;
доступ - получение возможности ознакомления с информацией, результатами ее обработки и (или) воздействия на информацию на основе ресурсов автоматизированной информационной системы с использованием программных и (или) технических средств. Доступ осуществляется субъектами доступа, к которым относятся физические лица, а также логические и физические объекты;
идентификация - действия по присвоению субъектам и объектам доступа идентификаторов и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;
идентификатор пользователя УЦ - уникальный в рамках УЦ код пользователя, представляющий собой последовательность символов и позволяющий провести авторизацию пользователя. В УЦ идентификаторы пользователя генерируются на основе данных, взятых из заявления пользователя на регистрацию;
информационная безопасность (безопасность информации) - состояние информации, информационных ресурсов и информационных систем, при котором обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации, подделки, копирования, блокирования и других несанкционированных действий;
информационный обмен - обмен сведениями о лицах, предметах, фактах, событиях и процессах независимо от формы их представления;
информация конфиденциального характера (конфиденциальная информация) - любая информация, доступ к которой ограничен, не содержащая сведений, относящихся к государственной тайне;
инфраструктура открытых ключей (далее - ИОК) - технологическая инфраструктура и сервисы, обеспечивающие безопасность информационных и коммуникационных систем на основе использования криптографических алгоритмов и сертификатов ключей проверки подписей;
квалифицированный сертификат ключа проверки электронной подписи (далее - квалифицированный сертификат) - сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи;
ключ подписи - уникальная последовательность символов, известная владельцу СКП и предназначенная для создания в электронных документах ЭП;
ключ проверки подписи - уникальная последовательность символов, однозначно связанная с ключом подписи, предназначенная для проверки подлинности ЭП в электронном документе и шифрования. При этом ключ проверки подписи не позволяет вычислить ключ подписи;
ключевой носитель (носитель ключа) - носитель информации, содержащий один или несколько ключей;
ключи (ключи ЭП) - совокупность ключа подписи и соответствующего ему ключа проверки подписи;
ключевая информация - специальным образом организованная совокупность ключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока;
компрометация ключа - утрата доверия к тому, что используемые ключи подписи не доступны посторонним лицам;
конфиденциальность информации (ресурсов автоматизированной информационной системы) - состояние информации (ресурсов автоматизированной информационной системы), при котором доступ к ней (к ним) осуществляют только субъекты, имеющие на него право;
момент времени "Т" - значение времени, которое лежит внутри временного интервала, определяемого значениями полей "Время издания списка отозванных сертификатов" и "Время, по которое действует список отозванных сертификатов" списка отозванных сертификатов;
объект доступа - единица ресурса автоматизированной информационной системы, доступ к которой регламентируется правилами разграничения доступа;
организатор - департамент информационных технологий и связи Самарской области;
ключевая фраза для удаленной аутентификации - секретное слово (последовательность символов), известное только пользователю УЦ и сотрудникам УЦ, исполняющим роль оператора (администратора), предназначенное для аутентификации пользователя;
плановая смена ключей - смена ключей с установленной в системе периодичностью, не вызванная компрометацией ключей;
политика безопасности - совокупность документированных управленческих решений, правил и методов, направленных на защиту информации;
пользователь (потребитель услуг) УЦ - юридическое или физическое лицо, участник информационного обмена электронными документами;
пользователь средства криптографической защиты информации - сотрудник, на рабочем месте которого установлено средство криптографической защиты информации;
правила разграничения доступа - правила, регламентирующие условия доступа субъектов доступа к объектам доступа в информационной системе;
проверка подлинности ЭП в электронном документе - положительный результат проверки средством ЭП с использованием сертификата ключа проверки электронной подписи принадлежности ЭП в электронном документе владельцу СКП и отсутствия искажений в подписанном данной ЭП электронном документе;
проверка валидности сертификата ключа проверки электронной подписи - действия, производимые над проверяемым сертификатом ключа проверки электронной подписи для того, чтобы убедиться в возможности его использования. Проверка валидности включает в себя:
проверку целостности сертификата ключа проверки электронной подписи;
проверку срока действия сертификата ключа проверки электронной подписи;
проверку отсутствия сертификата ключа проверки электронной подписи в актуальном списке отозванных сертификатов ключей подписей;
проверку области действия сертификата ключа проверки электронной подписи;
реестр пользователей УЦ - созданный УЦ список зарегистрированных пользователей, содержащий информацию о них;
реестр сертификатов ключей проверки электронных подписей УЦ - созданный УЦ список выданных сертификатов ключей проверки электронной подписи;
репозиторий УЦ - централизованное общедоступное информационное хранилище УЦ, предназначенное для информационного обеспечения пользователей в рамках предоставления им услуг со стороны УЦ. Репозиторий УЦ содержит реестр пользователей УЦ, реестр сертификатов ключей проверки электронных подписей УЦ, список отозванных сертификатов ключей проверки электронных подписей, а также другую информацию;
сертификат ключа проверки электронной подписи (сертификат ключа проверки ЭП) - электронный документ или документ на бумажном носителе, выданный удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающий принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП;
список отозванных сертификатов - электронный документ с ЭП уполномоченного лица УЦ, включающий в себя список серийных номеров сертификатов ключей проверки ЭП, которые на момент времени формирования списка отозванных сертификатов были отозваны или действие которых было приостановлено;
средства криптографической защиты информации (далее - СКЗИ) - средства шифрования, средства имитозащиты, средства ЭП, средства кодирования, средства изготовления ключевых документов (независимо от вида носителя ключевой информации), ключевые документы (независимо от вида носителя ключевой информации);
средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций: создание электронной подписи, проверка электронной подписи, создание ключей подписи и ключей проверки подписи;
субъект доступа - физическое лицо, действие которого регламентируется правилами разграничения доступа;
УЦ - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключа проверки электронной подписи, а также иные функции;
уполномоченное лицо УЦ - администратор, оператор, а также иные сотрудники, назначенные правовым актом руководителя УЦ, на имя которых выданы сертификаты ключей проверки ЭП центра сертификации УЦ;
участники информационных систем - сотрудники органов исполнительной власти Самарской области (далее - ОИВ) и их подведомственных учреждений, сотрудники органов местного самоуправления муниципальных образований в Самарской области;
ЭП - информация в электронной форме, которая присоединена или иным образом связана с другой информацией в электронной форме (подписываемой информацией) и которая используется для определения лица, подписывающего информацию;
электронный документ - документ, в котором информация представлена в электронно-цифровой форме.
1.3.УЦ предоставляет пользователям следующие виды услуг:
формирование ключей подписи и ключей проверки подписей по обращениям пользователей УЦ, запись ключей на ключевой носитель с гарантией уникальности в рамках реестра сертификатов ключей проверки ЭП УЦ и сохранения в тайне ключа подписи;
изготовление сертификатов ключей проверки ЭП в электронной форме с информацией об области их действия;
изготовление сертификатов ключей проверки ЭП на бумажном носителе с информацией об области их действия;
ведение реестра изготовленных сертификатов ключей проверки ЭП пользователей УЦ;
предоставление сертификатов ключей проверки ЭП в электронной форме по запросам пользователей УЦ;
аннулирование (отзыв) сертификатов ключей проверки ЭП по обращениям владельцев СКП;
ведение списка (реестра) аннулированных (отозванных) сертификатов ключей проверки ЭП;
приостановление и возобновление действия сертификатов ключей проверки ЭП по обращениям владельцев СКП;
предоставление пользователям УЦ возможности получить сведения об аннулированных и приостановленных сертификатах ключей проверки ЭП;
проверка подлинности ЭП в документах, представленных в электронной форме, по обращениям пользователей УЦ;
проверка подлинности ЭП уполномоченного лица УЦ в изготовленных им сертификатах ключей проверки ЭП по обращениям пользователей УЦ.
1.4.УЦ наделен полномочиями:
отказать пользователю УЦ в регистрации, получении ключей подписи, изготовлении сертификата ключа проверки ЭП пользователя УЦ, аннулировании (отзыве) сертификата ключа проверки ЭП пользователя УЦ в случае ненадлежащего оформления документов, необходимых для совершения соответствующей процедуры;
отказать пользователю УЦ в проведении проверки подлинности ЭП в случае ненадлежащего оформления заявления о проверке ЭП и отсутствия обязательного приложения к заявлению, а также в случае установления факта поддельности предоставляемых документов;
отказать в аннулировании (отзыве) сертификата ключа проверки ЭП пользователя УЦ в случае, если истек установленный срок действия ключа подписи, соответствующего этому сертификату ключа проверки ЭП;
отказать в приостановлении действия сертификата ключа проверки ЭП пользователя УЦ в случае, если истек установленный срок действия ключа подписи, соответствующего этому сертификату ключа проверки ЭП;
отказать в возобновлении действия сертификата ключа проверки ЭП пользователя УЦ в случае, если истек установленный срок действия ключа подписи, соответствующего этому сертификату ключа проверки ЭП;
аннулировать (отозвать) сертификат ключа проверки ЭП пользователя УЦ в случае установленного факта компрометации соответствующего ключа подписи с уведомлением владельца аннулированного (отозванного) сертификата ключа проверки ЭП и указанием причин;
приостановить действие сертификата ключа проверки ЭП пользователя УЦ в случае подозрения на возникновение факта компрометации соответствующего ключа подписи с уведомлением владельца СКП, действие которого приостановлено, и указанием причин;
отказать в изготовлении сертификата ключа проверки ЭП пользователя УЦ в случае, если использованное пользователем УЦ для формирования запроса на сертификат ключа проверки ЭП СКЗИ не поддерживается УЦ;
аннулировать (отозвать) сертификат ключа проверки ЭП пользователя УЦ в случае его увольнения. Орган исполнительной власти Самарской области обязан уведомить УЦ об увольнении пользователя УЦ в течение 3 (трех) рабочих дней со дня его увольнения. Уведомление оформляется в виде письма на бумажном носителе или в электронном виде посредством автоматизированной информационной системы делопроизводства и документооборота Правительства Самарской области. Доверенное лицо органа исполнительной власти Самарской области при наличии надлежащим образом оформленной доверенности (приложение N 2) обязано предоставить в УЦ ключевой носитель ЭП уволенного пользователя УЦ для проведения процедуры аннулирования (отзыва) сертификата ключа проверки ЭП.
1.5.Пользователь УЦ имеет право:
получать список отозванных сертификатов ключей проверки ЭП, изготовленный УЦ;
получать сертификат ключа проверки ЭП уполномоченного лица УЦ;
применять сертификат ключа проверки ЭП уполномоченного лица УЦ для проверки ЭП уполномоченного лица УЦ в сертификатах ключей проверки ЭП, изготовленных УЦ;
применять сертификат ключа проверки ЭП пользователя УЦ для проверки ЭП электронных документов в соответствии со сведениями, указанными в сертификате ключа проверки ЭП;
применять список отозванных сертификатов ключей проверки ЭП, изготовленный УЦ, для проверки статуса сертификатов ключей проверки ЭП;
обращаться в УЦ за проверкой подлинности ЭП в электронных документах;
обращаться в УЦ за проверкой подлинности ЭП уполномоченного лица УЦ в изготовленных им сертификатах ключей проверки ЭП;
сформировывать ключи подписи и ключи проверки подписи, а также запросы на издание сертификатов ключей проверки ЭП на своем рабочем месте с использованием СКЗИ, поддерживаемого УЦ.
для хранения личного ключа подписи использовать любой носитель, поддерживаемый используемым сертифицированным в соответствии с правилами сертификации Российской Федерации средством криптографической защиты информации;
пользоваться программными средствами, функционирующими в корпоративной сети передачи данных Правительства Самарской области, для передачи в УЦ запроса на выпуск сертификата ключа проверки ЭП в электронном виде;
обращаться в УЦ с заявлением в письменном виде для аннулирования (отзыва) сертификата ключа проверки ЭП в течение срока действия соответствующего ключа подписи;
обращаться в УЦ с заявлением в письменном виде для приостановления действия сертификата ключа проверки ЭП в течение срока действия соответствующего ключа подписи;
обращаться в УЦ с заявлением в письменном виде для возобновления действия сертификата ключа проверки ЭП в течение срока действия соответствующего ключа подписи и срока, на который действие сертификата ключа проверки ЭП было приостановлено;
обращаться в УЦ с заявлением изготовить ключи подписи и ключи проверки подписи и записать их на ключевой носитель;
обращаться в УЦ с заявлением в письменном виде об изготовлении сертификата ключа проверки ЭП;
обращаться в УЦ для получения средств ЭП.
обращаться в УЦ с заявлением в письменном виде для формирования ключей подписи и изготовления сертификата ключа проверки ЭП и записи их на ключевой носитель в случае плановой смены сертификата ЭП либо при изменениях идентифицирующей информации о пользователе УЦ.
1.6.УЦ обязан:
использовать для изготовления ключа подписи уполномоченного лица УЦ и формирования ЭП только сертифицированные в соответствии с правилами сертификации Российской Федерации СКЗИ;
использовать ключ подписи уполномоченного лица УЦ только для подписи издаваемых им сертификатов ключей проверки ЭП пользователей УЦ и списков отозванных сертификатов;
принимать меры по защите ключа подписи уполномоченного лица УЦ от несанкционированного доступа;
синхронизировать по времени все свои программные и технические средства обеспечения деятельности;
обеспечивать регистрацию пользователей УЦ в соответствии с порядком регистрации, изложенным в Регламенте;
обеспечивать уникальность регистрационной информации пользователей УЦ, используемой для идентификации владельцев СКП;
выполнять процедуру генерации ключей и их запись на носитель только с использованием сертифицированного в соответствии с правилами сертификации Российской Федерации СКЗИ;
обеспечивать сохранение в тайне изготовленного ключа подписи пользователя;
обеспечивать изготовление сертификата ключа проверки ЭП зарегистрированного пользователя УЦ в соответствии с порядком, определенным в Регламенте;
обеспечивать уникальность серийных номеров изготавливаемых сертификатов ключей проверки ЭП пользователей УЦ;
обеспечивать уникальность значений ключей проверки подписей в изготовленных сертификатах ключей проверки ЭП пользователей УЦ;
аннулировать (отозвать) сертификат ключа проверки ЭП по заявлению пользователя УЦ в течение 1 рабочего дня с момента его подачи, занести сведения об аннулированном (отозванном) сертификате в список отозванных сертификатов с указанием даты и времени занесения и причины отзыва;
приостановить действие сертификата ключа проверки ЭП по заявлению пользователя УЦ в течение 1 рабочего дня с момента его подачи, занести сведения о приостановленном сертификате в список отозванных сертификатов с указанием даты и времени занесения и признака приостановления;
возобновить действие ключа проверки подписи по заявлению пользователя УЦ (в случае поступления заявления в период срока, на который действие сертификата было приостановлено) в течение 1 рабочего дня с момента его подачи, исключить сведения о сертификате, действие которого было приостановлено, из списка отозванных сертификатов;
аннулировать (отозвать) сертификат ключа проверки ЭП в случае, если истек установленный срок, на который действие данного сертификата было приостановлено.
приостановить действие сертификата ключа проверки ЭП в случае информирования УЦ пользователем УЦ о факте компрометации по телефонным каналам связи с использованием ключевой фразы для удаленной аутентификации или в виде электронного сообщения, подписанного скомпрометированным ключом подписи, о наступлении события, трактуемого как компрометация.
1.7.Пользователь УЦ обязан:
хранить тайне личный ключ подписи, принимать все возможные меры для предотвращения его потери, раскрытия, искажения и несанкционированного использования;
не применять личный ключ подписи, если пользователю стало известно, что этот ключ используется или использовался ранее другими лицами;
применять личный ключ подписи только в соответствии с областями действия, указанными в соответствующем данному ключу подписи сертификате ключа проверки ЭП;
немедленно обратиться в УЦ с заявлением об аннулировании (отзыве) сертификата ключа проверки ЭП в случае потери, раскрытия, искажения личного ключа подписи, а также в случае, если пользователю УЦ стало известно, что этот ключ используется или использовался ранее другими лицами;
не использовать личный ключ подписи, связанный с сертификатом ключа проверки ЭП, заявление об аннулировании (отзыве) которого подано в УЦ, в течение времени, исчисляемого с момента времени подачи заявления на аннулирование (отзыв) сертификата до момента времени официального уведомления пользователя об аннулировании (отзыве) сертификата;
не использовать личный ключ подписи, связанный с сертификатом ключа проверки ЭП, заявление о приостановлении действия которого подано в УЦ, в течение времени, исчисляемого с момента времени подачи заявления на приостановление действия сертификата до момента времени официального уведомления пользователя УЦ о приостановлении действия сертификата;
не использовать личный ключ подписи, связанный с сертификатом ключа проверки ЭП, который аннулирован (отозван) или действие его приостановлено;
представить регистрационную и идентифицирующую информацию в объеме, определенном положениями Регламента;
хранить в тайне предоставленную ключевую фразу для удаленной аутентификации в течение срока действия ключевой фразы для удаленной аутентификации;
в случае изменения регистрационной и (или) идентифицирующей информации, содержащейся в сертификате ключа проверки ЭП, обратиться в УЦ для переиздания ключа подписи и сертификата ключа проверки ЭП с заявлениями, оформленными в соответствии с приложениями N 1 и N 7 к Регламенту.
не использовать личный ключ подписи, связанный с сертификатом ключа проверки ЭП, который содержит идентифицирующую информацию о пользователе УЦ, не соответствующую действительности (в случае изменения идентифицирующей информации о пользователе УЦ).
1.8.Основанием для возникновения ответственности УЦ являются следующие случаи:
внесение в сертификат ключа проверки ЭП сведений, отличных от указанных в заявлении на его получение;
несвоевременная публикация списков отозванных или приостановленных сертификатов ключей проверки ЭП;
несвоевременное внесение сертификата ключа проверки ЭП в реестр сертификатов ключей проверки ЭП (более суток);
компрометация ключа подписи УЦ;
компрометация ключа подписи пользователя УЦ по вине УЦ;
отказы и сбои технических и программных средств, возникшие по вине УЦ, ограничивающие применение сертификата ключа проверки ЭП;
ошибочные неумышленные действия персонала УЦ;
несанкционированные действия персонала УЦ.
1.9.УЦ не несет ответственности за неисполнение либо ненадлежащее исполнение своих обязательств по настоящему Регламенту, а также возникшие в связи с этим убытки в случаях:
если УЦ обоснованно полагался на сведения, указанные в заявлениях пользователя УЦ;
подделки, подлога либо иного искажения пользователем УЦ либо третьими лицами информации, содержащейся в заявлении либо иных документах, представленных одной стороне от имени другой стороны.
УЦ не несет ответственности за неисполнение своих обязательств по не зависящим от него и не контролируемым им причинам, а также в иных случаях нарушения пользователями УЦ положений Регламента.
1.10.УЦ и пользователь УЦ несут ответственность за ущерб вследствие передачи третьим лицам своей ключевой информации.
2.Регистрация и изготовление ключей ЭП и сертификатов ключей проверки ЭП пользователей УЦ
2.1.Регистрация пользователей УЦ происходит только в централизованном режиме и осуществляется уполномоченным лицом УЦ, исполняющим роль оператора (администратора), на основании заявления на регистрацию пользователя УЦ (приложение N 1) при личном прибытии лица в УЦ либо доверенного лица при наличии надлежащим образом оформленной доверенности на осуществление регистрации (приложение N 2).
2.2.Уполномоченное лицо УЦ, исполняющее роль оператора (администратора), проводит процедуру аутентификации путем установления личности по паспорту.
2.3.После положительной аутентификации лица, проходящего процедуру регистрации, уполномоченное лицо УЦ, исполняющее роль оператора (администратора), проверяет указанные в заявлении данные.
2.4.При принятии положительного решения уполномоченное лицо УЦ, исполняющее роль оператора (администратора), выполняет регистрационные действия по занесению регистрационной информации в реестр УЦ и изготавливает ключи ЭП и сертификат ключа проверки ЭП. В случае отказа в регистрации заявитель имеет право забрать заявление на регистрацию пользователя УЦ вместе с приложениями.
2.5.Утратил силу
2.6.Ключевой носитель, содержащий изготовленные ключи ЭП, передается владельцу (заявителю). Факт выдачи ключей фиксируется в журнале поэкземплярного учета ключевых документов.
2.7.По окончании процедуры регистрации зарегистрированному пользователю УЦ выдаются:
ключ ЭП, записанный на ключевой носитель;
сертификат ключа проверки ЭП в электронной форме, соответствующий ключу подписи;
сертификат ключа проверки ЭП на бумажном носителе;
памятка пользователя УЦ (приложение N 4) с ключевой фразой для удаленной аутентификации;
памятка по соблюдению требований по использованию и хранению носителей ЭП и ключевой информации (приложение N 11).
2.8.Изготовление сертификатов пользователей УЦ производится на основании заявления пользователя УЦ, содержащего сведения, необходимые для идентификации владельца СКП. Заявление на изготовление ключа ЭП и сертификата ключа проверки ЭП заполняется при помощи средств электронно-вычислительной техники или от руки разборчиво (печатными буквами) чернилами черного или синего цвета и подается в УЦ при личном прибытии пользователя (приложение N 5) либо доверенного лица с надлежащим образом оформленной доверенностью (приложение N 2).
2.9.Изготовление ключей ЭП и сертификата ключа проверки ЭП юридического лица (информационной системы) производится на основании заявления, содержащего сведения, необходимые для идентификации владельца СКП. Заявление на изготовление ключа ЭП и сертификата ключа проверки ЭП юридического лица (информационной системы) (приложение N 9) заполняется при помощи средств электронно-вычислительной техники или от руки разборчиво (печатными буквами) чернилами черного или синего цвета и подается в УЦ при личном прибытии уполномоченного лица с надлежащим образом оформленной доверенностью (приложение N 10) на получение сертификата ключа проверки ЭП для информационной системы.
3.Сертификаты ключей проверки подписей
3.1.В системе электронного документооборота (далее - СЭД) принимаются и признаются квалифицированные сертификаты, изданные УЦ, в составе и формате, определяемом УЦ.
3.2.Сертификат ключа проверки ЭП признается изданным УЦ, если проверена подлинность ЭП уполномоченного лица УЦ с использованием средства ЭП и сертификата ключа проверки подписи уполномоченного лица УЦ.
3.3.Идентификационные данные, занесенные в поле "Субъект" сертификата ключа проверки ЭП, однозначно идентифицируют владельца СКП и соответствуют идентификационным данным владельца СКП, зарегистрированным в реестре пользователей УЦ.
3.4.Для определения статуса сертификата ключа проверки ЭП используется список отозванных сертификатов, издаваемый и публикуемый УЦ в порядке и с периодичностью, определяемой УЦ. Структура и формат списка отозванных сертификатов определятся регламентом УЦ.
3.5.Местом публикации списков отозванных сертификатов считается адрес информационного ресурса, определенный в расширении "Точки распространения списков отзыва" сертификата ключа проверки подписи.
4.Условия равнозначности ЭП и собственноручной подписи
4.1.ЭП в электронном документе равнозначна собственноручной подписи владельца СКП на момент времени "Т" при одновременном соблюдении следующих условий:
4.1.1.На момент формирования ЭП электронного документа выполнены условия:
сертификат ключа проверки ЭП уполномоченного лица удостоверяющего центра является действительным;
сертификат ключа проверки ЭП, относящийся к ЭП, действителен, и его серийный номер не содержится в актуальном на указанный момент времени списке отозванных сертификатов;
ключ подписи, соответствующий сертификату ключа проверки ЭП, действителен;
ключ проверки подписи занесен в реестр ключей проверки подписи УЦ;
4.1.2.На момент наступления времени "Т" выполнены условия:
сертификат ключа проверки ЭП уполномоченного лица УЦ является действительным;
сертификат ключа проверки ЭП, относящийся к ЭП, действителен, и его серийный номер не содержится в актуальном на указанный момент времени списке отозванных сертификатов;
4.1.3.Проверена подлинность ЭП уполномоченного лица УЦ в сертификате ключа проверки ЭП, относящемся к ЭП электронного документа;
4.1.4.Проверена подлинность ЭП электронного документа на сертификате, относящемся к данной ЭП;
4.1.5.Формирование ЭП выполнено без нарушения условий Регламента.
4.2.ЭП в электронном документе равнозначна собственноручной подписи владельца СКП на бумажном носителе, заверенном печатью, при одновременном соблюдении следующих условий:
4.2.1.Выполнены все условия равнозначности ЭП собственноручной;
4.2.2.Документ данного типа на бумажном носителе должен быть заверен печатью;
4.2.3.Сертификат ключа проверки ЭП действует на определенный момент времени (действующий сертификат).
4.3.Сертификат ключа проверки ЭП является действующим на определенный момент времени при одновременном соблюдении следующих условий:
наступил момент времени начала действия сертификата ключа проверки ЭП;
срок действия сертификата ключа проверки ЭП не истек;
сертификат ключа проверки ЭП не аннулирован (отозван), и действие его не приостановлено;
проверена подлинность ЭП уполномоченного лица УЦ в данном сертификате;
соответствующий ключ проверки подписи занесен в реестр ключей проверки подписей УЦ.
1.4.Ключ подписи действует на определенный момент времени (действующий ключ подписи), если:
наступил момент времени начала действия ключа подписи;
срок действия ключа подписи не истек;
сертификат ключа проверки ЭП, соответствующий данному ключу подписи, действует на данный момент времени.
1.5.Актуальным на определенный момент времени "Т" признается список отозванных сертификатов, являющийся последним изданным списком отозванных сертификатов.
5.Процедура проверки ЭП с использованием сертификата ключа проверки подписи
5.1.Проверка ЭП в электронном документе осуществляется УЦ по обращению пользователей УЦ на основании заявления о проверке ЭП в электронном документе в простой письменной форме (приложение N 6).
5.2.Заявление о проверке ЭП в электронном документе подается заявителем в УЦ лично либо заказным письмом по почте.
Ответственность за достоверность указания даты и времени формирования ЭП в электронном документе возлагается на заявителя.
5.3.Заявление должно содержать следующую информацию:
дата и время подачи заявления;
идентификационные данные субъекта, в сертификате которого необходимо проверить ЭП уполномоченного лица УЦ;
серийный номер сертификата ключа проверки ЭП, в котором необходимо подтвердить ЭП уполномоченного лица УЦ.
Обязательным приложением к заявлению на проверку подлинности ЭП уполномоченного лица в сертификате ключа проверки ЭП является носитель, содержащий файл сертификата ключа проверки ЭП, подвергающегося процедуре проверки.
5.4.Срок рассмотрения заявления о проверке ЭП в электронном документе составляет 1 рабочий день с момента его поступления в УЦ.
5.5.В случае отказа от процедуры проверки ЭП в электронном документе заявителю возвращается заявление о проверке ЭП в электронном документе с резолюцией уполномоченного лица УЦ и указанием причины отказа.
5.6.В случае принятия положительного решения по заявлению заявителю предоставляется ответ в письменной форме, заверенный собственноручной подписью уполномоченного лица УЦ и печатью УЦ.
Ответ должен содержать:
результат проверки (экспертизы) соответствующим сертифицированным средством ЭП с использованием сертификата ключа проверки ЭП принадлежности ЭП в электронном документе владельцу СКП и отсутствия искажений в подписанном данной ЭП электронном документе;
детальный отчет о выполненной проверке (экспертизе).
5.7.Детальный отчет о выполненной проверке (экспертизе) включает следующие обязательные компоненты:
время и место проведения проверки (экспертизы);
основания для проведения проверки (экспертизы);
сведения об эксперте или комиссии экспертов (фамилия, имя, отчество, образование, специальность, стаж работы, ученая степень и (или) ученое звание, занимаемая должность), которым поручено проведение проверки (экспертизы);
вопросы, поставленные перед экспертом или комиссией экспертов;
объекты исследований и материалы по заявлению, представленные эксперту для проведения проверки (экспертизы);
содержание и результаты исследований с указанием примененных методов (в том числе проведенных криптографических преобразований);
оценка результатов исследований, выводы по поставленным вопросам и их обоснование;
иные сведения в соответствии с действующим законодательством Российской Федерации в области применения ЭП.
Материалы и документы, иллюстрирующие заключение эксперта или комиссии экспертов, прилагаются к детальному отчету и служат его составной частью.
Детальный отчет составляется в письменном виде и заверяется собственноручной подписью эксперта или членов комиссии экспертов.
6.Процесс разрешения споров и разбора конфликтных ситуаций
6.1.Сторонами в споре (конфликтной ситуации) в случае его возникновения считаются:
уполномоченное лицо УЦ и пользователи УЦ;
два и более пользователей УЦ.
6.2.При возникновении споров (конфликтных ситуаций) стороны предпринимают все необходимые меры для урегулирования спорных вопросов (конфликтных ситуаций), которые могут возникнуть в рамках Регламента, путем переговоров.
6.3.Инициатором процесса разрешения спора (конфликтной ситуации) может быть любая из сторон (далее - инициатор). Процесс разрешения спора (конфликтной ситуации) заключается в:
направлении в УЦ заявления инициатора о разногласиях с подробным изложением причин разногласий и предложением создать экспертную комиссию. До подачи заявления инициатору рекомендуется убедиться в целостности установленных на его технических средствах программного обеспечения системы электронного юридически значимого документооборота, средств ЭП, а также отсутствии несанкционированных действий со стороны своего персонала и третьих лиц;
формировании УЦ экспертной комиссии;
коллегиальном разборе конфликтной ситуации;
подготовке заключения (вынесении решения) по спору (конфликтной ситуации).
6.4.Для разрешения спора (разбора конфликтной ситуации) правовым актом УЦ формируется экспертная комиссия в составе:
сторон;
представителей УЦ.
6.5.Участники экспертной комиссии в течение 3-х рабочих дней после получения официального письма от УЦ соответствующим правовым актом определяют своих представителей для работы в экспертной комиссии. УЦ определяет время и место заседания экспертной комиссии и официально уведомляет об этом ее членов. Возглавляет и организует работу экспертной комиссии представитель УЦ. В случае неявки членов экспертной комиссии на ее заседание работа комиссии осуществляется без них.
6.6.Предметом экспертизы являются следующие проверки:
валидности сертификата ключа проверки электронной подписи в электронном документе;
авторства и неизменности самого электронного документа;
корректности работы средств ЭП.
В ходе работы экспертной комиссии каждая сторона обязана доказать, что она исполнила все требования по применению ЭП и средств ЭП в СЭД надлежащим образом.
6.7.Инициатор представляет экспертной комиссии следующие документы:
заявление о разногласии;
файл, содержащий электронный документ, к которому применен алгоритм вычисления ЭП;
файл, содержащий сертификат ключа проверки ЭП, соответствующий ЭП;
файл, содержащий сертификат ключа проверки ЭП уполномоченного лица УЦ, являющегося издателем сертификата ключа проверки ЭП для ЭП, проставленной в электронном документе.
6.8.Заявление о разногласии должно содержать:
дату и номер заявления;
наименование предмета разногласий и участвующих сторон;
полные почтовые адреса и банковские реквизиты сторон;
суть заявленных разногласий и оценку ущерба, понесенного инициатором;
обстоятельства возникновения разногласий и сведений о подтверждающих их доказательствах;
нормы законодательных и иных правовых актов, на основании которых заявляется о возникновении разногласий.
6.9.Подлинность ЭП сертификата считается установленной:
при положительном результате проверки ЭП сертификата;
при положительном результате верификации цепочки сертификатов;
при отсутствии использовавшегося сертификата ключа проверки ЭП в списке аннулированных (отозванных) сертификатов.
6.10.По результатам анализа инициатору в письменной форме представляется заключение экспертной комиссии. В заключении экспертной комиссии должны быть указаны:
дата и место принятия решения;
состав и полномочия членов экспертной комиссии;
официальные полные наименования сторон, фамилии, имена, отчества и должности их представителей;
сущность разногласий;
заявления и объяснения лиц, участвовавших в рассмотрении дела;
обстоятельства дела, установленные экспертной комиссией;
доказательства, на основании которых принято решение;
нормы законодательства и иных правовых актов в сфере применения ЭП, которыми руководствовалась экспертная комиссия при принятии решения;
решение по существу проверки условий равнозначности ЭП в электронном документе, авторства и неизменности самого электронного документа по заявленным разногласиям;
оценка корректности работы средств ЭП;
порядок информирования заинтересованных сторон о результатах.
6.11.Заключение экспертной комиссии используется сторонами по своему усмотрению. Если в заключении экспертной комиссии имеется решение по использованию и обеспечению функционирования технологии применения ЭП в СЭД, оно исполняется неукоснительно в срок, указанный в заключении экспертной комиссии. Если срок исполнения в заключении экспертной комиссии не указан, оно подлежит немедленному исполнению.
6.12.В случае несогласия с заключением экспертной комиссии стороны имеют право урегулировать возникший спор, связанный с применением ЭП, в судебном порядке в соответствии с законодательством Российской Федерации.
7.Аннулирование (отзыв), приостановление и возобновление действия сертификатов ключей проверки подписей
7.1.УЦ обязан аннулировать (отозвать), приостановить или возобновить действие сертификата ключа проверки ЭП по заявлению его владельца (приложение N 7) либо доверенного лица при наличии надлежащим образом оформленной доверенности (приложение N 2), за исключением случаев, предусмотренных пунктом 1.4 Регламента.
7.2.Заявление заполняется при помощи средств электронно-вычислительной техники или от руки разборчиво (печатными буквами) чернилами черного или синего цвета и подается заявителем в УЦ лично либо доверенным лицом при наличии надлежащим образом оформленной доверенности и представляет собой документ на бумажном носителе, заверенный собственноручной подписью заявителя и печатью, а также носитель, содержащий сертификат ключа проверки ЭП, соответствующий заявлению.
7.3.Срок рассмотрения заявления составляет 1 рабочий день с момента его поступления в УЦ.
7.4.УЦ обязан в течение суток с момента подачи заявления занести сведения о любых действиях с сертификатом в список отозванных сертификатов с указанием даты и времени занесения.
7.5.УЦ обязан аннулировать (отозвать), приостановить или возобновить действие сертификата ключа проверки ЭП юридического лица (информационной системы) на основании заявления (приложение N 12), поданного уполномоченным лицом с надлежащим образом оформленной доверенностью (приложение N 10). Заявление подается в УЦ в письменном виде.
8.Компрометация ключа. Действия при компрометации ключа
8.1.К событиям, связанным с компрометацией ключей, относятся:
утрата ключевых дискет или иных носителей ключа;
утрата ключевых дискет или иных носителей ключа с последующим обнаружением;
увольнение сотрудников, имевших доступ к ключевой информации;
возникновение подозрений об утечке информации или ее искажении в системе конфиденциальной связи;
нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура опечатывания сейфов;
утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;
утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;
доступ посторонних лиц к ключевой информации;
случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями, содержащими ключевую информацию (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника).
8.2.В случае наступления событий, указанных в п. 8.1, пользователь УЦ обязан:
прекратить подписание электронных документов скомпрометированным ключом;
незамедлительно сообщить о факте компрометации в УЦ по телефонным каналам связи с использованием устного пароля или в виде электронного сообщения, подписанного скомпрометированным ключом подписи, о наступлении события, трактуемого как компрометация.
8.3.Скомпрометированные ключи ЭП или ключ подписи, которому соответствует сертификат ключа проверки ЭП, срок действия которого истек, уничтожаются пользователем УЦ самостоятельно с составлением Акта уничтожения ключевых документов (приложение N 8) и передачей его в УЦ. Перед уничтожением необходимо расшифровать все данные, зашифрованные для этого ключа подписи. Пользователь УЦ имеет право сохранить ключ подписи, приняв меры защиты, аналогичные мерам защиты действующих ключей подписи.
9.Аутентификация зарегистрированного пользователя УЦ
9.1.Очная аутентификация зарегистрированного пользователя УЦ выполняется по паспорту, предъявляемому лично.
9.2.Удаленная аутентификация зарегистрированного пользователя УЦ предназначена для идентификации зарегистрированного пользователя УЦ посредством телефонной связи.
9.3.Удаленная аутентификация зарегистрированного пользователя УЦ выполняется по ключевой фразе для удаленной аутентификации.
9.4.Аутентификация зарегистрированного пользователя УЦ по сертификату ключа проверки ЭП выполняется путем выполнения процедуры проверки ЭП с использованием сертификата ключа проверки ЭП.
10.Смена ключей уполномоченного лица УЦ
10.1.Процедура плановой смены ключей уполномоченного лица УЦ осуществляется в следующем порядке:
уполномоченное лицо УЦ формирует новый ключ подписи и соответствующий ему ключ проверки подписи;
уполномоченное лицо УЦ изготавливает новый сертификат ключа проверки ЭП и подписывает его ЭП с использованием нового ключа подписи.
10.2.Старый ключ подписи уполномоченного лица УЦ не изымается из обращения до тех пор, пока не истекут сроки действия всех сертификатов ключей проверки ЭП, выданных с его использованием, и применяется для формирования списков отозванных сертификатов в электронной форме, изданных УЦ в период действия старого ключа проверки ЭП уполномоченного лица УЦ.
10.3.После выполнения процедуры плановой смены ключей ЭП уполномоченного лица УЦ пользователи уведомляются о факте появления нового сертификата ключа проверки ЭП уполномоченного лица УЦ.
10.4.Внеплановая смена ключей выполняется в случае компрометации или появления явной угрозы компрометации ключа подписи уполномоченного лица УЦ.
10.5.Процедура внеплановой смены ключей уполномоченного лица УЦ выполняется в порядке, определенном процедурой плановой смены ключей уполномоченного лица УЦ. После выполнения процедуры внеплановой смены ключей ЭП уполномоченного лица УЦ пользователи УЦ уведомляются о факте появления нового сертификата ключа проверки подписи ЭП уполномоченного лица УЦ. После этого сертификаты ключей подписей пользователей УЦ изымаются из обращения путем приостановки их действия и занесением в список отозванных сертификатов.
11.Сроки действия ключей уполномоченного лица УЦ и пользователей УЦ
11.1.Срок действия ключа подписи уполномоченного лица УЦ составляет максимально допустимый срок действия, установленный для применяемого средства обеспечения деятельности удостоверяющего центра и для средства ЭП, с использованием которого данный ключ подписи был сформирован.
Начало периода действия ключа подписи уполномоченного лица УЦ исчисляется с даты и времени его генерации.
11.2.Срок действия сертификата ключа проверки ЭП, соответствующего ключу подписи уполномоченного лица УЦ, составляет 6 лет.
11.3.Срок действия ключа подписи пользователя УЦ составляет 1 год.
Начало периода действия ключа подписи пользователя исчисляется с даты и времени начала действия соответствующего сертификата ключа проверки ЭП.