Администрация ямало-ненецкого автономного округа постановление от 3 апреля 2008 г. N 146-а об утверждении положения об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте ямало-ненецкого автономного округа

Вид материала

Документы

Подобный материал:

• Принят Государственной Думой Ямало-Ненецкого автономного округа 24 ноября 2004 года, 1021.39kb.
• Правительство ямало-ненецкого автономного округа постановление от 10 июня 2010, 2617.89kb.
• Проект правительство ямало-ненецкого автономного округа постановление, 1284.99kb.
• Мониторинг практики применения Закона Ямало-Ненецкого автономного округа от 5 апреля 2010, 42.93kb.
• Администрация ямало-ненецкого автономного округа постановление, 91.02kb.
• Администрация ненецкого автономного округа постановление от 29 декабря 2007 г. N 282-п, 301.66kb.
• Окружная целевая программа "Развитие малого и среднего предпринимательства в Ямало-Ненецком, 868.79kb.
• Законодательное собрание ямало-ненецкого автономного округа постановление, 196.13kb.
• Бекова Микаиля Бексултановича, действующего на основании Положения о департаменте, 198.02kb.
• Окружная долгосрочная целевая программа "обеспечение продовольственной безопасности, 971.42kb.

6.2. При наступлении любого из перечисленных в пункте 6.1 настоящего Положения событий Пользователь или Администратор безопасности Абонентского пункта Участника Системы обязан немедленно прекратить на своем рабочем месте обработку конфиденциальной информации, а также связь с другими Пользователями Системы и сообщить о факте компрометации (или о предполагаемом факте компрометации) РУЦ ЯНАО.

Сообщение о компрометации ключевой информации должно быть оперативно передано в РУЦ ЯНАО по телефону экстренной связи (телефон указан в договоре на обслуживание) и содержать реквизиты Пользователя, ключи которого подверглись компрометации (или подозреваются в компрометации), в дальнейшем в РУЦ ЯНАО должно быть представлено письменное уведомление.

6.3. Администратор безопасности Участника обязан в течение 1 суток с момента обнаружения факта компрометации ключевой информации письменно уведомить РУЦ ЯНАО о компрометации криптографического ключа с указанием наименования ключа, реквизитов Пользователя, на которого данный ключ зарегистрирован, а также даты, времени, предполагаемой причины компрометации (подозрения на компрометацию) данного ключа.

Уведомление должно быть подписано уполномоченным должностным лицом Участника (Руководителем) и заверено печатью организации.

Данное письменное уведомление о компрометации ключевой информации Участника регистрируется и хранится в РУЦ ЯНАО наравне с дубликатами сертификатов криптографических ключей Пользователей, выведенными из действия, на случай разбора конфликтных ситуаций.

Примечание.

Уведомление о компрометации ключевой информации может быть отправлено Пользователем или Администратором безопасности Участника в РУЦ ЯНАО и в электронном виде, но при этом оно должно быть обязательно подписано ЭЦП соответствующего должностного лица, в том числе и с использованием скомпрометированного ключа ЭЦП.


6.4. После поступления от Пользователя или Администратора безопасности абонентского пункта по телефону экстренной связи или в электронной форме сообщения о компрометации действующих криптографических ключей должностные лица РУЦ ЯНАО обязаны немедленно перепроверить полученную информацию и в случае ее подтверждения обеспечить прекращение обмена информацией и осуществления электронных расчетов с Участником, чьи ключи оказались скомпрометированными (или подозреваются в компрометации), путем его отключения от Системы.

Полученное РУЦ ЯНАО телефонное или электронное сообщение о компрометации (или подозрении на компрометацию) действующей ключевой информации Пользователя должно быть зарегистрировано с указанием даты и времени его поступления, реквизитов Пользователя и должностного лица, от которого это сообщение поступило. Запись в журнале о происшедшем и принятых мерах уполномоченное должностное лицо РУЦ ЯНАО заверяет своей подписью.

6.5. Сразу после уведомления РУЦ ЯНАО о факте компрометации (или о предполагаемом факте компрометации) и принятии мер к прекращению обработки конфиденциальной информации связи с использованием скомпрометированных (подозреваемых в компрометации) криптографических ключей Администратор безопасности Абонентского пункта Участника подает рапорт (служебную записку) Руководителю своего предприятия (организации) о случившемся и принимает участие в служебном расследовании, организуемом Руководителем. В расследовании также принимает участие уполномоченное должностное лицо РУЦ ЯНАО, ответственное за информационную безопасность.

Результатом расследования должно стать отнесение или неотнесение случившегося события к факту безусловной компрометации действующих ключей. Акт расследования подписывается всеми членами комиссии и направляется Участнику Системы, а также в РУЦ ЯНАО.

6.6. При установлении факта безусловной компрометации действующих ключей должностными лицами Участника Системы и РУЦ ЯНАО должны быть приняты следующие меры:

скомпрометированные закрытые ЭЦП и шифрования выводятся из действия и уничтожаются установленным порядком, а их сертификаты отзываются;

РУЦ ЯНАО вносит соответствующие изменения в Список отозванных сертификатов, а также в Реестр действующих сертификатов ключей подписей Пользователей и/или Справочник сертификатов открытых ключей шифрования Пользователей и обеспечивает их публикацию установленным порядком.

6.7. Участник обязан обеспечить изъятие из обращения скомпрометированных криптографических ключей не позднее чем через 1 сутки с момента вывода этих ключей из действия и в течение 10 дней провести их уничтожение.

6.8. Для восстановления юридически значимого электронного документооборота и/или конфиденциальной связи после компрометации ключевой информации Пользователь должен получить и зарегистрировать в РУЦ ЯНАО новые индивидуальные криптографические ключи. Порядок смены описан в настоящем Положении.


VII. Порядок действия и смены пароля


7.1. Информационные и вычислительные ресурсы Абонентских пунктов Системы, установленные у Участников, должны быть защищены от несанкционированного доступа сертифицированными средствами защиты информации.

Пароль входа в технические средства Системы является конфиденциальной информацией и должен храниться в тайне. Должностные лица РУЦ ЯНАО и Участников несут персональную ответственность за обеспечение его сохранности.

В процессе эксплуатации защищенных технических средств Системы, включая Абонентские пункты, категорически запрещается:

осуществлять несанкционированное копирование паролей Пользователей на любые носители, включая ГМД, листы бумаги, записные книжки, внутренние и внешние поверхности технических средств, мебели и т.п.;

передавать пароли лицам, не допущенным к ним.

7.2. В целях обеспечения безопасности конфиденциальной информации, циркулирующей в Системе, должностные лица РУЦ ЯНАО, Администраторы безопасности Абонентских пунктов Участников и Пользователи Системы в процессе работы должны выполнять требования эксплуатационных документов на сертифицированные средства защиты информации.

7.3. Порядок генерации, смены и использования паролей Пользователей Системы определяется утвержденной Инструкцией по организации парольной защиты автоматизированной системы Учреждения.


VIII. Системное время


8.1. В целях согласования работы РУЦ ЯНАО, Участников и Пользователей в Системе устанавливается единое время, называемое Системным временем СЮЗЗЭД ЯНАО.

8.2. Системное время соответствует декретному времени г. Салехарда.

8.3. РУЦ ЯНАО несет ответственность за соответствие системного времени программно-аппаратных средств Удостоверяющего центра Системному времени СЮЗЗЭД ЯНАО.

8.4. Синхронизация времени Абонентского пункта Участника с Системным временем СЮЗЗЭД ЯНАО обеспечивается должностными лицами Участника.

8.5. Системное время СЮЗЗЭД ЯНАО считается эталонным и принимается во внимание при разборе конфликтных ситуаций в случае расхождения времени Абонентского пункта Участника со временем аппаратно-технических средств других Участников Системы.

8.6. При выполнении действий с применением ЭЦП Участником (при наличии установленного у него дополнительного программного обеспечения) возможно применение службы штампа времени и онлайновой проверки статуса сертификата.


IX. Порядок использования Системы


Технология электронного документооборота в Системе включает в себя подготовку имеющих юридическую силу электронных документов (в том числе и платежных электронных документов), обеспечение их защиты от утечки, хищения, искажения и подделки, передачу документов по каналам связи в защищенном виде, проверку их подлинности и при необходимости изготовление их подлинников (оригиналов) на бумажном носителе.

9.1. Подготовка электронных документов.

Подготовка Подлинника (оригинала) электронного документа включает в себя следующие этапы:

подготовка текста электронного документа с идентифицирующими его реквизитами (наименование предприятия, наименование документа, дата и время создания документа, реквизиты лиц, подписавших документ и т.д.);

подписание электронного документа ЭЦП Пользователя.

ЭЦП электронного документа, как правило, записывается в конец электронного документа и составляет с ним единый компьютерный файл, но может быть представлена и отдельным файлом.

Каждый электронный документ может быть подписан ЭЦП нескольких Пользователей.

9.2. Защита электронных документов в процессе их передачи по общедоступным каналам связи.

Электронный документ, содержащий конфиденциальную информацию, должен передаваться только после его шифрования на действующих индивидуальных открытых ключах шифрования Пользователя, которому он предназначен.

После обмена информацией Пользователи проводят расшифровывание полученных шифрованных электронных документов и проверяют подлинность электронных цифровых подписей под ними.

В случае нерасшифровывания поступившего сообщения или получении отрицательного результата при проверке электронной цифровой подписи поступившего документа о случившемся должна быть немедленно оповещена передающая Сторона и предприняты меры, предусмотренные разделом VI настоящего Положения.

9.3. Проверка подлинности электронного документа.

Для проверки подлинности поступивших из каналов связи электронных документов используется процедура Подтверждение подлинности электронной цифровой подписи в электронном документе, которая является составной частью программного обеспечения Абонентского пункта Системы. Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат вычисления соответствующей криптографической процедуры, осуществленного сертифицированным средством ЭЦП над открытым текстом поступившего электронного документа, его электронной цифровой подписью и сертификатом ключа подписи Пользователя, подписавшего этот документ. Результатом проверки ЭЦП является сообщение криптографической процедуры проверки о верности или нарушении ЭЦП, а также о наличии или отсутствии искажений в документе. Сообщение криптографической процедуры может быть распечатано в виде протокола проверки.

9.4. Основное условие признания равнозначности ЭЦП собственноручной подписи исполнителя.

ЭЦП в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

сертификат ключа подписи, относящийся к этой ЭЦП, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

подтверждена подлинность ЭЦП в электронном документе;

электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

Электронный документ, подписанный несколькими Пользователями, признается подлинным только тогда, когда ЭЦП всех Пользователей, подписавших документ, признаны равнозначными собственноручным подписям этих Пользователей.

9.5. Изготовление копии электронных документов на бумажном носителе.

При необходимости Пользователь, создавший и подписавший своей ЭЦП юридически значимый электронный документ, вправе в соответствии с установленным в организации порядком изготовить документ на традиционном бумажном носителе. Такой документ при подписании его Пользователем собственноручной подписью будет иметь ту же силу, что и его электронный оригинал.

Создание бумажной копии конфиденциального документа иным Пользователем Системы (не его автором) без согласия создателя документа, его подписавшего, как правило, не допускается.

Вместе с тем любой Участник вправе обратиться в РУЦ ЯНАО с просьбой изготовить копию электронного документа на бумажном носителе и заверить собственноручной подписью должностного лица Удостоверяющего центра и его печатью подлинность ЭЦП всех Пользователей, подписавших этот документ. Для изготовления Копии конкретного электронного документа на бумажном носителе РУЦ ЯНАО осуществляет следующие действия:

получает от Заявителя указанный электронный документ;

получает согласие на его распечатку от Участника Системы, чей Пользователь создал и первым подписал этот юридически значимый электронный документ;

проверяет правильность ЭЦП (подписей) стороны (сторон) под этим электронным документом;

в случае признания корректности ЭЦП (всех подписей) под этим электронным документом выполняет распечатку компьютерного файла, содержащего электронный документ, с его атрибутами и служебными полями на бумажном носителе;

в верхнем правом углу каждого листа распечатки ставит штамп "Копия электронного документа N ______ от "______" ____ года;

заверяет каждую страницу распечатки подписью уполномоченного должностного лица РУЦ ЯНАО и печатью ГУ "Ресурсы Ямала";

вносит в конец распечатки реквизиты, идентифицирующие всех Пользователей, подписавших указанный электронный документ своими ЭЦП;

заверяет идентифицирующие реквизиты каждого из Пользователей, подписавших указанный электронный документ своей ЭЦП, подписью уполномоченного лица РУЦ ЯНАО и печатью ГУ "Ресурсы Ямала";

брошюрует, прошивает, указывает количество листов в распечатке и скрепляет брошюру своей печатью и подписью должностного лица, осуществлявшего брошюровку.

Изготовленная таким образом Копия электронного документа на бумажном носителе имеет такую же юридическую силу, как и электронный оригинальный документ, подписанный ЭЦП, признается всеми Участниками Системы и может быть использована для разрешения споров в судебных и арбитражных органах, а также для представления в государственные, контролирующие и иные органы и организации.

В случае отрицательного результата проверки правильности ЭЦП (хотя бы одной подписи) стороны (сторон) под электронным документом, требование на изготовление Копии на бумажном носителе которого поступило в РУЦ ЯНАО, Региональный удостоверяющий центр автономного округа в письменной форме с указанием причин отказывает Заявителю в изготовлении бумажного документа.

Факт изготовления или отказа в изготовлении Подлинника электронного документа на бумажном носителе с указанием реквизитов Заявителя, затребовавшего изготовление такого подлинника, и реквизитов указанного электронного документа фиксируется РУЦ ЯНАО специальным Актовым журналом, который хранится установленным образом в течение срока хранения электронного документа, бумажная копия которого была изготовлена.

9.6. Организация учета и хранения электронных документов.

В соответствии с действующими в Российской Федерации нормативными правовыми актами электронные документы, изготовленные или полученные из Системы, подписанные ЭЦП, представляют собой документы, имеющие юридическую силу, и могут быть использованы для предоставления в государственные, контролирующие и иные органы и организации, в том числе в судебные и арбитражные инстанции. В связи с этим каждый такой документ должен быть зарегистрирован и сохранен.

9.6.1. Регистрация подлинников электронных документов осуществляется уполномоченными лицами Участников (Пользователями и/или Администраторами безопасности Абонентских пунктов), осуществляющих эксплуатацию аппаратно-программных средств Абонентских пунктов Системы в системе электронного документооборота и делопроизводства, в случае отсутствия в организации Участника подобных систем, то необходима регистрация в специальных Журналах регистрации электронных документов.

Журналы регистрации электронных документов ведутся отдельно для подготовленных и полученных электронных документов.

9.6.2. В журнале учета подготовленных электронных документов для каждого документа должны быть указаны:

идентифицирующие реквизиты документа;

идентифицирующие реквизиты должностных лиц Участника, подписавших документ своими ЭЦП;

полное наименование файла;

дата и время создания документа;

дата и время отправки или записи на твердый носитель для архивного хранения;

реквизиты получателя документа.

9.6.3. В журнале учета полученных электронных документов для каждого документа должны быть указаны:

дата и время получения;

реквизиты отправителя документа;

полное наименование файла;

идентифицирующие реквизиты документа;

идентифицирующие реквизиты должностных лиц организации-отправителя, подписавших документ своими ЭЦП;

дата и время создания документа;

сообщение процедуры проверки ЭЦП о признании или непризнании подлинности ЭЦП под данным документом.

9.6.4. Хранение электронных документов осуществляется на носителях электронной информации в соответствии с принятым в организации порядком.

9.6.5. При передаче на хранение носителей информации с электронными документами должно быть обеспечено их надежное дублирование.

Должны быть обеспечены условия раздельного хранения подготовленных и полученных электронных документов.

9.6.6. Организация архива электронных документов должна обеспечивать быстрый поиск документов по времени их создания или получения, по имени файла и идентифицирующим реквизитам документов.

9.6.7. Электронные документы постоянного хранения, отнесенные к составу архивного фонда Российской Федерации, передаются на хранение в государственный архив и муниципальные архивы по утвержденным описям на носителях электронной информации в юридически значимом виде и дублируются на бумажном носителе.

9.6.8. Срок хранения электронных документов устанавливается в соответствии с законодательством Российской Федерации.


X. Основные функциональные обязанности

Участников и Пользователей Системы


10.1. Функции Уполномоченного органа:

10.1.1. Контроль ведения Реестра сертификатов ЭЦП уполномоченных лиц исполнительных органов государственной власти ЯНАО.

Реестр уполномоченных лиц ведется Уполномоченным удостоверяющим центром (РУЦ ЯНАО).

В состав Реестра входит совокупность реестровых дел уполномоченных лиц.

В реестровых делах учитываются и хранятся:

- копии распорядительных документов о назначении на должность и увольнении должностных лиц исполнительных органов государственной власти ЯНАО;

- копии заявлений о регистрации, получении криптографических ключей и сертификата открытого ключа подписи;

- копии сертификатов открытого ключа подписи на бумажном носителе;

- уведомления об отказе в регистрации уполномоченных лиц;

Форма Реестра определяется Уполномоченным органом.

Для исключения уполномоченного лица из Реестра Уполномоченный орган вносит необходимые изменения на основании Заявления на аннулирование (отзыва) сертификата открытого ключа.

Утверждает Регламент деятельности Регионального удостоверяющего центра Ямало-Ненецкого автономного округа (далее Регламент).

10.1.2. Обеспечение безопасности и бесперебойности в работе информационных систем исполнительных органов государственной власти Ямало-Ненецкого автономного округа, органов местного самоуправления Ямало-Ненецкого автономного округа при проведении мероприятий по оснащению электронного документооборота средствами ЭЦП информационных систем исполнительных органов государственной власти Ямало-Ненецкого автономного округа, органов местного самоуправления ЯНАО.

10.1.3. Формирование поручений РУЦ ЯНАО на изготовление и выдачу ключей ЭЦП и сертификатов уполномоченных лиц и отзыву последних.

10.1.4. Организация своевременного прохождения заявительных документов от уполномоченного лица до РУЦ ЯНАО.

10.1.5. Согласование графика работ с исполнительными органами государственной власти по установке средств ЭЦП на рабочие места уполномоченных лиц.

10.1.6. Согласование сроков окончания действия ключей ЭЦП и сертификатов уполномоченных лиц и обеспечение своевременной замены на новые.

10.1.7. Участие в организации плановой смены ключей ЭЦП и сертификатов уполномоченных лиц.

10.1.8. Подготовка предложений по созданию Экспертной комиссии по рассмотрению конфликтных ситуаций, связанных с подтверждением авторства и/или подлинности электронных документов, заверенных ЭЦП уполномоченного лица.

10.2. Задачи Уполномоченного органа:

10.2.1. Обеспечение контроля выдачи и отзыва сертификатов уполномоченных лиц.

10.2.2. Организация взаимодействия заинтересованных сторон по выдаче и отзыву сертификатов уполномоченных лиц.

10.2.3. Координация деятельности должностных лиц исполнительных органов государственной власти в рамках действия настоящего Положения.

10.2.4. Контроль своевременного выполнения возложенных обязанностей ответственных лиц органов исполнительной власти в рамках действия настоящего Положения.

10.2.5. Координация и контроль деятельности РУЦ ЯНАО по правильному и своевременному изготовлению, выдаче открытых ключей ЭЦП и в установленном порядке закрытых ключей ЭЦП и сертификатов уполномоченных лиц.

10.2.6. Осуществление контрольных мероприятий и иных полномочий по защите информации и обеспечению информационной безопасности в области использования электронной цифровой подписи в информационных системах исполнительных органов государственной власти Ямало-Ненецкого автономного округа.

10.2.7. Разработка регламентов и/или порядка действий для реализации мероприятий настоящего Положения.

10.2.8. Обеспечение Уполномоченным органом сохранения конфиденциальности всей информации, которая станет известна при выполнении своих функций.

10.3. Основные права и обязанности РУЦ ЯНАО:

обеспечение бесперебойной работы Системы;

осуществление общего технического руководства работой Системы;

заключение с Участниками Договора на обслуживание для юридических лиц в Системе;