Администрация ямало-ненецкого автономного округа постановление от 3 апреля 2008 г. N 146-а об утверждении положения об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте ямало-ненецкого автономного округа

Вид материала

Документы

Подобный материал:

• Принят Государственной Думой Ямало-Ненецкого автономного округа 24 ноября 2004 года, 1021.39kb.
• Правительство ямало-ненецкого автономного округа постановление от 10 июня 2010, 2617.89kb.
• Проект правительство ямало-ненецкого автономного округа постановление, 1284.99kb.
• Мониторинг практики применения Закона Ямало-Ненецкого автономного округа от 5 апреля 2010, 42.93kb.
• Администрация ямало-ненецкого автономного округа постановление, 91.02kb.
• Администрация ненецкого автономного округа постановление от 29 декабря 2007 г. N 282-п, 301.66kb.
• Окружная целевая программа "Развитие малого и среднего предпринимательства в Ямало-Ненецком, 868.79kb.
• Законодательное собрание ямало-ненецкого автономного округа постановление, 196.13kb.
• Бекова Микаиля Бексултановича, действующего на основании Положения о департаменте, 198.02kb.
• Окружная долгосрочная целевая программа "обеспечение продовольственной безопасности, 971.42kb.

поставка, установка, наладка, сервисное обслуживание на основании заключенных с Участниками договоров аппаратных, аппаратно-программных и программных средств Абонентских пунктов Системы;

подготовка на основании заключенных с Участниками договоров персонала для работы на аппаратно-программных средствах Абонентских пунктов Системы;

проверка программно-технических средств Участников и регистрация его Пользователей, ведение реестров Участников и Пользователей;

установка Участникам и Пользователям, осуществляющим эксплуатацию аппаратно-программных средств Абонентских пунктов Системы, программного обеспечения сертифицированного СКЗИ, лицензии и эксплуатационной документации к Абонентским пунктам Системы;

обеспечение правового регулирования и организации выдачи, регистрации и отзыва криптографических ключей и сертификатов открытых ключей Пользователей;

генерация, регистрация и выдача Пользователям индивидуальных криптографических ключей ЭЦП, а также соответствующих сертификатов;

своевременное составление, поддержание и обновление Реестра действующих сертификатов ключей подписей Пользователей, Списка отозванных сертификатов и Справочника сертификатов открытых ключей шифрования Пользователей, обеспечение их заверения действующей электронной цифровой подписью уполномоченного должностного лица РУЦ ЯНАО и их публикация;

генерация, регистрация и выдача криптографических ключей и соответствующих сертификатов уполномоченным должностным лицам исполнительных органов государственной власти ЯНАО. Ведение Реестра сертификатов ключей подписей уполномоченных лиц исполнительных органов государственной власти ЯНАО;

обеспечение своевременного уведомления Участников о проведении плановой смены ключей в Системе и проведение плановой смены индивидуальных криптографических ключей Пользователей;

ведение архивов утративших актуальность Реестров действующих сертификатов ключей подписей Пользователей, Списков отозванных сертификатов и Справочников сертификатов открытых ключей шифрования Пользователей;

незамедлительное информирование Пользователей о случаях компрометации индивидуальных закрытых ключей ЭЦП и шифрования при получении информации о компрометации от участников Системы;

обеспечение незамедлительного отключения Пользователей, чьи криптографические ключи подверглись компрометации, выведение из действия подвергнувшихся компрометации ключей и отзыв их сертификатов. Исключение этих сертификатов из Реестра действующих сертификатов ключей подписи Пользователей и внесение их в Список отозванных сертификатов;

обеспечение локализации последствий компрометации индивидуальных закрытых ключей Пользователей и возобновления юридически значимого конфиденциального электронного документооборота с Пользователями, индивидуальные ключи которых подверглись компрометации;

расследование обстоятельств (в составе созданной комиссии) компрометации индивидуальных закрытых ключей;

ведение архивов, обеспечение сохранности, подлинности и конфиденциальности в течение всего срока хранения всех электронных документов, имеющих отношение к сфере деятельности РУЦ ЯНАО, а также доверенных для хранения Пользователями Системы;

дублирование электронных документов и создание подлинников электронных документов на бумажных носителях по заявкам Участников;

организация и проведение разборов конфликтов между Участниками Системы, связанными с использованием технологий ЭЦП и шифрования для обеспечения юридической значимости и конфиденциальности электронного документооборота между участниками Системы;

осуществление плановых и внеплановых проверок помещений, в которых эксплуатируются Абонентские пункты Участников, аппаратно-программных средств Абонентских пунктов, правильности их эксплуатации и соблюдения должностными лицами Участника мер, обеспечивающих безопасную эксплуатацию Абонентских пунктов;

организация процедуры согласования разногласий при возникновении споров между Участниками Системы;

подготовка предложений по внесению изменений и дополнений в регламентирующие документы Системы (настоящего Положения, Регламента деятельности РУЦ ЯНАО), устанавливающих порядок организации защищенного юридически значимого электронного документооборота между пользователями Системы и предоставления услуг РУЦ ЯНАО Участникам и Пользователям Системы;

хранение эталонного программного обеспечения Абонентских пунктов Участников;

хранение эталонного полного комплекта эксплуатационной документации для Абонентских пунктов;

хранение Системного времени с точностью до 30 секунд;

заблаговременное (не менее чем за 30 дней до вступления в силу) информирование Участников о внесении изменений во внутренние документы Системы, принятии новых документов и приложений к договорам, регламентирующим условия взаимодействия Сторон в рамках Системы;

обеспечение сохранения конфиденциальности всей информации, которая доверена РУЦ ЯНАО ее Участниками или станет ей известна при выполнении своих функций.

РУЦ ЯНАО вправе выполнять также иные функции и действия, которые не противоречат действующему законодательству Российской Федерации, имеющимся соглашениям и договорам, а также требованиям настоящего Положения.

10.4. Основные права и обязанности Участника Системы:

заключение с ГУ "Ресурсы Ямала" Договора на обслуживание для юридических (физических) лиц в Системе;

признание в соответствии с действующим законодательством Российской Федерации юридической силы электронных документов, подписанных ЭЦП Пользователей, признанных подлинными в соответствии с используемыми в Системе процедурами установления подлинности и аутентичности;

соблюдение требований и положений Договора на обслуживание для юридических лиц в Системе;

обеспечение необходимых условий для организации юридически значимого защищенного электронного документооборота в организации в части принятия необходимых внутренних нормативных актов и/или внесения изменений, которые будут рекомендованы ГУ "Ресурсы Ямала" по результатам информационного обследования, в существующие приказы, распоряжения, инструкции и т.д., регламентирующие порядок обращения с конфиденциальными сведениями и допуск к ним должностных лиц организации, эксплуатации средств защиты информации, использования программных и технических средств вычислительной техники, автоматизированных систем, баз данных и т.д.;

обеспечение необходимых условий, соответствующих требованиям настоящего Положения, для размещения и работы Абонентского пункта СЮЗЗЭД ЯНАО в части выделения и оборудования помещений для его размещения, заключения необходимых договоров на поставку программно-технических средств для установки аппаратных и программных средств Абонентского пункта, предоставления каналов и средств связи, обучения своего персонала и уполномоченных должностных лиц;

выделение и назначение установленным порядком должностных лиц - Пользователей, которым предоставлено право подписания электронных документов ЭЦП, шифрования информации, эксплуатации аппаратно-программных средств Абонентского пункта, а также направление их в РУЦ ЯНАО (или по его рекомендации в иную организацию) для прохождения курса подготовки к практической работе;

представление ГУ "Ресурсы Ямала" необходимой информации и документов для проведения информационного обследования организации и выработки рекомендаций в части информатизации Участника;

своевременное представление РУЦ ЯНАО списка своих уполномоченных должностных лиц, которым предоставлено право подписания электронных документов ЭЦП и/или шифрования конфиденциальной информации, с документальным подтверждением их должностных полномочий, а также своевременное внесение изменений в указанный список в соответствии с происходящими у Участника организационно-штатными изменениями;

создание условий для обеспечения в целостности и неизменности программных средств защиты информации, в том числе СКЗИ, содержание в рабочем состоянии аппаратных и программных средств Абонентских пунктов Системы;

создание необходимых условий для сохранности индивидуальных закрытых ключей Пользователей;

обеспечение необходимых условий своевременного уничтожения выведенных из действия криптографических ключей своих Пользователей;

обеспечение сохранности, целостности и конфиденциальности аппаратно-программных средств Абонентского пункта, включая СКЗИ;

обязательство не передавать полученное программное обеспечение Абонентского пункта, включая СКЗИ, третьим лицам ни при каких обстоятельствах;

обеспечение сохранности от несанкционированного доступа и тиражирования полученного программного обеспечения Абонентского пункта, включая СКЗИ;

незамедлительное информирование РУЦ ЯНАО обо всех случаях компрометации индивидуальных закрытых ключей своих Пользователей;

немедленное отключение своего Абонентского пункта от Системы и приостановление всякого информационного обмена с использованием Системы в случае компрометации (или подозрения на компрометацию) индивидуальных закрытых криптографических ключей своих Пользователей;

обеспечение контроля за соблюдением Администратором безопасности Абонентского пункта и своими Пользователями всех требований и положений эксплуатационной документации на указанный пункт, также иных внутренних документов Системы, регламентирующих порядок ее использования;

организация внутреннего режима функционирования Абонентских пунктов Системы таким образом, чтобы исключить возможность физического доступа к СКЗИ, несанкционированной модификации или использования СКЗИ лицами, не имеющими допуска к работе с СКЗИ, а также исключает возможность использования ключевой информации не уполномоченными на то лицами;

принятие на себя всех рисков, связанных с неисправностями каналов (средств) связи или поломками его аппаратно-программных средств, при использовании Участником каналов (средств) связи и/или аппаратно-программных средств, отличных от рекомендованных ГУ "Ресурсы Ямала";

незамедлительное информирование РУЦ ЯНАО об отказах и сбоях в работе Системы;

обеспечение доступа (по согласованию с Руководителем) должностных лиц РУЦ ЯНАО в помещения, где размещаются Абонентские пункты Системы, для проведения плановых и внеплановых контрольных осмотров, контроля работоспособности аппаратно-программных средств Абонентских пунктов, контроля правильности исполнения Пользователями Участника требований настоящего Положения, иных документов, регламентирующих порядок использования программно-технических средств Системы;

выполнение всех требований по защите информации с использованием СКЗИ по обеспечению безопасности по уровню "С" требований ФАПСИ;

принятие на себя обязательств по обеспечению беспрепятственного выполнения Федеральными органами безопасности функций контроля за соблюдением всех условий лицензий на право осуществления деятельности в области криптографической защиты информации;

создание необходимых условий для выполнения требований действующего законодательства Российской Федерации, нормативных актов ЯНАО, нормативных актов Системы и самой организации по обеспечению безопасности конфиденциальной информации в электронной и бумажной форме при ее обработке, хранении, передаче по каналам связи и документировании;

самостоятельная и своевременная оплата услуг связи;

своевременная оплата услуг, предоставляемых ГУ "Ресурсы Ямала", в порядке и размере, предусмотренными Договором на обслуживание для юридических лиц в системе юридически значимого защищенного электронного документооборота и Тарифами на указанные услуги;

оказание содействия РУЦ ЯНАО в выполнении им своих функциональных обязанностей, вытекающих из настоящего Положения;

обеспечение сохранения конфиденциальности всей информации, которая станет известна при выполнении своих функций.

10.5. Основные права и обязанности Пользователя:

использование программно-технических средств Системы для обработки, хранения и передачи в защищенном виде по общедоступным каналам связи конфиденциальной информации, а также обеспечения юридической значимости подготовленных и получаемых из Системы электронных документов;

соблюдение требования настоящего Положения, эксплуатационной документации на Абонентский пункт, иных документов, регламентирующих порядок функционирования и использования Системы;

принятие на себя обязательств по всем документам, заверенным своей ЭЦП;

предъявление к другим Пользователям требований по безусловному исполнению ими своих обязательств по электронным документам с подтвержденной электронной цифровой подписью;

принятие к исполнению всех документов, подписанных ЭЦП других Пользователей и признанных подлинными в соответствии с принятой в Системе процедурой установления подлинности;

принятие всех мер к обеспечению сохранности и конфиденциальности своих индивидуальных закрытых ключей;

незамедлительное информирование должностных лиц Участника и Руководителя предприятия о компрометации (или подозрении на компрометацию) своих индивидуальных закрытых ключей и прекращение с этого момента их использования;

обеспечение работоспособности программно-технических средств Абонентского пункта Системы;

принятие всех мер к обеспечению сохранности и конфиденциальности переданных ему программных средств Абонентского пункта, включая инсталляционные носители СКЗИ;

обязательство не передавать полученное программное обеспечение Абонентского пункта, включая СКЗИ, третьим лицам ни при каких обстоятельствах;

обеспечение сохранности от несанкционированного доступа и тиражирования полученного программного обеспечения Абонентского пункта, включая средства криптографической защиты информации;

своевременное проведение проверок программного обеспечения персональной ЭВМ, с установленными аппаратно-программными средствами Абонентского пункта (в том числе, СКЗИ) на отсутствие вирусов и программных закладок в соответствии с эксплуатационной документацией на сертифицированные СКЗИ;

выполнение не реже 1 раза в сутки проверки неизменности и целостности системного, сетевого и прикладного программного обеспечения и целостности программного обеспечения СКЗИ в соответствии с эксплуатационной документацией на сертифицированные СКЗИ;

своевременное информирование руководства предприятия обо всех случаях нарушения целостности программного обеспечения Абонентского пункта и входящих в его состав СКЗИ, оперативное восстановление программного обеспечения после нарушения его целостности в соответствии с эксплуатационной документацией на СКЗИ;

своевременное изготовление, установка и периодическая смена паролей для доступа к аппаратно-программным средствам Абонентского пункта в соответствии с эксплуатационной документацией, входящий в состав Абонентского пункта и утвержденной Инструкцией по организации парольной защиты автоматизированной системы Учреждения;

обеспечение условий для проведения уполномоченными должностными лицами Руководителем предприятия, РУЦ ЯНАО и федеральных органов безопасности проверок выполнения требований режима эксплуатации СКЗИ;

ежедневное контролирование состояния мастичной печати, которой опечатан системный блок Абонентского пункта, и своевременное информирование в письменной форме в случае ее нарушения Руководителя предприятия;

незамедлительное информирование Руководителя предприятия и РУЦ ЯНАО об отказах и сбоях в работе Абонентского пункта и Системы в целом;

обеспечение сохранения конфиденциальности всей информации, которая станет известна при выполнении своих функций.

В процессе использования Системы Пользователь также обязан:

не принимать к исполнению электронные документы, заверенные ЭЦП, если:

сертификат ключа подписи отправителя утратил силу (не действует, находится в Списке отозванных сертификатов на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

не подтверждена подлинность ЭЦП в электронном документе;

ЭЦП используется не в соответствии со сведениями, указанными в сертификате ключа подписи.

Примечание.

Перед принятием решения по исполнению полученного электронного документа Пользователь самостоятельно определяет необходимость дополнительной проверки нахождения сертификата ЭЦП отправителя в Списке отозванных сертификатов, публикуемом РУЦ ЯНАО установленным порядком.

Запрашивать подтверждение по переданным ему электронным документам другими пользователями в случае возникновения сомнений.

В случае возникновения конфликтной ситуации, связанной с установлением подлинности и/или авторства спорного документа, требовать разрешения указанных вопросов Экспертной комиссией установленным порядком.


XI. Условия конфиденциальности


11.1. Все Участники Системы обязаны обеспечивать взаимную конфиденциальность в отношении сведений, получаемых в процессе подготовки, обработки и обмена электронными документами с использованием Системы, а также иной информации в любой форме, которая стала им известна вследствие их участия в Системе, в том числе до истечения трех лет с даты выхода Пользователя из Системы.

Вся информация о функционировании Системы, в том числе внутренние документы РУЦ ЯНАО, иные документы, относящиеся к регламентации порядка ее использования, являются конфиденциальными сведениями.

11.2. Представление конфиденциальной информации всеми Участниками и Пользователями Системы, включая ГУ "Ресурсы Ямала" и РУЦ ЯНАО, налоговым, правоохранительным и судебным органам осуществляется в порядке, предусмотренном действующим законодательством Российской Федерации.

11.3. Ответственность должностных лиц ГУ "Ресурсы Ямала", РУЦ ЯНАО и Участников, допущенных к средствам Системы и конфиденциальной информации, которая циркулирует в них, за разглашение конфиденциальной информации должна определяться в тексте их контрактов о приеме на работу.

Должностные лица Участников Системы, допущенные к средствам Системы и конфиденциальной информации, которая циркулирует в них, допускаются к работе со сведениями, содержащими конфиденциальную информацию, только после подписания Обязательства о неразглашении конфиденциальной (служебной и/или коммерческой) информации.


XII. Ответственность и контроль в Системе


За неисполнение или ненадлежащее исполнение обязательств по настоящему Положению все Участники и Пользователи Системы несут ответственность в соответствии с действующим законодательством Российской Федерации.


XIII. Порядок разрешения конфликтных ситуаций


13.1. Разрешая конфликтные ситуации при нарушении процедур криптографической защиты информации и/или установлении авторства и/или подлинности электронных документов, заверенных ЭЦП, все Участники и Пользователи Системы исходят из того, что:

все споры и разногласия, возникающие между Участниками и Пользователями Системы и связанные с использованием электронного документооборота, расчетами в электронной форме и применением средств шифрования и электронной цифровой подписи, решаются, прежде всего, путем переговоров, заключения дополнительных соглашений между сторонами или обмена официальными письмами;

вопросы урегулирования споров и разногласий между Участниками и Пользователями Системы, возникающих по иным основаниям и не связанных с фактами применения в электронном документообороте средств шифрования и ЭЦП, не рассматриваются в настоящем Положении и решаются в соответствии с иными соглашениями спорящих сторон;

в соответствии с действующим законодательством, документ в электронном виде, заверенный ЭЦП, является документом, имеющим юридическую силу, аналогичную документу, исполненному на бумажном носителе и снабженному собственноручной подписью и печатью;

электронный документ порождает обязательства одного Пользователя перед другим Пользователем Системы, если документ оформлен надлежащим образом, заверен ЭЦП, доставлен другому Пользователю, и при этом сертификат ЭЦП отправителя действует, а ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи;

подтверждением того, что электронный документ Пользователя принят Пользователем-получателем, является получение Пользователем надлежащим образом оформленной электронной квитанции о принятии его документа или получение того же самого документа, подписанного ЭЦП Пользователя-получателя;

Пользователи Системы признают, что используемая в соответствии с настоящим Положением система защиты информации в Системе, которая обеспечивается использованием сертифицированных средств ЭЦП и шифрование, достаточна для защиты информации от несанкционированного доступа, подтверждения целостности, подлинности и авторства электронных документов, а также разрешения конфликтных ситуаций по ним;

математические свойства алгоритма ЭЦП, реализованного в соответствии со стандартами Российской Федерации ГОСТ Р34.10-2001 (ГОСТ Р34.10-94) и ГОСТ Р34.11-94, свидетельствуют о невозможности подделки значения ЭЦП любым лицом, не обладающим закрытым криптографическим ключом ЭЦП;

Пользователи Системы признают, что разбор конфликтной ситуации в отношении авторства, целостности и подлинности электронного документа заключается в доказательстве подписания конкретного электронного документа на конкретном ключе ЭЦП.

13.2. В соответствии с настоящим Положением подлежат разрешению конфликтные ситуации следующих типов:

Отказ Пользователя, получившего из Системы электронный документ с ЭЦП отправителя, из-за отрицательного результата проверки ЭЦП этого электронного документа, хотя проверка осуществлялась посредством имеющихся у Получателя средств ЭЦП и сертификата ключа подписи Отправителя, взятого из Реестра действующих сертификатов РУЦ ЯНАО, а Отправитель настаивает на корректности отправленного документа.