Администрация ямало-ненецкого автономного округа постановление от 3 апреля 2008 г. N 146-а об утверждении положения об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте ямало-ненецкого автономного округа
Вид материала | Документы |
- Принят Государственной Думой Ямало-Ненецкого автономного округа 24 ноября 2004 года, 1021.39kb.
- Правительство ямало-ненецкого автономного округа постановление от 10 июня 2010, 2617.89kb.
- Проект правительство ямало-ненецкого автономного округа постановление, 1284.99kb.
- Мониторинг практики применения Закона Ямало-Ненецкого автономного округа от 5 апреля 2010, 42.93kb.
- Администрация ямало-ненецкого автономного округа постановление, 91.02kb.
- Администрация ненецкого автономного округа постановление от 29 декабря 2007 г. N 282-п, 301.66kb.
- Окружная целевая программа "Развитие малого и среднего предпринимательства в Ямало-Ненецком, 868.79kb.
- Законодательное собрание ямало-ненецкого автономного округа постановление, 196.13kb.
- Бекова Микаиля Бексултановича, действующего на основании Положения о департаменте, 198.02kb.
- Окружная долгосрочная целевая программа "обеспечение продовольственной безопасности, 971.42kb.
Отказ Отправителя от своих обязательств по электронному документу, полученному из системы и прошедшему с положительным результатом проверку ЭЦП посредством имеющихся у Получателя средств ЭЦП и сертификата ключа подписи Отправителя, взятого из Реестра действующих сертификатов РУЦ ЯНАО, вследствие непризнания Отправителем либо факта отправки документа, либо его целостности и подлинности.
13.3. Если Стороны самостоятельно на основании настоящего Положения, имеющихся договоренностей, а также путем переговоров не в состоянии разрешить конфликтную ситуацию, Отдел РУЦ ЯНАО организует в целях ее разрешения проведение технической экспертизы.
13.4. Для проведения технической экспертизы РУЦ ЯНАО создается комиссия, включающая равное количество (но не менее двух) представителей от каждой из заинтересованных Сторон, в том числе по одному представителю Служб информационной безопасности каждой из Сторон и два представителя РУЦ ЯНАО. В состав комиссии по соглашению Сторон могут независимые технические эксперты.
В качестве независимых технических специалистов могут привлекаться специалисты в области криптографии, защиты информации, программно-аппаратных средств, которые не должны состоять с конфликтующими Сторонами в трудовых или подрядных отношениях.
Каждая из Сторон, участвующая в конфликте, а также ГУ "Ресурсы Ямала" и РУЦ ЯНАО как его структурное подразделение вправе обратиться за соответствующими экспертными разъяснениями к ФСБ России, как к государственному органу, осуществляющему сертификацию СКЗИ.
13.5. Основанием для формирования РУЦ ЯНАО экспертной комиссии служит Заявление одного или нескольких Участников о споре по поводу авторства или подлинности текста конкретного электронного документа, подписанного ЭЦП, который не удается решить путем переговоров между заинтересованными Сторонами.
Заявление подается в РУЦ ЯНАО в письменной форме с указанием наименования Заявителя, наименования и реквизитов спорного электронного документа, требований заявителя, обстоятельств, на которых заявитель основывает свои требования, перечня прилагаемых к заявлению документов. К заявлению также прилагается список должностных лиц Заявителя, предлагаемых для включения в состав экспертной комиссии.
13.6. В течение 3-х дней после получения Заявления РУЦ ЯНАО обязан уведомить все имеющие отношение к рассматриваемому документу или вопросу Стороны о месте и времени проведения экспертизы и составе экспертной комиссии.
Каждая из Сторон вправе заявить об отводе эксперта из состава экспертной комиссии, если есть основания предполагать, что он прямо или косвенно заинтересован в исходе дела.
13.7. РУЦ ЯНАО и экспертная комиссия принимают меры к тому, чтобы экспертиза была проведена в срок не более 5 дней с момента поступления заявления. В исключительных случаях срок может быть продлен, но не более чем на 5 дней.
Неявка любой из спорящих Сторон, надлежащим образом извещенных о месте и времени проведения экспертизы, не препятствует проведению экспертизы, если отсутствующая Сторона не представила письменную просьбу отложить проведение экспертизы по уважительной причине, но на срок не более 2-х дней.
13.8. В ходе экспертизы рассматриваются документы, в том числе электронные, относящиеся к предмету разногласий, и выполняется процедура проверки ЭЦП документа, являющегося предметом разбирательства, в соответствии с порядком, описанным в настоящем Положении. При этом могут быть использованы следующие эталонные данные:
данные архива оригиналов принятых/отправленных Сторонами электронных документов;
электронный документ, подписанный ЭЦП, подлинность и/или целостность которого оспаривается;
сертификаты ключей подписи на бумажных носителях Пользователей, подпись которых оспаривается с открытыми криптографическими ключами, выданные Удостоверяющим Центром;
эталонные дистрибутивы СКЗИ;
Носители ключевой информации всех Пользователей, подписавших документ.
13.9. Экспертная комиссия проводит экспертизу только после получения всех необходимых материалов, как правило, в помещении РУЦ ЯНАО.
При необходимости экспертная комиссия может провести у каждой из спорящих Сторон осмотр помещений, где установлены Абонентские пункты, осуществить проверку программного и аппаратного обеспечения, выполнить иные действия, которые, по мнению комиссии, могут способствовать проведению экспертизы и выработке решений комиссии.
13.10. В случае получения Пользователем одной Стороны электронного документа, подлинность ЭЦП которого в результате проверки не подтвердилась (конфликтная ситуация типа а), а Отправитель настаивает на корректности отправленного электронного документа и исполнении Получателем вытекающих из него обязательств, то для разрешения конфликта Стороны предпринимают следующие действия:
13.10.1. Принимающая Сторона по телефону (или иным образом) запрашивает у отправляющей Стороны информацию о документе, подлинность которого вызывает сомнения. При получении подтверждения об отправке указанного документа запрашивает повторное оформление, подписание и отправку данного документа.
3.10.2. К вновь полученному электронному документу применяется установленным образом процедура проверки ЭЦП. В случае если новая проверка дала положительный результат и сертификат ключа подписи отправляющей стороны действует (содержится в Реестре действующих сертификатов ключей подписей Пользователей) или есть доказательства, что на момент подписания электронного документа он действовал, и электронная цифровая подпись используется в соответствии со сведениями, указанными в этом сертификате ключа подписи, то принимающая Сторона признает корректность полученного электронного документа, о чем уведомляет письменно (по электронной почте) передающую сторону.
13.10.3. В случае, если новая проверка опять дала отрицательный результат проверки правильности и ЭЦП документа неверна, то делается вывод о возможном нарушении действующего криптографического ключа либо о неисправности программно-аппаратных средств одной из Сторон.
В таком случае передающая Сторона обязана сравнить имеющийся у нее сертификат ее индивидуального ключа подписи на бумажном носителе с сертификатом, опубликованном установленным образом РУЦ ЯНАО. При их несовпадении - прекратить использование имеющихся индивидуальных ключей Пользователя и уведомить о случившемся получающую Сторону и РУЦ ЯНАО. При отсутствии признаков возможной компрометации закрытых криптографических ключей, получить и зарегистрировать в РУЦ ЯНАО новые индивидуальные криптографические ключи подписи и соответствующий сертификат в порядке, установленном настоящим Положением для их выдачи.
Если передающей стороной одновременно выявлены признаки возможной компрометации закрытого ключа подписи, то она обязана осуществить действия, предусмотренные разделом VI настоящего Положения.
13.10.4. При совпадении сертификата индивидуального ключа подписи отправляющей Стороны на бумажном носителе с сертификатом, опубликованным установленным образом РУЦ ЯНАО, отправляющая Сторона осуществляет штатными средствами своего Абонентского пункта проверку целостности и неизменности программного обеспечения СКЗИ, в соответствии с эксплуатационной документацией, и при необходимости переустановить его. После чего заново формирует запрашиваемое сообщение, подписывает и направляет Принимающей Стороне с уведомлением о выявленных недостатках по его вине.
13.10.5. Если проведенная передающей Стороной проверка целостности и неизменности программного обеспечения СКЗИ (в соответствии с эксплуатационной документацией) не выявила отклонения от эталонного состояния, то данная Сторона информирует о совпадении бумажного и электронного сертификата своего ключа подписи и правильности своего программного обеспечения СКЗИ приемную Сторону.
Получив уведомление, приемная Сторона, в свою очередь, осуществляет установленным образом проверку программного обеспечения СКЗИ своего Абонентского пункта СЮЗЗЭД ЯНАО. При выявлении отклонений от эталонного состояния Получатель заново инсталлирует программные средства Абонентского пункта, уведомляет о случившемся передающую Сторону и повторно запрашивает сообщение для осуществления проверки его корректности.
В случае, если отклонений от эталонного состояния программного обеспечения Абонентского пункта Получателя по результатам проверки не выявлено или в предыдущем варианте развития ситуации полученное сообщение вновь признано некорректным, Стороны прекращают юридически значимый документооборот и обработку конфиденциальной информации и уведомляют о случившемся РУЦ ЯНАО.
13.10.6. Удостоверяющий центр организует техническую экспертизу программно-технических средств Абонентских пунктов обеих Сторон и служебное расследование в целях установления либо факта подмены и компрометации индивидуального закрытого ключа передающей Стороны, либо выявления неисправностей технических средств одной или обеих Сторон.
13.10.7. Экспертная комиссия проверяет целостность программного обеспечения спорящих Сторон путем сравнения с эталонным программным обеспечением, хранящимся в РУЦ ЯНАО.
В случае выявления нарушения специальных пломб и/или печатей на аппаратных средствах Абонентского пункта, утраты или несанкционированной замены аппаратных средств Абонентского пункта, нарушения неизменности и целостности программного обеспечения Абонентского пункта (включая неизменность и целостность программной реализации СКЗИ) полностью или их частей, виновной признается сторона, допустившая такие нарушения.
13.11. В случае, если один из Пользователей приходит к выводу, что другой Пользователь ссылается на документ, якобы исходящий от него, но который им не отправлялся и/или его содержание изменено, этот Пользователь немедленно извещает Службу безопасности и Руководство своей организации и РУЦ ЯНАО о наличии конфликтной ситуации.
Аналогичным образом, если Отправитель, по мнению Получателя, необоснованно отказывается от своих обязательств по электронному документу, полученному из системы и прошедшему с положительным результатом проверку ЭЦП посредством имеющихся у Получателя средств электронной цифровой подписи и сертификата ключа подписи Отправителя, взятого из Реестра действующих сертификатов РУЦ ЯНАО, не признавая либо факт отправки документа, либо его целостности и подлинности, то Получатель также должен известить Службу безопасности и Руководство своей организации и РУЦ ЯНАО о наличии конфликтной ситуации.
Для разрешения конфликта Стороны и РУЦ ЯНАО организуют проведение технической экспертизы специально назначенной экспертной комиссией.
13.11.1. Сформированная РУЦ ЯНАО экспертная комиссия устанавливает на персональный компьютер, соответствующий техническим требованиям, предъявляемым к аппаратным средствам Абонентского пункта Системы, эталонную операционную систему и эталонное программное обеспечение, хранящееся в РУЦ ЯНАО. Компьютер, используемый для проведения технической экспертизы, не должен иметь установленного на нем программного обеспечения. С этой целью его жесткий диск предварительно форматируется в присутствии членов Экспертной комиссии.
13.11.2. Экспертная комиссия проверяет целостность программного обеспечения спорящих Сторон путем сравнения с эталонным программным обеспечением, хранящимся в РУЦ ЯНАО.
В случае выявления нарушения специальных пломб и/или печатей на аппаратных средствах Абонентского пункта, утраты или несанкционированной замены аппаратных средств Абонентского пункта, нарушения неизменности и целостности программного обеспечения Абонентского пункта (включая неизменность и целостность программной реализации СКЗИ) полностью или их частей, виновной признается сторона, допустившая такие нарушения.
13.11.3. В случае отсутствия нарушений, упомянутых в подпункте 13.11.2 настоящего Положения, в программно-технических средствах Сторон для разбора конфликта по поводу авторства или подлинности текста документа, подписанного ЭЦП, необходимо выполнить следующие действия:
произвести операцию проверки подписи электронного документа, авторство подписи которого оспаривается на рабочем месте Администратора РУЦ ЯНАО;
распечатать протокол проверки подписи;
распечатать сертификат открытого ключа ЭЦП Пользователя из Реестра действующих сертификатов ключей подписи Пользователей, который ведется РУЦ ЯНАО;
сравнить сертификат открытого ключа ЭЦП, представленного Пользователем, и распечатанный сертификат открытого ключа ЭЦП из базы данных РУЦ ЯНАО.
Авторство подписи под документом считается установленным, если совпадают открытые ключи ЭЦП представленного Пользователем сертификата и сертификат открытого ключа ЭЦП из Реестра действующих сертификатов ключей подписи Пользователей Удостоверяющего Центра, а также наличие в протоколе проверки подписи Пользователя записи "Подпись верна".
13.11.4. По итогам проведения экспертизы составляется письменное заключение в необходимом числе (трех) экземплярах, содержащее:
реквизиты ГУ "Ресурсы Ямала";
дату, время и место ее проведения;
фамилии, имена, отчества экспертов, с указанием их должностей и реквизитов организаций, которые они представляют;
требования Стороны (сторон) и (или) вопросы, которые должны были быть разрешены при проведении экспертизы;
описание выполненных в ходе экспертизы действий с указанием точных результатов, использованных при этом аппаратных средств и программного обеспечения;
выводы экспертной комиссии;
подписи членов экспертной комиссии;
оттиск печати РУЦ ЯНАО.
Один экземпляр заключения остается на архивное хранение в РУЦ ЯНАО, по одному экземпляру передается спорящим Сторонам.
13.12. В случае согласия с выводами экспертной комиссии Стороны, между которыми возник спор, заключают соглашение об урегулировании разногласий.
Если хотя бы одна из Сторон, участвующих в конфликте, не соглашается с результатами и выводами указанной комиссии, то такие споры или разногласия подлежат передаче на рассмотрение в Арбитражный суд в соответствии с действующим законодательством Российской Федерации.
13.13. Экспертная комиссия, организуемая РУЦ ЯНАО, не дает правовой оценки действиям Сторон.
Решение экспертной комиссии может направляться в судебные инстанции в качестве приложения к исковому заявлению или рассматриваемому делу.
XIV. Порядок прекращения обслуживания Участника в Системе
14.1. Процедура прекращения обслуживания Участника в Системе выполняется при завершении срока действия Договора на обслуживание для юридических лиц в Системе или при его досрочном расторжении одной из Сторон.
14.2. При прекращении обслуживания Участник обязан возвратить полученные им ранее от РУЦ программные средства, эксплуатационную документацию, индивидуальные ключи ЭЦП.
Возврат всех перечисленных средств осуществляется по Акту, подписываемому уполномоченным должностным РУЦ ЯНАО и уполномоченным должностным лицом Участника. Акт возврата создается в двух экземплярах, один из которых передается на Архивное хранение Участнику, а второй - хранится в РУЦ ЯНАО.