Администрация ямало-ненецкого автономного округа постановление от 3 апреля 2008 г. N 146-а об утверждении положения об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте ямало-ненецкого автономного округа
Вид материала | Документы |
СодержаниеОб организации использования электронной цифровой подписи |
- Принят Государственной Думой Ямало-Ненецкого автономного округа 24 ноября 2004 года, 1021.39kb.
- Правительство ямало-ненецкого автономного округа постановление от 10 июня 2010, 2617.89kb.
- Проект правительство ямало-ненецкого автономного округа постановление, 1284.99kb.
- Мониторинг практики применения Закона Ямало-Ненецкого автономного округа от 5 апреля 2010, 42.93kb.
- Администрация ямало-ненецкого автономного округа постановление, 91.02kb.
- Администрация ненецкого автономного округа постановление от 29 декабря 2007 г. N 282-п, 301.66kb.
- Окружная целевая программа "Развитие малого и среднего предпринимательства в Ямало-Ненецком, 868.79kb.
- Законодательное собрание ямало-ненецкого автономного округа постановление, 196.13kb.
- Бекова Микаиля Бексултановича, действующего на основании Положения о департаменте, 198.02kb.
- Окружная долгосрочная целевая программа "обеспечение продовольственной безопасности, 971.42kb.
АДМИНИСТРАЦИЯ ЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА
ПОСТАНОВЛЕНИЕ
от 3 апреля 2008 г. N 146-А
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОРГАНИЗАЦИИ ИСПОЛЬЗОВАНИЯ
ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ И ШИФРОВАНИЯ ИНФОРМАЦИИ
В ЭЛЕКТРОННОМ ДОКУМЕНТООБОРОТЕ
ЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА
В целях обеспечения функционирования инфраструктуры открытых ключей, а также с целью обеспечения правовых условий использования электронной цифровой подписи в системе юридически значимого защищенного электронного документооборота органов исполнительной власти Ямало-Ненецкого автономного округа Администрация Ямало-Ненецкого автономного округа постановляет:
1. Утвердить прилагаемое Положение об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте Ямало-Ненецкого автономного округа.
2. Возложить на департамент информационных технологий и связи Ямало-Ненецкого автономного округа функции уполномоченного органа в области использования электронной цифровой подписи в информационных системах органов исполнительной власти Ямало-Ненецкого автономного округа.
3. Возложить на государственное учреждение "Ресурсы Ямала" функции уполномоченного регионального удостоверяющего центра Ямало-Ненецкого автономного округа в области использования электронной цифровой подписи в информационных системах органов исполнительной власти Ямало-Ненецкого автономного округа.
4. Контроль за исполнением настоящего постановления возложить на заместителя Губернатора Ямало-Ненецкого автономного округа Кима А.М.
Губернатор
Ямало-Ненецкого автономного округа
Ю.В.НЕЕЛОВ
Утверждено
постановлением Администрации
Ямало-Ненецкого автономного округа
от 3 апреля 2008 г. N 146-А
ПОЛОЖЕНИЕ
ОБ ОРГАНИЗАЦИИ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ
И ШИФРОВАНИЯ ИНФОРМАЦИИ В ЭЛЕКТРОННОМ ДОКУМЕНТООБОРОТЕ
ЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА
I. Общие положения
1.1. Положение об организации использования электронной цифровой подписи (далее - ЭЦП) и шифрования информации в электронном документообороте Ямало-Ненецкого автономного округа (далее - Положение) разработано в соответствии с Федеральными законами от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 10 января 2002 года N 1-ФЗ "Об электронной цифровой подписи", во исполнение постановления Губернатора Ямало-Ненецкого автономного округа от 9 марта 2004 года N 71 "О создании Ямало-Ненецкого регионального удостоверяющего центра" и определяет:
порядок обеспечения правовых, организационных и технических условий, при соблюдении которых ЭЦП под электронным документом признается равнозначной собственноручной подписи в документе на бумажном носителе;
порядок предоставления уполномоченным должностным лицам органов исполнительной власти Ямало-Ненецкого автономного округа (далее - автономный округ), органов местного самоуправления, государственных и муниципальных учреждений и организаций автономного округа, должностным лицам иных организаций, включенных в систему юридически значимого защищенного электронного документооборота автономного округа (далее - СЮЗЗЭД ЯНАО или Система), независимо от их организационно-правовой формы, услуг по изготовлению ключей ЭЦП и сертификатов ключей подписи, а также дополнительных услуг, связанных с управлением сертификатами ключей подписи;
порядок организации криптографической защиты информации с использованием технологий ЭЦП и шифрования при обмене электронными документами, подготовленными и передаваемыми Пользователями в Системе;
процедуру подтверждения того, что электронный документ, полученный из Системы:
исходит от Пользователя Системы (подтверждение авторства документа);
не претерпел изменений после его подписания в процессе обработки, хранения и передачи информации (подтверждение целостности и подлинности документа);
порядок изготовления юридически значимых копий электронного документа на бумажном носителе.
1.2. Безопасность информации, циркулирующей в Системе, обеспечивается реализацией комплекса правовых, организационных, технических и иных мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования информации и т.п.
Предотвращение несанкционированного доступа к техническим средствам Системы достигается применением средств защиты информации, сертифицированных Государственной технической комиссией при Президенте Российской Федерации или Федеральной службой технического и экспортного контроля.
В качестве средства защиты при передаче электронных документов по общедоступным каналам связи в Системе используется их шифрование на индивидуальных ключах Пользователя.
Обеспечение подлинности информации и придание электронному документу юридической силы достигается за счет использования в Системе ЭЦП, сформированной на индивидуальном ключе ЭЦП Пользователя, которая обеспечивает защиту содержания документа от искажения и аутентификацию лица, подписавшего документ.
Применяемые в Системе средства шифрования и ЭЦП (средства криптографической защиты информации) должны быть сертифицированы Федеральным агентством правительственной связи информации при Президенте Российской Федерации (ФАПСИ) или Федеральной службой безопасности Российской Федерации.
1.3. Информационная безопасность и юридическая значимость электронного документооборота в Системе обеспечивается соответствием принятых в системе процедур оформления взаимоотношений между всеми участниками Системы, включая Региональный удостоверяющий центр ЯНАО (РУЦ ЯНАО), создания, подписания, хранения и передачи электронных документов, подтверждения подлинности ЭЦП и разрешения конфликтов между всеми участниками, а также предусмотренных в системе правовых, организационных и технических мер защиты информации требованиям:
Гражданского кодекса Российской Федерации;
Федеральных законов от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и от 10 января 2002 года N 1-ФЗ "Об электронной цифровой подписи";
Постановлений Правительства Российской Федерации от 29 декабря 2007 года N 957 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами", от 31 августа 2006 года N 532 "О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации";
руководящего документа Государственной технической комиссии при Президенте Российской Федерации "Средства вычислительной техники. Защита средств вычислительной техники и автоматизированных систем от несанкционированного доступа";
Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденного приказом ФСБ РФ от 9 февраля 2005 года N 66 и зарегистрированного в Министерстве юстиции Российской Федерации 3 марта 2005 года N 6382;
Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, объявленной приказом Федерального агентства правительственной связи при Президенте Российской Федерации от 13 июня 2001 года N 152 и зарегистрированного в Министерстве юстиции Российской Федерации 6 августа 2001 года N 2848.
Юридическая значимость, качество, надежность и соответствие действующему законодательству Российской Федерации предоставляемых РУЦ ЯНАО с помощью СЮЗЗЭД ЯНАО услуг, используемых аппаратно-программных средств, оборудования и технологий, гарантируются соответствием требований действующих нормативных и правовых актов, государственных стандартов, а также наличием необходимых аттестатов, сертификатов и лицензий на их применение, выданных в установленном порядке.
1.4. Действие настоящего Положения распространяется на органы исполнительной власти автономного округа, органы местного самоуправления, государственных и муниципальных учреждений и организаций автономного округа, должностных лиц иных организаций, включенных в СЮЗЗЭД ЯНАО, независимо от их организационно-правовой формы, а также организации, чье участие в документообороте с указанными органами регламентировано нормативно-правовыми актами.
II. Основные понятия
Абонентский пункт Участника Системы - комплекс аппаратно-программных средств, обеспечивающих Участнику (Пользователю) возможность ввода-вывода, передачи, обработки, контроля, защиты и идентификации конфиденциальной информации и персональных данных, циркулирующих в СЮЗЗЭД ЯНАО.
Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Авторство электронного документа - принадлежность корректной электронной цифровой подписи данного документа конкретному Пользователю СЮЗЗЭД ЯНАО.
Администратор безопасности (Абонентского пункта) - полномочное лицо, ответственное за обеспечение информационной безопасности в СЮЗЗЭД ЯНАО (Абонентском пункте Участника СЮЗЗЭД ЯНАО).
Аутентификация информации - установление подлинности информации исключительно на основе внутренней структуры самой информации, установление того факта, что полученная получателем информация была передана подписавшим ее законным отправителем и при этом не была искажена. Доказательная аутентификация информации осуществляется анализом (экспертизой) подписей должностных лиц и печатей на бумажных документах и проверкой правильности ЭЦП для электронных документов.
Безопасность информации - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита данных от утечки, утраты, несанкционированного уничтожения, искажения, подделки (модификации), копирования, блокирования и т.п.
Владелец сертификата ключа - физическое лицо, на имя которого РУЦ ЯНАО выдан сертификат ключа подписи и которое владеет соответствующим закрытым криптографическим ключом.
Внеплановая смена ключей - смена ключей в соответствии с документацией на СКЗИ, вызванная компрометацией ключей.
Документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
Зашифровывание (шифрование) данных - процесс преобразования открытых данных в зашифрованные при помощи шифра.
Имитозащита - защита системы шифрованной связи от навязывания ложных данных.
Имитовставка - отрезок информации фиксированной длины, полученной по определенному правилу из открытых данных и ключа.
Индивидуальный закрытый ключ ЭЦП Пользователя - имеющийся только у Пользователя СЮЗЗЭД ЯНАО и хранящийся в тайне криптографический ключ, который используется им для формирования электронной цифровой подписи электронных документов. Закрытый ключ электронной цифровой подписи представляет собой уникальную последовательность символов, известную только владельцу сертификата ключа подписи, которая предназначена для создания в электронных документах электронной цифровой подписи с использованием средств ЭЦП.
Индивидуальный открытый ключ ЭЦП Пользователя - зарегистрированный и подписанный (сертифицированный) установленным порядком РУЦ ЯНАО, не являющийся закрытым и известный всем другим Пользователям СЮЗЗЭД ЯНАО криптографический ключ, однозначно связанный с индивидуальным закрытым ключом для формирования ЭЦП и предназначенный для подтверждения с использованием средств ЭЦП подлинности электронной цифровой подписи Пользователя под документом, позволяющей идентифицировать автора подписи и определить достоверность и целостность электронного документа, но не допускающей вычисления индивидуального закрытого ключа ЭЦП Пользователя.
Инсталляционные дискеты/CD СКЗИ - лицензионно чистые носители информации (магнитные дискеты 3,5" и/или CD), содержащие программы, реализующие сертифицированные средства криптографической защиты информации.
Криптографическая защита - защита данных при помощи криптографического преобразования данных.
Криптографическое преобразование - преобразование данных с использованием шифрования и (или) выработки имитовставки.
Компрометация ключа (ключевой информации) - факт (или подозрение на факт) раскрытия закрытой ключевой информации; - утрата доверия к тому, что используемые ключи обеспечивают подлинность, защищенность и безопасность информации.
Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Конфиденциальность информации - субъективно приписываемое информации свойство (характеристика), указывающее на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемое способностью системы сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на право доступа к ней.
Конфликтная ситуация - ситуация, при которой у Пользователей Системы возникает необходимость разрешения вопросов признания или непризнания авторства и/или подлинности электронных документов, обработанных средствами криптографической защиты информации.
Контроль доступа (управление доступом) - процесс ограничения доступа к ресурсам системы только разрешенным субъектам или объектам.
Корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.
Корректный электронный документ - электронный документ, прошедший процедуру проверки ЭЦП с подтверждением ее правильности, а также документ, не имеющий искажений в тексте сообщения, не позволяющих понять его смысл.
Ключ (Криптографический ключ) - конкретное закрытое состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.
Некорректный электронный документ - электронный документ, не прошедший процедуры проверки ЭЦП, а также документ, имеющий в тексте сообщения искажения, не позволяющие понять его смысл.
Несанкционированный доступ к информации (НСД) - доступ к информации, нарушающий в результате случайных или преднамеренных действий Пользователей или других субъектов (с использованием штатных аппаратных, аппаратно-программных, программных средств автоматизированной системы) установленные правила разграничения доступа.
Носитель ключевой информации - физическое устройство (дискета, е- Token, смарт-карта и т.д.), содержащее ключи для выполнения криптографических процедур шифрования и расшифровывания, формирования электронной цифровой подписи абонента, а также необходимую служебную информацию.
Пароль - закрытая информация аутентификации, обычно представляющая собой строку знаков, которой должен обладать Пользователь для доступа к защищаемым данным и/или техническим средствам.
Плановая смена ключей - смена ключей с установленной в СЮЗЗЭД ЯНАО периодичностью, не вызванная компрометацией ключей.
Подлинник (оригинал) электронного документа - компьютерный файл, содержащий текст документа и подлинную электронную цифровую подпись, по крайней мере, одного из Пользователей СЮЗЗЭД ЯНАО.
Распечатка электронного документа на бумажном носителе - распечатка на бумажном носителе подлинника электронного документа, выполненная в соответствии с установленным в СЮЗЗЭД ЯНАО порядком, с реквизитами (фамилия, имя, отчество, должность и т.п.) всех Пользователей, подписавших электронный документ, заверенная их подписями, а со стороны РУЦ ЯНАО заверенная личной подписью уполномоченного лица государственного учреждения "Ресурсы Ямала" (далее - ГУ "Ресурсы Ямала") и печатью ГУ "Ресурсы Ямала".
Уполномоченное лицо - начальник отдела "РУЦ ЯНАО" ГУ "Ресурсы Ямала" либо лицо, его замещающее.
Подписание электронного документа (формирование электронной цифровой подписи) - процесс вычисления в соответствии с заданным алгоритмом по электронному документу и индивидуальному закрытому ключу Пользователя, предназначенному для формирования ЭЦП и имеющемуся лишь у автора, цифровой последовательности, называемой электронной цифровой подписью данного лица под данным электронным цифровым документом.
Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.
Расшифровывание данных - процесс преобразования зашифрованных данных в открытые при помощи шифра.
Реестр действующих сертификатов ключей подписей Пользователей - файл, доступный установленным порядком Пользователям СЮЗЗЭД ЯНАО, содержащий действующие на данный момент времени сертификаты ключей подписей со всеми их реквизитами и подписанный действующей электронной цифровой подписью должностного лица РУЦ ЯНАО.
Сертификат ключа подписи - документ на бумажном носителе или электронный документ с ЭЦП уполномоченного лица РУЦ ЯНАО, который выдается РУЦ ЯНАО Пользователю СЮЗЗЭД ЯНАО для подтверждения подлинности электронной цифровой подписи ключа и идентификации владельца сертификата открытого ключа. Сертификат открытого ключа (ЭЦП или шифрования) Пользователя СЮЗЗЭД ЯНАО содержит следующие сведения:
уникальный регистрационный номер сертификата ключа;
даты начала и окончания срока действия сертификата ключа;
фамилия, имя и отчество владельца сертификата ключа;
должность владельца сертификата ключа с указанием наименования и места нахождения организации, в которой установлена эта должность;
наименование средств ЭЦП, с которыми используется данный открытый ключ;
наименование и место нахождения удостоверяющего центра, выдавшего сертификат ключа;
сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение <1>.
--------------------------------
<1> Только для сертификата открытого ключа ЭЦП.
Список отозванных сертификатов (СОС) - файл, доступный установленным порядком Пользователям СЮЗЗЭД ЯНАО, содержащий аннулированные (отозванные) и приостановленные на данный момент времени сертификаты ключей подписи со всеми их реквизитами и указанием конкретного состояния каждого включенного в него сертификата, подписанный действующей электронной цифровой подписью уполномоченного лица РУЦ ЯНАО.
Public Key Cryptography Standarts (PKCS) - стандарты криптографии с открытым ключом, разработанные компанией RSA Security. Удостоверяющий центр осуществляет свою работу в соответствии со следующими стандартами PKCS:
PKCS#7 - стандарт, определяющий формат и синтаксис криптографических сообщений. Банк использует описанный в PKCS#7 тип данных PKCS#7 Signed - подписанные данные. Электронный документ, оформленный с соблюдением требований PKCS#7 Signed, является электронным документом, содержащим электронную цифровую подпись;
PKCS#10 - стандарт, определяющий формат и синтаксис запроса на сертификат открытого ключа подписи. Электронный документ, оформленный с соблюдением требований PKCS#10, содержит информацию о сертифицируемом открытом ключе, используемом криптографическом средстве и данные, необходимые для идентификации владельца сертифицируемого открытого ключа электронной цифровой подписи.
Управление ключами - изготовление (генерация) ключей, их хранение, распространение, удаление (уничтожение), учет и применение в соответствии с настоящим Положением.
Целостность информации - свойство информации, заключающееся в ее существовании в неискаженном, неизменном по отношению к некоторому фиксированному ее состоянию виде.
Шифрование - процесс зашифрования (шифрования) или расшифровывания.
Шифр - совокупность преобразований множества возможных открытых данных на множество возможных зашифрованных данных, осуществляемых по определенным правилам с применением ключей.
Шифровальные средства (средства криптографической защиты информации - СКЗИ):
реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для защиты информации (в том числе и входящие в системы и комплексы защиты информации от несанкционированного доступа), циркулирующей в технических средствах, при ее обработке, хранении и передаче по каналам связи, включая шифровальную технику;
реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и электронной цифровой подписи;
аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для изготовления и распределения ключевых документов, используемых в шифровальных средствах, независимо от вида носителя ключевой информации;
ручные шифры, документы кодирования и другие носители ключевой информации.
Электронный документ (документ в электронной форме) - служебное информационное сообщение, платежное поручение, запись в электронной базе данных и т.д., подготовленное с использованием СЮЗЗЭД ЯНАО на основе документа на бумажном носителе или на основе иного электронного документа, или порожденное в процессе информационного общения, зафиксированное на материальном носителе в виде компьютерного файла сообщение, снабженные реквизитами, позволяющими идентифицировать это сообщение и его авторов.
1>1>