Постановление Правительства Республики Саха (Якутия)
от 6 ноября 2006 г. N 490
"Об Удостоверяющем центре Республики Саха (Якутия) и о мерах по применению средств электронной подписи в органах исполнительной власти Республики Саха (Якутия)"
Распоряжением Правительства Республики Саха (Якутия) от 24 марта 2010 г. N 243-р настоящее постановление снято с контроля
В соответствии с Федеральными законами от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и от 10 января 2002 года N 1-ФЗ "Об электронной цифровой подписи", Указом Президента Российской Федерации от 12 мая 2004 года N 611 "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена" (с изменениями, внесенными Указом Президента Российской Федерации от 22 марта 2005 года N 329), в целях обеспечения информационной безопасности при осуществлении обмена информацией в электронном виде посредством информационных систем, сетей и сетей связи, включая международную ассоциацию сетей Интернет, Правительство Республики Саха (Якутия) постановляет:
1. Утвердить Регламент по применению средств электронной подписи в органах исполнительной власти Республики Саха (Якутия) согласно приложению к настоящему постановлению.
2. Функции Удостоверяющего центра органов исполнительной власти Республики Саха (Якутия) в области использования электронной подписи возложить на государственное учреждение Национальное агентство "Информационный центр при Президенте Республики Саха (Якутия)"
3. Органам исполнительной власти Республики Саха (Якутия), а также юридическим лицам, участвующим в информационном обмене с органами исполнительной власти Республики Саха (Якутия), в срок до 01 июля 2007 года организовать внедрение системы электронного информационного обмена с использованием сертифицированных средств защиты информации и электронной подписи, обеспечивающих ее целостность и доступность, в том числе криптографических для подтверждения достоверности информации.
4. Финансирование работ по изготовлению сертификатов ключей электронных подписей, организации закупок сертифицированных средств защиты информации и носителей ключей подписей осуществить:
для уполномоченных лиц государственных учреждений Республики Саха (Якутия) за счет бюджетных ассигнований, выделяемых на содержание этих учреждений;
для уполномоченных лиц иных учреждений и организаций за счет собственных средств этих учреждений и организаций.
5. Опубликовать настоящее постановление в республиканских газетах "Саха сирэ" и "Якутия".
6. Контроль исполнения настоящего постановления возложить на заместителя Председателя Правительства Республики Саха (Якутия) А.Н. Алексеева.
Председатель Правительства |
Е. Борисов |
Регламент
по применению средств электронной подписи в системе электронного информационного обмена органов исполнительной власти Республики Саха (Якутия)
(утв. постановлением Правительства Республики Саха (Якутия) от 6 ноября 2006 г. N 490)
I. Введение
Настоящий Регламент по применению средств электронной подписи в системе электронного информационного обмена (Система) органов исполнительной власти Республики Саха (Якутия), (Организаторы), разработан в соответствии с требованиями законодательства Российской Федерации, нормативных правовых актов Российской Федерации, осуществляющих правовое регулирование отношений в области использования электронной подписи (ЭП), а также учредительных и иных документов Организаторов и определяет общий порядок осуществления организационно-технических мероприятий по использованию средств ЭП в информационной системе органов исполнительной власти Республики Саха (Якутия).
Регламент, при подключении к Системе, может применяться территориальными органами федеральных органов исполнительной власти, органами местного самоуправления, организациями, финансируемыми из республиканского бюджета Республики Саха (Якутия), а также учреждениями, организациями, юридическими лицами (иные организации), участвующими в электронном информационном обмене с органами исполнительной власти Республики Саха (Якутия).
Органы исполнительной власти Республики Саха (Якутия) и иные организации (Участники), участвующие в Системе, являются Организаторами и Участниками (Стороны) и не имеют права на предоставление средств криптографической защиты информации и услуг в области шифрования информации третьим лицам.
Функции Удостоверяющего центра в рамках Системы выполняются Удостоверяющим Центром Республики Саха (Якутия) - структурным подразделением Государственного учреждения Национального агентства "Информационный центр при Президенте Республики Саха (Якутия)" (УЦ РС (Я)).
Участники Системы при передаче информации по каналам связи обязаны в соответствии с действующим в сфере защиты информации законодательством Российской Федерации использовать сертифицированные средства криптографической защиты информации (СКЗИ) и ЭЦП, а также средства защиты информации (СЗИ), позволяющие идентифицировать владельца сертификата ключа ЭП и устанавливать отсутствие ее искажения.
Используемые во взаимоотношениях между Участниками электронные документы (ЭД), заверенные ЭП, являются оригиналами, имеют юридическую силу, подлежат хранению в хранилище юридически значимых электронных документов и могут использоваться в качестве доказательств в суде, а также при рассмотрении споров в досудебном порядке.
Участник признает, что использование в Системе сертифицированных СКЗИ, обеспечивающих применение ЭП и шифрование информации, является необходимым условием обеспечения конфиденциальности информационного взаимодействия Участников, а также подтверждения того, что информация, представленная в электронно-цифровой форме (ЭИ), заверенная ЭП:
исходит от Участника (подтверждение авторства документа);
не претерпела изменений при информационном взаимодействии Участника (подтверждение целостности и подлинности документа).
Регламент начинает действовать в отношении Участника с момента заключения им Договора с УЦ РС (Я).
II. Термины и определения
Абонент (владелец сертификата ключа подписи) - уполномоченное лицо Участника, на имя которого Удостоверяющим центром издан сертификат ключа подписи, и которое владеет соответствующим закрытым ключом ЭП, позволяющим присваивать свою электронную подпись электронной информации, в том числе электронному документу (подписывать ЭД).
Автоматизированное рабочее место Системы (АРМ) - комплекс программных и аппаратных средств, используемых Участниками для электронного информационного обмена, в том числе в виде юридически значимыми ЭД.
Администратор АРМ - уполномоченное лицо, назначенное Участником для организации взаимодействия с Организатором и Участниками по обеспечению надежной и бесперебойной эксплуатации программно-технических средств АРМ.
Администратор ИБ - уполномоченное лицо, назначенное Участником для осуществления политики ИБ, обеспечения защиты информации и взаимодействия с УЦ РС (Я), Организатором и Участниками по вопросам ИБ.
Аутентификация информации - подтверждение подлинности и целостности информации, содержащейся в документе. Доказательная аутентификация информации осуществляется анализом (экспертизой) подписей должностных лиц и печатей на бумажных документах или проверкой правильности ЭП.
Договор - договор, заключаемый с удостоверяющим центром, в соответствии с которым он предоставляет услуги по изданию и обслуживанию сертификатов ключей ЭП.
Закрытый (криптографический) ключ ЭП - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в ЭИ, в т.ч. в ЭД, ЭП с использованием средств ЭП. Закрытый ключ хранится на ключевом носителе.
Запрос на сертификат - сообщение, содержащее необходимую информацию для получения сертификата.
Запрос на отзыв сертификата - сообщение, содержащее необходимую информацию для отзыва сертификата
Информационная безопасность (ИБ) - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п.
Ключевой носитель - отчуждаемый электронный носитель (Сертифицированный электронный USB ключ, сертифицированная смарт-карта и т.п.).
Компрометация ключа - утрата доверия к тому, что используемые секретные ключи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся, включая, но, не ограничиваясь, следующие: утрата ключевых носителей;
утрата ключевых носителей с последующим обнаружением;
увольнение сотрудников, имевших доступ к ключевым носителям;
возникновение подозрений на утечку информации или ее искажение в Системе;
нарушение целостности печатей на сейфах с ключевыми носителями, если используется процедура опечатывания;
утрата ключей от сейфов (помещений) в момент нахождения в них ключевых носителей;
утрата ключей от сейфов (помещений) в момент нахождения в них ключевых носителей с последующим обнаружением;
доступ посторонних лиц к информации на ключевом носителе, в том числе к пин-коду;
случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе, когда ключевой носитель вышел из строя и не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника).
Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с действующим законодательством РФ.
Конфликтная ситуация - ситуация, при которой у участников Системы возникает необходимость разрешить вопросы признания или непризнания авторства и/или подлинности ЭД, обработанных СКЗИ.
Корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.
Несанкционированный доступ (НСД) к информации - доступ к информации, нарушающий установленные правила ее получения.
Организатор информационного обмена (Организатор) - юридическое лицо, в том числе имеющее Систему, заключившее Договор с УЦ, организующее подключение к Системе Участников, на основании ранее заключенных соглашений об обмене информацией между ними.
Открытый ключ ЭП - уникальная последовательность символов, соответствующая закрытому ключу, доступная любому Участнику информационной системы и предназначенная для подтверждения подлинности ЭП. Принадлежность открытого ключа ЭП Участнику Системы подтверждается ее Сертификатом.
Подтверждение подлинности ЭП - положительный результат проверки ЭП ее принадлежности владельцу сертификата ключа подписи (идентификация) и отсутствия искажений в подписанной с применением данной ЭП электронной информации, в том числе в электронном документе.
Регламент - документ, содержащий описание процедур и действий, которые Организатор и Участник используют в системе электронного информационного обмена с применением средств ЭП.
Сертификат ключа подписи (Сертификат) - документ на бумажном носителе или электронный документ с электронной подписью уполномоченного лица УЦ, включающий в себя открытый ключ ЭП, издаваемый соответствующим УЦ для подтверждения подлинности ЭП и идентификации владельца ее сертификата (выдается владельцу).
Система электронного информационного обмена (Система) - совокупность программных средств и технического оборудования, обеспечивающая процесс электронного обмена информацией, в том числе в виде юридически значимых ЭД в рамках корпоративной информационной системы Организатора и Участника.
СОС (Список отозванных сертификатов, Certificate Revocation List, CRL) - список отозванных сертификатов.
Средства защиты информации от несанкционированного доступа (СЗИ от НСД) - программное, техническое или программно-техническое средство, направленное на предотвращение или существенное затруднение от НСД.
Средства криптографической защиты информации (СКЗИ) - совокупность программно-технических средств, осуществляющий криптографическое преобразование информации для обеспечения ее безопасности.
Средства ЭП - аппаратные и (или) программные средства, предназначенные для создания ЭП с использованием закрытого ключа, подтверждения с использованием открытого ключа ЭП ее подлинности, создания закрытых и открытых ключей ЭП.
Удостоверяющий центр (УЦ) - юридическое лицо, выполняющее функции, предусмотренные N 1-ФЗ от 10 января 2002 года "Об электронной цифровой подписи".
Уполномоченное лицо УЦ - сотрудник УЦ, наделенный правом заверения Сертификатов, изданных УЦ.
Участник Системы (Участник) - юридическое или физическое лицо, заключивший с УЦ Договор, признающий данный Регламент и включенный в систему электронного информационного обмена.
Электронный документ (далее - ЭД) - документ, в котором информация представлена в электронно-цифровой форме, заверенная ЭП, является оригиналом, имеет юридическую силу, подлежит хранению в хранилище юридически значимых электронных документов и может использоваться в качестве доказательств в суде, а также при рассмотрении споров в досудебном порядке.
Электронная информация (ЭИ) - совокупность сведений, показателей, данных, требуемых для описания того или иного явления или процесса, представленная в электронно-цифровой форме, в том числе ЭД.
Электронная цифровая подпись (далее - ЭП) - реквизит ЭД, предназначенный для защиты данного ЭД от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в ЭД. В соответствии с ФЗ-1 "Об ЭЦП" признается аналогом собственноручной подписи.
III. Основные положения
3.1. Электронный информационный обмен между Организатором и Участниками регулируется следующими документами:
настоящим Регламентом;
соглашениями об обмене информацией, заключаемыми между Организатором и Участниками (далее - Соглашение);
договором с УЦ PC (Я);
технической документацией к АРМ Участника, включая документацию на СКЗИ;
действующими нормативными правовыми актами Российской Федерации и Республики Саха (Якутия).
3.2. Участники при регулировании отношений, возникающих при эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, руководствуются Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, а также нормативными правовыми актами, устанавливающими режим защиты, хранения и использования информации ограниченного распространения (доступа).
3.3. УЦ осуществляет работы по управлению ключами в соответствии с Федеральным законом РФ "Об электронной цифровой подписи", положениями настоящего Регламента и на основании Договора между УЦ и Участником.
3.4. Размещение, установка, подключение и последующая эксплуатация АРМ Участника, в случае обмена конфиденциальной информацией, должны выполняться в соответствии с требованиями Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ при Президенте РФ от 13.06.2001 N 152 (далее - Инструкция N 152), а также в соответствии с технической и эксплутационной документацией на аппаратные и программные средства АРМ.
3.5. Ведение участниками электронных архивов ЭД, с сохранением всех реквизитов, включая все заверяющие ЭП, определяются нормативными правовыми актами.
3.6. Конфликтные ситуации, связанные с использованием ЭП, разрешаются участниками в рабочем порядке по итогам работы комиссии по разрешению конфликтной ситуации, состоящей из представителей служб информационно-технического обеспечения и служб обеспечения информационной безопасности, представителей подразделений-исполнителей ЭД и юридических служб Сторон, а также уполномоченного представителя Удостоверяющего центра и/или в судебном порядке, установленном законодательством Российской Федерации.
IV. Условия участия в системе электронного информационного обмена
4.1. Для участия в Системе Участник, со своей стороны, осуществляет следующие действия:
4.1.1. Заключает соглашение или иной документ, подтверждающий права осуществления обмена информацией в электронном виде с применением СКЗИ и ЭП между Организатором и Участниками.
4.1.2. Назначает приказом или иным документом уполномоченных лиц, ответственных за осуществление обмена информацией в электронном виде, в том числе должностных лиц, наделенных правом ЭП и администратора информационной безопасности для взаимодействия с УЦ PC (Я), Организатором и Участниками по вопросам политики информационной безопасности.
4.1.3. Проводит мероприятия по подготовке к эксплуатации СКЗИ в соответствии с требованиями технической и эксплутационной документации к ним.
4.1.4. Оформляет акт о готовности к обмену электронными документами.
4.1.5. Самостоятельно комплектует АРМ обмена ЭД необходимыми аппаратными, системными, сетевыми и телекоммуникационными средствами, программным обеспечением, средствами защиты информации от несанкционированного доступа.
4.1.6. Заключает договор с УЦ, в соответствии с которым УЦ предоставляет услуги, связанные с изданием и обслуживанием сертификатов ключей подписи.
V. Организация взаимодействия участников с удостоверяющим центром Республики Саха (Якутия)
5.1. Участник направляет в УЦ РС (Я) письменное заявление о заключении Договора с УЦ.
5.2. В соответствии с согласованным с УЦ графиком Участник проводит процедуру регистрации Абонентов Участника, указанных в заявке к договору в качестве владельцев сертификатов ключей подписи.
5.3. Создание ключей ЭП, издание и выдача, приостановление действия, аннулирование сертификата ключа подписи осуществляется в порядке, установленном Договором с УЦ и в соответствии с Федеральным законом РФ "Об электронной цифровой подписи".
5.4. Участник получает доступ к реестру сертификатов Удостоверяющего центра и списку отозванных сертификатов, к сведениям об Удостоверяющих Центрах, с которыми установлены доверительные отношения в Интернет-портале УЦ.
Примечание: Удостоверяющим Центром предусмотрен автоматический процесс публикации в интернет-портале реестра сертификатов и сертификатов недействительных (скомпрометированных) ключей в СОС.
5.5. Срок действия криптографических ключей Абонента составляет 1 (один) год. Начало периода действия ключей Абонента исчисляется с даты и времени начала действия соответствующих им сертификатов ключей.
5.6. Замена сертификата владельца ключа подписи производится по инициативе Участника, но не реже одного раза в год (отдельным решением могут быть установлены другие сроки) в следующем порядке:
Направляет в адрес УЦ заявку на аннулирование сертификата ключа подписи с указанием в качестве причины аннулирования: изменение данных владельца сертификата ключа подписи (изменение должности, наименования подразделения, адреса электронной почты и т.д.), увольнение и назначение нового уполномоченного лица; а также заявку на издание сертификата ключа подписи с новыми данными владельца.
Работы по изданию и выдаче нового сертификата, а также предоставление гарантийного обслуживания сертификата ключа подписи Участника УЦ проводит в соответствии с Договором.
Участник принимает решение о сроках и порядке архивного хранения или об уничтожении старых закрытых ключей и соответствующих сертификатов, так как все риски, связанные с несанкционированным использованием старых закрытых ключей, ложатся на Участника.
Факт уничтожения или сохранения старых закрытых ключей оформляется Актом, который заверяется подписями владельца старого закрытого ключа, руководителя организации и печатью организации. 2-й экземпляр данного документа передается в Удостоверяющий Центр.
VI. Порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием шифровальных (криптографических) средств защиты информации
6.1. Участник, в соответствии с Договором, лицензионным соглашением, эксплуатационной документацией на СКЗИ и соответствующими нормативными правовыми актами:
6.1.1. Подготавливает и содержит в рабочем состоянии ПЭВМ и программное обеспечение, предназначенные для работы в Системе.
6.1.2. Организовывает режим функционирования рабочих мест таким образом, чтобы исключить возможность доступа к СКЗИ, несанкционированной модификации или использования СКЗИ лицами, не имеющими допуска к работе с СКЗИ, а также исключить возможность использования криптографических ключей не уполномоченными на то лицами.
6.1.3. Закрепляет СКЗИ за Абонентом (должностным лицом) Участника.
6.1.4. Осуществляет учет, хранение дистрибутивов и ведение соответствующих формуляров на переданные СКЗИ Администратором ИБ Участника.
6.1.5. При обращении с носителями ключевой информации, относящимся# к материальным носителям, содержащим информацию ограниченного доступа, выполняет требования нормативных правовых документов, регламентирующих порядок обращения с информацией ограниченного доступа.
6.1.6. Перед уничтожением старых закрытых ключей ЭП организовывает расшифровку всех ЭД, зашифрованных с их использованием.
6.2. Участник обеспечивает хранение расшифрованных документов в электронном виде в соответствии с требованиями, установленными законодательством и настоящим Регламентом.
6.3. Участнику рекомендуется не использовать средства разработки и отладки программ на ПЭВМ, на которой установлено СКЗИ.
6.4. Участник имеет право:
не принимать к исполнению электронные документы, заверенные ЭП, если:
сертификат ключа подписи отправителя утратил силу (не действует, находится в СОС) на момент проверки или на момент подписания ЭД при наличии доказательств, определяющих момент подписания;
Примечание: перед принятием решения по исполнению полученного ЭД, в зависимости от его важности, Участник самостоятельно определяет необходимость проверки нахождения сертификата ЭЦП отправителя в СОС.
не подтверждена подлинность ЭП в электронном документе;
ЭП используется не в соответствии со сведениями, указанными в сертификате ключа подписи.
запрашивать подтверждение по полученным им ЭД в случае возникновения сомнений;
требовать от УЦ аннулирования своего сертификата открытого ключа в случае наступления событий, трактуемых как компрометация ключевой информации;
требовать исполнения обязательств от других участников Системы по принятым ими электронным документам;
в случае возникновения конфликтной ситуации, связанной с установлением подлинности и/или авторства спорного документа, требовать разрешения указанных вопросов Экспертной комиссией в соответствии с согласованным порядком.
6.5. Контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, осуществляется Организатором, Участниками, являющимися собственниками (владельцами) информационных ресурсов (информационных систем), установившими режим защиты информации, обрабатываемой в них, а также Управлением Федеральной службы безопасности РФ по Республике Саха (Якутия) и его лицензиатами, Комиссией по защите информации Координационного Совета при Президенте Республики Саха (Якутия) по информатизации и защите информации (Технической комиссией РС (Я)).
6.6. За неисполнение или ненадлежащее исполнение обязательств по настоящему Регламенту участники Системы несут ответственность в соответствии с Договором и действующим законодательством Российской Федерации.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Постановление Правительства Республики Саха (Якутия) от 6 ноября 2006 г. N 490 "Об Удостоверяющем центре Республики Саха (Якутия) и о мерах по применению средств электронной подписи в органах исполнительной власти Республики Саха (Якутия)"
Текст постановления опубликован в газете "Якутcкие ведомости" (приложение к газете "Якутия") от 21 ноября 2006 г. N 67
Постановлением Правительства Республики Саха (Якутия) от 1 ноября 2024 г. N 528 настоящий документ признан утратившим силу с 6 ноября 2024 г.
Настоящий документ снят с контроля