Приложение N 2. Положение о порядке организации выдачи и отзыва сертификатов ключей электронных подписей пользователей удостоверяющего центра органов исполнительной власти Оренбургской области. Постановление Правительства Оренбургской области от 04.07.2011 N 550-п "Об использовании электронной подписи в системе электронного документооборота органов исполнительной власти Оренбургской области" (утратило силу)

Приложение N 2
к постановлению Правительства области
от 4 июля 2011 г. N 550-п

Положение
о порядке организации выдачи и отзыва сертификатов ключей электронных подписей пользователей удостоверяющего центра органов исполнительной власти Оренбургской области

I. Общие положения

1. Положение о порядке организации выдачи и отзыва сертификатов ключей электронных подписей пользователей удостоверяющего центра органов исполнительной власти Оренбургской области (далее - Положение) определяет:

а) задачи и функции уполномоченного органа исполнительной власти Оренбургской области по использованию электронной подписи;

б) порядок выдачи и отзыва ключей электронной подписи пользователей удостоверяющего центра органов исполнительной власти Оренбургской области, использующих электронную подпись;

в) порядок ведения реестра пользователей удостоверяющего центра органов исполнительной власти Оренбургской области.

II. Задачи и функции уполномоченного органа

2. Уполномоченный орган осуществляет регулирование использования ЭП в информационных системах организаций.

3. Задачами уполномоченного органа являются:

а) регулирование порядка и организации выдачи и отзыва ключей ЭП пользователей удостоверяющего центра;

б) осуществление контрольных мероприятий и иных полномочий по обеспечению информационной безопасности организаций, а также по исполнению соответствующих требований законодательных и иных правовых актов пользователями удостоверяющего центра;

в) разработка документов, регламентирующих реализацию норм настоящего Положения;

г) разработка рекомендаций по использованию сертификатов ключей ЭП пользователей удостоверяющего центра.

4. Уполномоченный орган осуществляет следующие функции:

а) ведение реестра пользователей удостоверяющего центра. Форма реестра приведена в приложении N 1 к настоящему Положению;

б) ведение реестра организаций, участвующих в электронном документообороте с использованием ЭП. Форма реестра приведена в приложении N 2 к настоящему Положению;

в) формирование поручений удостоверяющему центру на изготовление, выдачу и отзыв ключей ЭП и сертификатов пользователей удостоверяющего центра;

г) составление и своевременное обновление списка аннулированных (отозванных) сертификатов;

д) согласование сроков окончания действия ключей ЭП, сертификатов пользователей удостоверяющего центра и обеспечение их своевременной замены;

з) организация смены ключей ЭП и сертификатов пользователей удостоверяющего центра;

ж) создание экспертной комиссии по рассмотрению конфликтных ситуаций в сфере использования ЭП, связанных с подтверждением авторства и/или подлинности ЭД, заверенных ЭП пользователя удостоверяющего центра.

III. Порядок ведения реестра пользователей удостоверяющего центра

5. В реестр пользователей удостоверяющего центра входит совокупность реестровых дел пользователей удостоверяющего центра.

6. В реестровых делах учитываются и хранятся:

заявления на регистрацию, проведение проверки подлинности и отзыв ключей ЭП;

уведомления о регистрации пользователей удостоверяющего центра;

уведомления об отказе в регистрации пользователей удостоверяющего центра;

копии приказов уполномоченного органа об утверждении реестрового дела.

IV. Регистрация пользователей удостоверяющего центра в реестре пользователей удостоверяющего центра

7. На предварительном этапе организации должны осуществить следующие действия:

назначить из числа своих сотрудников администратора обмена ЭД, оператора и пользователей удостоверяющего центра в соответствии с формой приказа согласно приложению N 3 к настоящему Положению;

провести мероприятия по подготовке к эксплуатации средств криптографической защиты информации в соответствии с требованиями, определяемыми разделом Х настоящего Положения и другими нормативными правовыми актами Российской Федерации и Оренбургской области в сфере информационной безопасности;

оформить акт о готовности к обмену ЭД, подписанный ЭП. Форма акта приведена в приложении N 4 к настоящему Положению.

8. Для регистрации пользователей удостоверяющего центра в реестре пользователей удостоверяющего центра организация представляет в уполномоченный орган заявление, содержащее информацию об пользователях удостоверяющего центра.

9. Заявление включает в себя фамилию, имя, отчество, наименование должности, подразделения, организации, номер телефона, город, регион, страну, адрес электронной почты, ключевое слово. Форма заявления приведена в приложении N 5 к настоящему Положению.

10. К заявлению прилагаются:

копия приказа о назначении лиц, ответственных за осуществление обмена ЭД;

акт о готовности к обмену ЭД, подписанный и утвержденный руководителем организации.

11. Уполномоченный орган в течение 5 дней со дня получения заявления осуществляет рассмотрение и информирование заявителя о регистрации пользователей удостоверяющего центра в реестре пользователей удостоверяющего центра.

12. Уполномоченный орган имеет право отказать в регистрации пользователей удостоверяющего центра в случаях несоответствия заявления требованиям настоящего Положения и/или недостоверности представленной информации, о чем заявителю направляется уведомление в письменной форме в срок, установленный для регистрации в реестре пользователей удостоверяющего центра.

V. Исключение пользователей удостоверяющего центра из реестра пользователей удостоверяющего центра

13. Исключение пользователей удостоверяющего центра из реестра пользователей удостоверяющего центра возможно:

по решению руководителя организации;

в случае увольнения с работы пользователя удостоверяющего центра;

в случае смены занимаемой должности, если изменяется перечень должностных обязанностей в части права подписания ЭП.

14. Организация направляет заявление об исключении пользователя удостоверяющего центра из реестра пользователей удостоверяющего центра в кратчайшие сроки со дня прекращения исполнения пользователя удостоверяющего центра его обязанностей. Форма заявления приведена в приложении N 6 к настоящему Положению.

15. На основании заявления об исключении пользователя удостоверяющего центра из реестра пользователей удостоверяющего центра (далее - реестр) уполномоченный орган в течение двух рабочих дней вносит изменения в реестр.

16. Организация передает в течение 5 рабочих дней с момента исключения пользователя удостоверяющего центра из реестра ключевой носитель (с закрытым ключом) в удостоверяющий центр для уничтожения ключевой информации, если ключевой носитель был предоставлен удостоверяющим центром.

VI. Удостоверяющий центр

17. Функциями удостоверяющего центра являются:

изготовление сертификатов ключей подписи;

создание ключей ЭП;

приостановление и возобновление действия ключей ЭП, а также их аннулирование.

VII. Организация выдачи сертификатов пользователям удостоверяющего центра

18. Уполномоченный орган на основании данных реестра пользователей удостоверяющего центра в течение двух рабочих дней формирует и направляет в удостоверяющий центр заявку на:

создание ключей ЭП, проверку их подлинности, отзыв; изготовление сертификатов.

19. Удостоверяющий центр на основании заявки уполномоченного органа изготавливает ключи ЭП и сертификаты пользователей удостоверяющего центра в электронном виде и в двух экземплярах в форме документа на бумажном носителе. Сертификат в форме документа на бумажном носителе оформляется на бланке удостоверяющего центра, заверяется собственноручной подписью уполномоченного лица удостоверяющего центра и печатью удостоверяющего центра. Все экземпляры сертификата собственноручно подписываются владельцем сертификата (пользователем удостоверяющего центра). Один экземпляр сертификата в форме документа на бумажном носителе выдается пользователю удостоверяющего центра. Второй экземпляр сертификата в форме документа на бумажном носителе хранится в удостоверяющем центре.

20. Способ получения ключей ЭП и сертификата:

получение осуществляется пользователем удостоверяющего центра лично с предъявлением паспорта или иного документа, удостоверяющего личность;

получение осуществляется доверенным лицом пользователя удостоверяющего центра с предъявлением оформленной доверенности. Форма доверенности приведена в приложении N 7 к настоящему Положению.

Пользователь удостоверяющего центра или доверенное лицо (в зависимости от способа получения) расписывается в соответствующем журнале выдачи ключей ЭП и сертификатов о получении:

электронного носителя с ключами ЭП;

сертификата в форме документа на бумажном носителе.

Форма журнала получения ключей ЭП и сертификатов приведена в приложении N 8 к настоящему Положению.

Владельцу сертификата назначается ключевое слово (пароль), которым необходимо воспользоваться в случае компрометации закрытого ключа ЭП.

21. Удостоверяющий центр в согласованный с уполномоченным органом срок производит все необходимые работы по изготовлению ключей ЭП и сертификатов пользователей удостоверяющего центра.

22. Срок действия ключей ЭП и сертификатов пользователей удостоверяющего центра составляет один год. Замена ключей ЭП и сертификатов пользователей удостоверяющего центра с истекшим сроком действия производится в порядке, определяемом пунктами 20 - 22 настоящего Положения. В течение срока действия ключей ЭП и сертификатов уполномоченный орган имеет право отзывать сертификаты пользователей удостоверяющего центра с уведомлением последних, отправленные по электронной почте с электронного ящика удостоверяющего центра на электронный ящик пользователя удостоверяющего центра, указанного при регистрации, в течение 24 часов.

23. Предоставление ключей ЭП и сертификатов пользователей удостоверяющего центра органам исполнительной власти области, органам местного самоуправления, а также находящимся в их ведении бюджетным учреждениям осуществляется на безвозмездной основе, территориальным органам федеральных органов государственной власти, организациям независимо от их организационно-правовых форм и форм собственности - на возмездной основе.

VIII. Отзыв сертификатов пользователей удостоверяющего центра

24. Уполномоченный орган в случае исключения пользователя удостоверяющего центра из реестра пользователей удостоверяющего центра в течение одного рабочего дня поручает удостоверяющему центру приостановить действие сертификата данного пользователя удостоверяющего центра. Удостоверяющий центр после получения заявления на отзыв (компрометацию) сертификата пользователя удостоверяющего центра от уполномоченного органа немедленно помещает сертификат данного пользователя удостоверяющего центра в список аннулированных (отозванных) сертификатов.

25. В случае компрометации закрытого ключа ЭП (компрометация закрытого ключа - утрата доверия к тому, что используемый закрытый ключ обеспечивает подлинность, защищенность и безопасность информации) владелец сертификата (пользователь удостоверяющего центра и/или организация) немедленно извещает удостоверяющий центр о возникшей ситуации.

Удостоверяющий центр после получения извещения немедленно приостанавливает действие сертификата. Организация в течение одного рабочего дня направляет заявление об отзыве сертификата в удостоверяющий центр. Форма заявления приведена в приложении N 9 к настоящему Положению.

К событиям, связанным с компрометацией ключей, относятся следующие ситуации:

утрата ключевых дискет или иных носителей ключа;

утрата ключевых дискет или иных носителей ключа с последующим обнаружением;

увольнение сотрудников, имевших доступ к ключевой информации;

возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;

нарушение целостности печатей на сейфах с носителями ключевой информации (если используется процедура опечатывания сейфов);

утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;

утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;

доступ посторонних лиц к ключевой информации.

26. Удостоверяющий центр после получения заявления немедленно помещает сертификат данного пользователя удостоверяющего центра в список аннулированных (отозванных) сертификатов. Удостоверяющий центр в течение одного рабочего дня уведомляет об этом уполномоченный орган.

27. Выведенные из действия закрытые ключи ЭП уничтожаются.

IХ. Обязанности организации и пользователей удостоверяющего центра

28. Пользователь удостоверяющего центра обязан:

не использовать для ЭП открытые и закрытые ключи ЭП, если ему известно, что эти ключи используются или использовались ранее;

хранить в тайне закрытый ключ ЭП;

немедленно требовать от удостоверяющего центра отзыва сертификата, если тайна закрытого ключа ЭП нарушена.

29. Пользователь удостоверяющего центра участвует в плановой смене ключей подписи и сертификатов, организуемой по инициативе уполномоченного органа.

30. Пользователь удостоверяющего центра принимает участие в работе экспертной комиссии при рассмотрении спорных вопросов и конфликтных ситуаций, его касающихся (конфликтная ситуация - ситуация, при которой возникает необходимость разрешения вопросов о признании или непризнании авторства и/или подлинности ЭД, подписанных ЭП пользователя удостоверяющего центра).

31. Организация обязана уведомить уполномоченный орган об окончании срока действия ключей ЭП за две недели до окончания срока их действия.

32. Пользователь удостоверяющего центра несет персональную ответственность за безопасность собственных закрытых ключей ЭП и обязан обеспечивать их сохранность, неразглашение и нераспространение во время использования и хранения.

33. После окончания срока действия сертификата ключа подписи владелец сертификата ключа прекращает использование соответствующих закрытых ключей ЭП и в трехдневный срок сдает их администратору обмена ЭД. Администратор обмена ЭД направляет их в удостоверяющий центр.

34. Пользователь удостоверяющего центра обязан обменяться с уполномоченным лицом удостоверяющего центра ключами ЭП.