Приложение N 2. Положение о порядке организации выдачи и отзыва сертификатов ключей электронных подписей пользователей удостоверяющего центра органов исполнительной власти Оренбургской области. Постановление Правительства Оренбургской области от 27.06.2013 N 525-п "Об использовании электронной подписи в органах исполнительной власти Оренбургской области"

Приложение N 2
к постановлению Правительства Оренбургской области
от 27 июня 2013 г. N 525-п

Положение
о порядке организации выдачи и отзыва сертификатов ключей электронных подписей пользователей удостоверяющего центра органов исполнительной власти Оренбургской области

I. Общие положения

1. Положение о порядке организации выдачи и отзыва сертификатов ключей электронных подписей пользователей удостоверяющего центра органов исполнительной власти Оренбургской области (далее - Положение) определяет порядок выдачи и отзыва сертификатов ключей электронной подписи пользователей удостоверяющего центра органов исполнительной власти Оренбургской области, использующих электронную подпись.

Список терминов и сокращений, используемых в положении

Ключевой носитель - информационный носитель, на который записаны криптографические ключи.

Ключи ЭП - совокупность закрытого и открытого ключей ЭП, где закрытый ключ ЭП - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в ЭД ЭП с использованием средств ЭП, а открытый ключ ЭП - уникальная последовательность символов, соответствующая закрытому ключу ЭП, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств ЭП подлинности ЭП в ЭД.

Компрометация ключа - констатация владельцем криптографического ключа обстоятельств, при которых возможно несанкционированное использование секретного ключа неуполномоченными лицами.

Конфликтная ситуация - ситуация, при которой у участников электронного документооборота возникает необходимость разрешить вопросы признания или непризнания авторства и/или целостности электронных документов системы документооборота, обработанных средствами криптографической защиты информации.

Криптографическая защита - защита данных с помощью их криптографического преобразования.

Пользователь удостоверяющего центра - физическое лицо, внесенное в реестр пользователей удостоверяющего центра и получившее электронную подпись.

Реестр пользователей удостоверяющего центра - список пользователей удостоверяющего центра организаций, которым выданы ключи ЭП.

Сертификат ключа подписи - документ на бумажном носителе или ЭД с ЭП пользователя удостоверяющего центра, который включает в себя открытый ключ ЭП и выдается удостоверяющим центром участнику системы электронного документооборота для подтверждения подлинности ЭП и идентификации владельца сертификата ключа подписи.

Удостоверяющий центр - юридическое лицо (государственное бюджетное учреждение Оренбургской области "Центр информационных технологий Оренбургской области"), выполняющее функции, предусмотренные Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи", и обладающее необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.

ЭД - электронный документ, в котором информация представлена в электронной форме.

ЭП - электронная подпись, реквизит ЭД, предназначенный для защиты данного ЭД от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в ЭД.

II. Порядок регистрации пользователей удостоверяющего центра

2. Для регистрации пользователей в реестре пользователей удостоверяющего центра (далее - реестр) организация представляет в удостоверяющий центр заявление согласно приложению N 2 к регламенту удостоверяющего центра, содержащее информацию о пользователях удостоверяющего центра (далее - пользователи УЦ).

3. Удостоверяющий центр в течение 5 дней со дня получения заявления осуществляет рассмотрение и информирование заявителя о регистрации пользователей УЦ в реестре.

4. Удостоверяющий центр имеет право отказать в регистрации пользователям УЦ в случаях несоответствия заявления требованиям настоящего Положения и(или) недостоверности представленной информации, о чем заявителю направляется уведомление в письменной форме.

III. Организация выдачи сертификатов пользователям УЦ

5. Удостоверяющий центр изготавливает ключи ЭП и сертификаты пользователей УЦ в электронном виде и в двух экземплярах в форме документа на бумажном носителе на основании заявления органа исполнительной власти или местного самоуправления. Сертификат в форме документа на бумажном носителе оформляется на бланке удостоверяющего центра, заверяется собственноручной подписью уполномоченного лица удостоверяющего центра и печатью удостоверяющего центра. Все экземпляры сертификата собственноручно подписываются владельцем сертификата (пользователем УЦ). Один экземпляр сертификата в форме документа на бумажном носителе выдается пользователю УЦ. Второй - хранится в удостоверяющем центре.

6. Получение ключей ЭП и сертификата осуществляется:

пользователем УЦ лично по предъявлении паспорта или иного документа, удостоверяющего личность;

уполномоченным лицом пользователя УЦ по предъявлении доверенности согласно приложению N 1 к настоящему Положению.

7. Пользователь УЦ или доверенное лицо расписывается в соответствующих журналах выдачи ключей ЭП и сертификатов о получении:

электронного носителя с ключами ЭП;

сертификата в форме документа на бумажном носителе;

средств криптографической защиты.

Владельцу сертификата ключа подписи назначается пароль (парольная фраза) контейнера сертификата которым можно воспользоваться в случае компрометации закрытого ключа ЭП.

8. Удостоверяющий центр в установленный срок производит все необходимые работы по изготовлению ключей ЭП и сертификатов ключей подписи.

9. Срок действия ключей ЭП составляет один год. Замена ключей ЭП и сертификата ключа подписи с истекшим сроком действия производится в порядке, определенном пунктами 20 - 22 настоящего Положения. В течение срока действия сертификата ключа подписи удостоверяющий центр имеет право отозвать их, направив уведомление об этом пользователю УЦ в течение 24 часов в электронном виде.

10. Предоставление ключей ЭП и сертификатов ключей подписи пользователей УЦ органам исполнительной власти, Законодательному Собранию Оренбургской области, органам местного самоуправления, а также находящимся в их ведении бюджетным учреждениям осуществляется на безвозмездной основе; территориальным органам федеральных органов государственной власти, организациям независимо от их организационно-правовых форм и форм собственности - по отдельным соглашениям.

IV. Отзыв сертификатов ключей подписи

11. Удостоверяющий центр в случае исключения пользователя УЦ из реестра в течение одного рабочего дня приостанавливает действие его сертификата ключа подписи.

После получения заявления на отзыв (компрометацию) сертификата ключа подписи пользователя УЦ немедленно помещает сертификат ключа подписи данного пользователя УЦ в список аннулированных (отозванных) сертификатов.

12. В случае компрометации ключа ЭП владелец сертификата (пользователь УЦ и(или) организация) немедленно извещает удостоверяющий центр о возникшей ситуации. Удостоверяющий центр после получения извещения немедленно приостанавливает действие сертификата ключа подписи. Органы исполнительной власти и местного самоуправления в течение одного рабочего дня направляют заявление об отзыве сертификата ключа подписи в удостоверяющий центр по форме согласно приложению N 9 к регламенту удостоверяющего центра государственного бюджетного учреждения Оренбургской области "Центр информационных технологий Оренбургской области".

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду приложение N 3 к Регламенту

13. К событиям, связанным с компрометацией ключей, относятся:

утрата электронных носителей ЭП;

утрата электронных носителей ЭП с последующим обнаружением;

увольнение сотрудников, имевших доступ к ключевой информации;

возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;

нарушение целостности печатей на сейфах с носителями ключевой информации (если используется процедура опечатывания сейфов);

утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;

утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;

доступ посторонних лиц к ключевой информации.

V. Права и обязанности организаций, использующих ЭП и пользователей УЦ

14. Организации, сотрудники которой используют ЭП, обязаны провести мероприятия по подготовке к эксплуатации средств криптографической защиты информации в соответствии с требованиями, определенным законодательством Российской Федерации в сфере криптографической защиты и информационной безопасности.

15. Пользователи УЦ обязаны:

обеспечивать сохранность, неразглашение и нераспространение ключа ЭП во время их использования и хранения

не использовать для ЭП ключи ЭП, если пользователям известно, что эти ключи скомпрометированы;

немедленно требовать от удостоверяющего центра отзыва сертификата ключа подписи, если тайна закрытого ключа ЭП нарушена.

16. Пользователи УЦ несут персональную ответственность за безопасность собственных закрытых ключей ЭП.

17. Пользователи УЦ имеют право:

назначать оператора (операторов) своей ЭП. Операторы ЭП назначаются внутренним документом органа исполнительной власти или органа местного самоуправления;

самостоятельно инициировать ежегодную смену ключей и сертификатов ЭП.

принимать участие в работе экспертной комиссии при рассмотрении спорных вопросов и конфликтных ситуаций, возникших с применением его ЭП.

18. При прекращении срока действия ключей ЭП по собственной инициативе пользователи УЦ и/или организация обязаны уведомить удостоверяющий центр об окончании срока действия ключей ЭП за две недели до окончания срока их действия.