Приложение 1. Регламент взаимодействия государственной корпорации "Агентство по страхованию вкладов" и негосударственного пенсионного фонда, являющегося участником системы гарантирования прав застрахованных лиц при обмене электронными документами. Соглашение об обмене электронными документами между государственной корпорацией "Агентство по страхованию вкладов" и негосударственным пенсионным фондом, являющимся участником системы гарантирования прав застрахованных лиц (утв. решением Правления государственной корпорации "Агентство по страхованию вкладов" от 22.12.2016 (протокол N 178))

Приложение 1
к Соглашению об обмене
электронными документами между
государственной корпорацией
"Агентство по страхованию вкладов"
и негосударственным пенсионным
фондом, являющимся участником
системы гарантирования прав
застрахованных лиц

Регламент
взаимодействия государственной корпорации "Агентство по страхованию вкладов" и негосударственного пенсионного фонда, являющегося участником системы гарантирования прав застрахованных лиц при обмене электронными документами

1. Организация обмена электронными документами, получения и отзыва сертификатов ключей подписи

1.1. Основанием для организации электронного взаимодействия и начала обмена электронными документами между Агентством и Фондом является присоединение Фонда к Соглашению об обмене электронными документами между государственной корпорацией "Агентство по страхованию вкладов" и негосударственным пенсионным фондом, являющимся участником системы гарантирования прав застрахованных лиц (далее - Соглашение).

1.2. Фонд организует абонентский пункт для обмена электронными документами между Агентством и Фондом, удовлетворяющий требованиям безопасности эксплуатационной и технической документации средства криптографической защиты информации (далее - СКЗИ) "КриптоПро CSP".

1.3. Фонд приказом назначает одного или нескольких работников, уполномоченных подписывать своей усиленной квалифицированной электронной подписью (далее - УКЭП) электронные документы, направляемые в Агентство, администратора абонентского пункта и администратора безопасности абонентского пункта (далее Приказ). Приказ (внесение изменений в Приказ) должен содержать следующие сведения: корпоративный электронный адрес Фонда, через который будет осуществляться обмен электронными документами, а также фамилию, имя, отчество, должность, адрес электронной почты, контактный номер телефона лиц, указанных в Приказе.

1.4. Фонд получает в аккредитованном Министерством связи и массовых коммуникаций Российской Федерации (далее - Минкомсвязь) Удостоверяющем центре сертификат ключа УКЭП.

1.5. После получения сертификата ключа УКЭП Фонд направляет в Агентство по электронному адресу npf@asv.org.ru следующую информацию:

- корпоративный электронный адрес Фонда, через который будет осуществляться обмен электронными документами;

- сертификат УКЭП уполномоченного работника Фонда в заархивированном виде;

- сертификат Удостоверяющего центра, выпустившего данный сертификат, в заархивированном виде.

1.6. Одновременно Фонд предоставляет в Агентство следующие документы на бумажном носителе:

- заверенную копию Приказа (изменений в Приказ), указанного в пункте 1.3 настоящего Регламента, подтверждающего электронный адрес Фонда, назначенный для обмена электронными документами с Агентством;

- заверенную копию сертификата ключа УКЭП уполномоченного работника Фонда.

1.7. Агентство, после получения сертификата УКЭП уполномоченного работника Фонда, направляет на корпоративный электронный адрес Фонда список уполномоченных работников Агентства, сертификат УКЭП уполномоченного работника Агентства и сертификат Удостоверяющего центра, его выпустившего, в заархивированном виде. С бумажными носителями копий сертификатов ключей УКЭП Фонд может ознакомиться и, при необходимости, получить их в офисе Агентства.

1.8. После обмена сертификатами ключей УКЭП уполномоченных работников и Удостоверяющих центров, а также получения Агентством заверенной копии Приказа и сертификата ключа УКЭП уполномоченного работника Фонда, Стороны осуществляют тестирование обмена электронными документами с УКЭП в зашифрованном виде, сформированными при помощи программного обеспечения "КриптоАРМ".

1.9. После проведения тестирования Агентство направляет в Фонд электронный документ, содержащий информацию об уполномоченном работнике Агентства, администраторе абонентского пункта и администраторе безопасности абонентского пункта с указанием их фамилии, имени, отчества, должности, адреса электронной почты и контактного номера телефона.

1.10. Если при проведении тестирования обе Стороны получили друг от друга электронные документы, расшифровали их и проверили корректность УКЭП, то Фонд считается готовым к обмену с Агентством электронными документами.

1.11. В случае изменения состава и информации об уполномоченном работнике Агентства, администраторе абонентского пункта и администраторе безопасности, Агентство направляет в Фонд электронный документ, содержащий сведения о таких изменениях.

1.12. В срок не позднее, чем за 15 (Пятнадцать) дней до окончания срока действия сертификата ключа УКЭП каждой из Сторон, Стороны обязаны проинформировать друг друга об этом, получить в Удостоверяющем центре новый сертификат ключа УКЭП, и провести действия согласно пунктам 1.4 - 1.7 настоящего Регламента.

1.13. В случае аннулирования, приостановления и компрометации сертификата ключа УКЭП, Сторона должна немедленно приостановить обмен электронными документами, поставить об этом в известность другую Сторону и при необходимости получить новый сертификат ключа УКЭП, а также выполнить действия согласно пунктам 1.4 - 1.7 Регламента взаимодействия.

1.14. Под компрометацией ключей УКЭП понимается такое событие, определенное владельцем ключей УКЭП, как ознакомление неуполномоченными лицами с его ключом УКЭП или возникновение сомнений в сохранении тайны ключа ЭП, в том числе:

- хищение, утрата, в том числе с последующим обнаружением;

- несанкционированное копирование ключевой информации;

- доступ третьих лиц к ключевой информации, включая возможность и (или) возникновение подозрений такого доступа;

- нарушение правил хранения;

- передача по линиям связи ключей УКЭП;

- обнаружение фактов искажения или изменения передаваемой информации;

- увольнение уполномоченных лиц, владельцев УКЭП, администратора безопасности абонентского пункта.

2. Требования по обеспечению безопасности функционирования абонентского пункта

2.1. Абонентский пункт размещается в охраняемом помещении, исключающим доступ посторонних лиц, не уполномоченных к работе на данном абонентском пункте.

2.2. Внутренняя планировка, расположение и укомплектованность рабочих мест в помещении должны обеспечивать исполнителям работ сохранность доверенных им конфиденциальных документов и сведений, включая ключевую информацию.

2.3. Системные блоки компьютеров абонентского пункта должны быть опломбированы и оборудованы средствами защиты от несанкционированного доступа. В качестве программно-аппаратных средств защиты от несанкционированного доступа в СКЗИ могут использоваться программно-аппаратный комплекс "КРИПТОН-ЗАМОК" и электронный замок "Соболь".

2.4. Ключи УКЭП и их носители должны быть учтены в выделенных для этих целей журналах.

2.5. Каждая из Сторон несет ответственность за обеспечение конфиденциальности ключей УКЭП, а также за риски неправомерного подписания электронного документа УКЭП.

2.6. Администратор абонентского пункта обязан:

- обеспечивать доверенную среду эксплуатации СКЗИ;

- исключать возможность удаленного управления, администрирования и модификации операционной системы (далее - ОС) и её настроек на абонентском пункте;

- не применять нестандартные, измененные или отладочные версии ОС;

- не устанавливать средства разработки и отладки программного обеспечения;

- настраивать режимы безопасности, реализованные в ОС, на максимально возможный уровень;

- выполнять действия по контролю целостности СКЗИ до и после завершения процесса установки в соответствии с требованиями эксплуатационной и технической документацией на СКЗИ;

- не устанавливать программное обеспечение, содержащее возможности, которые позволяют:

а) модифицировать содержимое произвольных областей памяти;

б) модифицировать собственный код и код других подпрограмм;

в) модифицировать память, выделенную для других подпрограмм;

г) передавать управление в область собственных данных и данных других подпрограмм;

д) несанкционированно модифицировать файлы, содержащие исполняемые коды при их хранении на жестком диске;

е) повышать предоставленные привилегии;

ж) модифицировать настройки ОС;

з) использовать недокументированные фирмой-разработчиком функции ОС.

2.7. Каждая из Сторон несет ответственность за обеспечение конфиденциальности ключей УКЭП, а также за риски неправомерного подписания электронного документа УКЭП.

3. Порядок обмена информацией между Агентством и Фондом

3.1. Обмен электронными документами осуществляется по открытым каналам связи с использованием электронной почтовой службы информационно-телекоммуникационной сети "Интернет". В качестве почтовой службы используются почтовые программы, такие как Outlook Express или Microsoft Outlook.

3.2. Стороны обеспечивают шифрование электронных документов и проставление УКЭП перед их передачей. Не допускается обмен электронными документами в незашифрованном виде.

3.3. Электронные документы создаются в произвольном формате в кодировке Win-1251. Почтовые сообщения формируются без текста с вложенными файлами. Тема сообщения указывается в соответствии с Перечнем документов, передаваемых в электронном виде (Приложение 2 к Соглашению).

3.4. Факт получения электронного документа подтверждается путем направления на электронный адрес другой Стороны уведомления по форме согласно Приложению 1.1 к Соглашению. В случае непоступления уведомления в течение 72 часов Стороны оповещают друг друга об указанном обстоятельстве.

3.5. При возникновении спорной ситуации, связанной с подлинностью электронного документа, такой документ незамедлительно направляется повторно. При повторном возникновении спорной ситуации документ направляется иным способом.