Приложение N 4. Порядок организации защищенного электронного взаимодействия при обмене электронными документами между УМФЦ и отделением ПФР. Распоряжение Пенсионного фонда РФ от 20.03.2013 N 92р "О взаимодействии между уполномоченными многофункциональными центрами предоставления государственных и муниципальных услуг и отделениями Пенсионного фонда Российской Федерации" (в ред. расп. от 09.08.2013 N 308ра)

Приложение N 4
к Примерному соглашению о
взаимодействии между уполномоченным
многофункциональным центром
предоставления государственных и
муниципальных услуг и отделением
Пенсионного фонда Российской
Федерации

Порядок
организации защищенного электронного взаимодействия при обмене электронными документами между УМФЦ и отделением ПФР

1. Общие положения

1.1. Настоящий Порядок разработан на основании статьи 18 Федерального закона от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", Федерального закона от 06 апреля 2011 г. N 63-ФЗ "Об электронной подписи", Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановления Правительства Российской Федерации от 22 декабря 2012 г. N 1376 "Об утверждении Правил организации деятельности многофункциональных центров предоставления государственных и муниципальных услуг" и является неотъемлемой частью настоящего Соглашения.

1.2. Целью настоящего Порядка является определение условий и процедур, при соблюдении которых обеспечивается защита от несанкционированного доступа, целостность, а также подтверждение авторства электронных документов, передаваемых по телекоммуникационным каналам связи между УМФЦ или привлекаемыми им на договорной основе многофункциональными центрами (МФЦ), расположенными на территории соответствующего субъекта Российской Федерации, и отделением ПФР.

1.3. Термины и определения поименованы в приложении к настоящему Порядку.

2. Организация защищенного взаимодействия

2.1. Защищенное электронное взаимодействие между УМФЦ и отделением ПФР строится на базе средств криптографической защиты информации (СКЗИ), применяемых в ПФР (ПО ViPNet, версия 3.2 и выше; Верба-OW, версия 6.1.2 и выше), или совместимых с ними СКЗИ.

2.2. Для организации защищенного информационного взаимодействия со стороны УМФЦ могут привлекаться специализированные организации, оказывающие услуги в области шифрования информации и удостоверяющего центра (УЦ).

2.3. Передача электронных документов между УМФЦ и отделением ПФР осуществляется уполномоченными лицами, назначенными распорядительными документами Сторон. О назначении уполномоченных лиц Стороны письменно сообщают друг другу с указанием фамилий, имен и отчеств, номеров телефонов и адресов электронной почты.

2.4. Юридическая значимость электронных документов в рамках электронного информационного взаимодействия УМФЦ и отделения ПФР обеспечивается с использованием усиленной квалифицированной электронной подписи (далее - ЭП), вырабатываемой с использованием ключей электронной подписи. Сертификаты ключей проверки ЭП выдаются:

- для работников УМФЦ - УЦ, оказывающим услуги УМФЦ;

- для работников ПФР - УЦ ПФР (отделения ПФР).

УЦ должны быть аккредитованы Минкомсвязью России.

2.5. ЭП уполномоченного лица УМФЦ или отделения ПФР в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе. Если в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами документ должен быть заверен печатью, электронный документ, подписанный электронной подписью уполномоченного лица УМФЦ или отделения ПФР, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью и заверенному печатью.

2.6. Управление инфраструктурой сертификатов ключей проверки электронной подписи уполномоченных лиц УМФЦ осуществляет УЦ, оказывающий услуги в соответствии со своим Регламентом работы (далее - Регламент) и на основании договора между УЦ и УМФЦ.

2.7. Управление инфраструктурой сертификатов ключей проверки электронной подписи уполномоченных лиц отделения ПФР осуществляют УЦ ПФР или УЦ отделений ПФР в соответствии с их Регламентами.

2.8. Для обеспечения взаимного признания сертификатов ключей проверки электронной подписи уполномоченных лиц удостоверяющих центров УЦ, оказывающий услуги УМФЦ, и УЦ ПФР при необходимости проводят процедуру кросс-сертификации УЦ.

3. Порядок защищенного электронного взаимодействия

3.1. Для осуществления электронного защищенного взаимодействия на АРМе уполномоченным лицам Сторон устанавливается СКЗИ, вырабатываются и выдаются ключи шифрования, ключи электронной подписи, ключи проверки электронной подписи, сертификаты ключей проверки электронной подписи в соответствии с регламентами обслуживающих их УЦ и руководство пользователю по эксплуатации СКЗИ.

3.2. В качестве транспортной среды для ведения защищенного электронного взаимодействия между УМФЦ и отделением ПФР используются телекоммуникационные сети, включая сеть Интернет.

3.3. Установку, настройку СКЗИ, средств защиты информации от несанкционированного доступа и обучение уполномоченных лиц правилам работы с ними осуществляют:

- в УМФЦ - работники УМФЦ или представители специализированной организации предоставляющей услуги;

- в отделении ПФР - структурное подразделение по защите информации отделения ПФР.

3.4. Указанный порядок защищенного информационного взаимодействия более подробно описывается применительно к выбранному типу СКЗИ.

4. Порядок действий уполномоченных лиц при осуществлении защищенного электронного взаимодействия

4.1. При отправке электронных документов:

- проверить подготовленный для отправки электронный документ и подписать его ЭП, убедиться, что ЭП создана;

- зашифровать подписанный электронный документ и отправить шифрованный файл получателю;

- получить квитанцию о доставке.

4.2. При получении электронных документов:

- расшифровать полученный файл;

- проверить наличие ЭП уполномоченного лица другой Стороны на полученном документе, ее целостность и действительность;

- отправить квитанцию о доставке (может осуществляться автоматически, средствами электронной почты, о чем оговаривается при заключении Соглашения);

- в случае если ЭП нарушена или недействительна, направить ответное сообщение (письмо) с указанием причины, по которой электронный документ не может быть принят к исполнению.

4.3. Принятые электронные документы обрабатываются в соответствии с установленным порядком внутреннего электронного документооборота отделения ПФР и УМФЦ.

5. Обеспечение информационной безопасности

5.1. Хранение информации, содержащей персональные данные, на АРМах уполномоченных лиц осуществляется только на период, необходимый для ее гарантированной доставки адресату и обработки в соответствии с принятой технологией.

5.2. На АРМах уполномоченных лиц, участвующих в электронном документообороте, должна обеспечиваться следующая общая политика безопасности:

- информационный обмен между АРМами осуществляется в зашифрованном виде. Открытый IP-трафик блокируется;

- для работы АРМ внутри корпоративной сети устанавливается персональный сетевой экран, и производятся дополнительные настройки фильтров IP-пакетов;

- в список адресатов защищенной сети для конкретного АРМа включаются только санкционированные АРМы, участвующие в электронном документообороте;

- правила доступа для пропуска трафика от адресатов защищенной сети должны быть настроены только для работы по разрешенным протоколам и портам;

- права изменения настроек (конфигурации) АРМов предоставляются только администраторам безопасности Сторон.

5.3. Для защиты информации от несанкционированного доступа на АРМах уполномоченных лиц дополнительно устанавливаются средства защиты информации от несанкционированного доступа типа "Аккорд" или "Соболь", сертифицированные ФСТЭК России. По согласованию с ФСБ России допускается замена на иные аппаратно-программные модули доверенной загрузки (АПМДЗ).

5.4. Оборудование помещений, где размещаются АРМы с СКЗИ, порядок допуска в них и их охрана должны соответствовать требованиям ФСБ России по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

5.5. При компрометации ключей электронной подписи или шифрования администратор безопасности Стороны, где произошла компрометация, обязан незамедлительно сообщить об этом администратору безопасности другой Стороны.

Стороны принимают меры по замене скомпрометированных ключей в соответствии с правилами работы СКЗИ и Регламентами работы обслуживающих их удостоверяющих центров.

6. Порядок разбора конфликтных ситуаций

Разбор конфликтных ситуаций, связанных с формированием и использованием в электронных документах ЭП, проводится в соответствии с порядком, предусмотренным Регламентом работы УЦ, выдавшего сертификат ключа проверки ЭП.

Приложение
к Порядку организации защищенного
электронного взаимодействия при обмене
электронными документами между УМФЦ и
отделением ПФР

Термины и определения

Администратор безопасности - лицо, назначенное руководителем организации, производящее установку, настройку СКЗИ и контролирующее работу с СКЗИ пользователей. Администратор безопасности может быть доверенным лицом УЦ, подписывающим своей электронной подписью сертификаты ключей проверки электронных подписей пользователей.

АРМ (автоматизированное рабочее место) - компьютер с установленным СКЗИ или другим прикладным (специальным) программным обеспечением;

Ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи.

Ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.

Компрометация ключей - хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых криптоключи могут стать доступными другим лицам и (или) процессам.

Кросс-сертификация - процедура установления доверительных отношений между удостоверяющими центрами (доверенные УЦ), в результате которой сертификат, выданный доверенным удостоверяющим центром, считается достоверным.

Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданный удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Квалифицированный сертификат ключа проверки электронной подписи (далее - квалифицированный сертификат) - сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.

Средство криптографической защиты информации (СКЗИ) программное, аппаратное или аппаратно-программное средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.

Удостоверяющий центр - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 06 апреля 2011 г. N 63-ФЗ.

Уполномоченное лицо - работник, наделенный распорядительным документом Стороны полномочиями по подписанию электронных документов электронной подписью от имени участника информационного взаимодействия.

Электронный документ - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах.

Электронная подпись (ЭП) - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию, а также обеспечивает достоверность передаваемой информации.