Администрация ямало-ненецкого автономного округа постановление от 3 апреля 2008 г. N 146-а об утверждении положения об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте ямало-ненецкого автономного округа

Вид материала

Документы

Подобный материал:

• Принят Государственной Думой Ямало-Ненецкого автономного округа 24 ноября 2004 года, 1021.39kb.
• Правительство ямало-ненецкого автономного округа постановление от 10 июня 2010, 2617.89kb.
• Проект правительство ямало-ненецкого автономного округа постановление, 1284.99kb.
• Мониторинг практики применения Закона Ямало-Ненецкого автономного округа от 5 апреля 2010, 42.93kb.
• Администрация ямало-ненецкого автономного округа постановление, 91.02kb.
• Администрация ненецкого автономного округа постановление от 29 декабря 2007 г. N 282-п, 301.66kb.
• Окружная целевая программа "Развитие малого и среднего предпринимательства в Ямало-Ненецком, 868.79kb.
• Законодательное собрание ямало-ненецкого автономного округа постановление, 196.13kb.
• Бекова Микаиля Бексултановича, действующего на основании Положения о департаменте, 198.02kb.
• Окружная долгосрочная целевая программа "обеспечение продовольственной безопасности, 971.42kb.

Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Уполномоченный удостоверяющий центр - Региональный удостоверяющий центр автономного округа, определенный Губернатором автономного округа для выпуска сертификатов ключей подписи уполномоченных лиц органов исполнительной власти автономного округа. Предназначен для обеспечения участников информационных систем средствами и спецификациями для использования сертификатов открытых ключей.

Реестр - перечень должностных лиц, которым выдаются сертификаты ключей электронных цифровых подписей уполномоченных лиц органов исполнительной власти Ямало-Ненецкого автономного округа. Реестр ведет Уполномоченный орган.

РУЦ ЯНАО входит в структуру ГУ "Ресурсы Ямала" в качестве отдела, он организует и поддерживает работу подсистемы обеспечения безопасности информации Системы, осуществляет проверку готовности Участников и регистрацию Пользователей, обеспечивает их необходимыми для работы аппаратными, аппаратно-программными, программными средствами, ключевой информацией, нормативными руководящими материалами, координирует Систему, ведет учет распечатанных электронных документов. Наименования ГУ "Ресурсы Ямала" и "РУЦ ЯНАО" для Участников Системы являются равнозначными и равноопределяющими.

Уполномоченный орган - это исполнительный орган государственной власти ЯНАО, осуществляющий регулирование использования электронной цифровой подписи в информационных системах исполнительных органов государственной власти Ямало-Ненецкого автономного округа. Уполномоченный орган организовывает свою деятельность в целях обеспечения перехода к безбумажной форме документооборота с использованием ЭЦП в информационных системах исполнительных органов государственной власти автономного округа.

Участники Системы - органы государственной власти автономного округа, органы местного самоуправления, государственные и муниципальные учреждения и организации автономного округа, иные организации, включенные в Систему, независимо от их организационно-правовой формы), зарегистрированные в Системе и заключившие Договор на обслуживание для юридических лиц с ее Организатором - ГУ "Ресурсы Ямала".

Порядок подключения Участника к информационным ресурсам Системы определяется настоящим Положением.

Пользователи Системы (Пользователи) - физические лица, исполняющие должностные обязанности в органах государственной власти автономного округа, органах местного самоуправления, государственных, муниципальных учреждениях и организациях автономного округа или должностные обязанности в иных организациях, включенных в Систему, и уполномоченные этим учреждением осуществлять электронный документооборот в Системе с использованием технологий ЭЦП и/или шифрования. Пользователями так же являются физические лица, жители автономного округа присоединяющиеся к Системе как частные персоны.

Порядок включения физических лиц, исполняющих должностные обязанности в организациях - Участниках Системы, в число Пользователей определяется настоящим Положением.


III. Организационная структура Системы


3.1. СЮЗЗЭД ЯНАО представляет собой корпоративную информационную систему, организованную ГУ "Ресурсы Ямала", с целью обеспечения возможности безопасного и юридически значимого обмена информацией, в том числе платежно-расчетными документами, в электронной форме, а также ведения защищенных от подделки и хищения баз данных и реестров в интересах органов исполнительной власти автономного округа, органов местного самоуправления, государственных муниципальных и иных организаций автономного округа, а также жителей автономного округа.

3.2. Организационно СЮЗЗЭД ЯНАО представляет собой двухуровневую структуру, которая включает в себя:

Верхний уровень - Организаторов Системы - Уполномоченный орган, ГУ "Ресурсы Ямала".

Нижний уровень - Участники и Пользователи Системы.

3.3. Все Пользователи Системы допускаются к работе исключительно на основании приказов руководителей соответствующих организаций-участников и только после регистрации в РУЦ ЯНАО.


IV. Порядок подключения Участников к Системе


4.1. Подключение Участника к Системе осуществляется на основании заключаемого договора между Участником и ГУ "Ресурсы Ямала".

4.2. Присоединение Участника к Системе, если это не оговорено особо при заключении Договора, осуществляется на неопределенный срок.

4.3. Работы по подключению организации-заявителя к Системе проводятся ГУ "Ресурсы Ямала" за счет заявителя.

4.4. При подключении Участника к Системе ГУ "Ресурсы Ямала" на основании Договора на обслуживание для юридических лиц в Системе и соответствующего заявления осуществляет в согласованные сроки подготовку персонала Участника, проверку его готовности, регистрацию Пользователей Участника, проводит организационную и техническую подготовку Участника к использованию Системы, обеспечивает Пользователей Участника необходимой ключевой информацией и сертификатами ключей подписи, обеспечивает включение этих сертификатов в Реестр действующих сертификатов ключей подписей.

4.5. При заключении Договора на обслуживание для юридических лиц в Системе Участник представляет в РУЦ ЯНАО следующие сведения и документы:

список должностных лиц Участника (фамилия, имя, отчество, занимаемая должность), которым предоставлено право подписывать электронные документы электронной цифровой подписью и шифрование документов;

документальное подтверждение должностных полномочий Пользователей;

приказ о назначении на должности Администраторов информационной безопасности организации - Участника Системы;

сведения о помещениях, в которых предполагается эксплуатировать аппаратно-программные средства Абонентского пункта Системы;

сведения о предполагаемых к использованию Участником каналах связи, включая их тип, номера телефонов или адреса в сетях передачи данных;

телефонный номер для экстренной связи с ним (Участником);

обязательство перед Федеральной службой безопасности Российской Федерации об обеспечении возможности контроля за порядком использования средств криптографической защиты информации (СКЗИ) Участником со стороны федеральных органов безопасности.

Примечание.

При определении необходимого ему числа Абонентских пунктов, Участник должен учитывать, что на одном рабочем месте Системы могут работать несколько Пользователей.


4.6. ГУ "Ресурсы Ямала", если это предусмотрено Договором на обслуживание для юридических лиц в Системе, осуществляет приобретение необходимого для построения Абонентских пунктов Участника аппаратных средств, программного обеспечения, включая сертифицированные средства защиты информации.

4.7. После проведения РУЦ ЯНАО всех предусмотренных для подключения Участника Договором на обслуживание для юридических лиц в Системе работ, осуществляется регистрация должностных лиц Участника в качестве Пользователей Системы и получение этими лицами в РУЦ ЯНАО изготовленных индивидуальных криптографических ключей и сертификатов ключей подписи.

Порядок управления криптографическими ключами Пользователей, их изготовления и передачи Пользователями определяется настоящим Положением.

4.8. Кроме того, РУЦ ЯНАО после проведения всех предусмотренных для подключения Участника договором на обслуживание для юридических лиц в Системе работ осуществляет следующие мероприятия:

устанавливает (по требованию Участника) ПО СКЗИ, передает Участнику лицензию на использование ПО СКЗИ, а также полный комплект эксплуатационной документации на СКЗИ;

корректирует и публикует установленным порядком обновленный Реестр действующих сертификатов ключей подписей Пользователей.

4.9. Присоединение Участника и техническое подключение его Абонентских пунктов к Системе оформляется подписанием уполномоченными должностными лицами Сторон Акта установки и ввода в эксплуатацию аппаратно-программного комплекса Абонентских пунктов Системы.

4.10. Дальнейшее обслуживание Участника и техническое сопровождение аппаратно-программных средств его Абонентских пунктов Системы осуществляются РУЦ ЯНАО в соответствии с настоящим Положением, Регламентом деятельности РУЦ ЯНАО и Договором на обслуживание для юридических лиц в Системе.


V. Порядок изготовления и управления ключами в Системе


5.1. Использование технологий шифрования и электронной цифровой подписи в Системе обеспечивает конфиденциальность электронных документов и придает им юридическую силу. Несанкционированное использование индивидуальных закрытых ключей подписи Пользователя посторонними лицами приводит к утечке конфиденциальной информации и созданию или искажению с преступными намерениями юридически значимых электронных документов от имени должностного лица, обладающего индивидуальным закрытым ключом электронной цифровой подписи.

В связи с этим особое значение для обеспечения безопасности информации, циркулирующей в Системе, имеет сохранение в тайне индивидуальных закрытых ключей подписи. Во избежание опасных последствий необходимо:

строго соблюдать требования по обеспечению режима безопасности ключевой информации;

неукоснительно выполнять все организационные меры, направленные на защиту ключевой информации от несанкционированного доступа к ней;

в случае компрометации ключей принять все меры к незамедлительному информированию о случившемся должностных лиц РУЦ ЯНАО, ответственных за безопасность информации, а также к локализации последствий компрометации, в соответствии с настоящим Положением.

Строгое соблюдение требований по обеспечению режима безопасности средств криптографической защиты информации и, в первую очередь, безопасности закрытой ключевой информации позволит оградить служебные и финансовые интересы Участников Системы от злонамеренных посягательств посторонних лиц и их возможных последствий.

5.2. В целях обеспечения безопасности конфиденциальной ключевой информации Участники и Пользователи Системы в процессе работы с действующими ключами должны выполнять требования эксплуатационных документов на сертифицированные СКЗИ.

Категорически запрещается:

осуществлять несанкционированное копирование ключевых данных;

хранить Носители ключевой информации вне мест, специально для этого установленных (согласно требованиям пункта 30 приказа ФАПСИ от 13 июня 2001 года N 152);

выдавать Носители ключевой информации лицам, не допущенным к работе с ними, или с отступлением от установленных правил;

во время перерывов в работе оставлять Носители ключевой информации без присмотра в устройствах считывания ПЭВМ, на рабочем месте, шкафах и ящиках, для этого не предназначенных;

передавать индивидуальные закрытые ключи шифрования и ЭЦП другим лицам иначе как на основании надлежащим образом оформленной доверенности;

производить уничтожение ключей на Носителях ключевой информации после окончания срока их действия или хранения, а также после их выведения из действия способами, отличными от описанных в эксплуатационной документации на СКЗИ;

Категорически не рекомендуется:

проносить и использовать в помещениях, где размещены сертифицированные СКЗИ, сотовые телефоны, радиотелефоны и другую излучающую радиоэлектронную аппаратуру.

5.3. Подписание электронных документов каждым Пользователем Системы осуществляется с использованием индивидуального, только ему принадлежащего, отличного от всех других, закрытого ключа ЭЦП Пользователя.

При такой организации Системы компрометация ключевой информации любого из Пользователей не приводит к компрометации ключей у других абонентов системы, что позволяет им продолжать подготовку юридически значимых электронных документов и безопасный обмен конфиденциальной информацией.

5.4. Управление ключами в Системе осуществляет РУЦ ЯНАО.

5.5. РУЦ ЯНАО вырабатывает закрытые и открытые ключи подписи на Автоматизированном рабочем месте РУЦ ЯНАО (АРМ РУЦ ЯНАО) в соответствии с государственной лицензией и эксплуатационной документацией на СКЗИ.

5.6. РУЦ ЯНАО для изготовления индивидуальных криптографических ключей использует программные и технические средства изготовления ключевой информации, сертифицированные и аттестованные уполномоченными государственными органами. РУЦ ЯНАО гарантирует отсутствие нерегламентированных процедур скрытого копирования индивидуальной закрытой ключевой информации в используемых программных и технических средствах.

5.7. Ключевая информация Пользователя генерируется и записывается РУЦ ЯНАО на Носители ключевой информации.

Каждый Носитель ключевой информации содержит всю ключевую информацию, необходимую для работы Пользователя. Носители ключевой информации являются конфиденциальной информацией и должны храниться в тайне. Должностные лица РУЦ ЯНАО, Участники и Пользователи несут персональную ответственность за обеспечение сохранности ключевой информации и защиту ключевых носителей от несанкционированного использования.

5.8. РУЦ ЯНАО изготавливает сертификаты криптографических ключей подписи и/или шифрования Пользователя в электронном виде и вместе с Носителем ключевой информации передает их Пользователю.

При изготовлении сертификатов ключей РУЦ ЯНАО оформляет 2 (два) экземпляра сертификата в форме документов на бумажных носителях, которые заверяются собственноручными подписями владельца сертификата ключа и уполномоченного лица ГУ "Ресурсы Ямала", а также печатью ГУ "Ресурсы Ямала". Один экземпляр сертификата ключа на бумажном носителе выдается владельцу сертификата ключа, один - остается в РУЦ ЯНАО.

Сертификаты индивидуальных ЭЦП публикуются РУЦ ЯНАО в Реестре действующих сертификатов ключей подписей.

5.9. Индивидуальные открытые ключи подписи Пользователя считаются зарегистрированными в Системе, если на соответствующих сертификатах в форме документов на бумажных носителях присутствуют подписи Пользователя или его установленным образом уполномоченного лица и уполномоченного лица РУЦ ЯНАО.

Наличие на сертификатах индивидуальных ключей подписи в форме документов на бумажных носителях подписи Пользователя или его уполномоченного лица означает его обязательство использовать для проверки ЭЦП электронных документов и их зашифровывания исключительно данные криптографические ключи в течение всего периода их действия.

5.10. После получения сертификатов криптографических ключей и их регистрации в Системе Пользователь получает доступ к сертификатам открытых ключей других Пользователей и Списку отозванных сертификатов (СОС).

5.11. Периодичность и способ доставки обновлений Списка отозванных сертификатов РУЦ ЯНАО определяется Регламентом деятельности РУЦ ЯНАО.

5.12. Срок действия индивидуальных криптографических ключей Пользователей - не более 12 месяцев.

5.13. Плановая смена ключей (закрытого и соответствующего ему открытого ключа) уполномоченного лица РУЦ ЯНАО выполняется не ранее чем через 1 (один) год и не позднее чем через 1 (один) год и 6 (шесть) месяцев после начала действия закрытого ключа (и, соответственно, сертификата ключа подписи) уполномоченного лица РУЦ ЯНАО.

5.14. Процедура плановой смены ключей определена Регламентом деятельности РУЦ ЯНАО.

5.15. В соответствии с этой процедурой Уполномоченное лицо РУЦ ЯНАО с помощью АРМ РУЦ ЯНАО формирует новые (закрытый и открытый) индивидуальные ключи и изготавливает сертификат нового открытого ключа, который подписывает своей ЭЦП с использованием нового закрытого ключа.

5.16. Старый закрытый ключ уполномоченного лица РУЦ ЯНАО используется в течение своего срока действия для формирования списков отозванных сертификатов в электронной форме, изданных РУЦ ЯНАО в период действия старого закрытого ключа уполномоченного лица РУЦ ЯНАО.

5.17. Внеплановая смена ключей уполномоченного лица РУЦ ЯНАО выполняется в случае компрометации или угрозы компрометации закрытого ключа уполномоченного лица РУЦ ЯНАО.

5.18. Последовательность действий Уполномоченного лица РУЦ ЯНАО в процессе внеплановой смены его криптографических ключей определена Регламентом деятельности РУЦ ЯНАО. И выполняется в порядке, предусмотренном для плановой смены ключей Уполномоченного лица РУЦ ЯНАО.

5.19. После создания Уполномоченным лицом РУЦ ЯНАО новых криптографических ключей и издания нового сертификата подписи все действующие сертификаты открытых ключей Пользователей УЦ аннулируются (отзываются) путем занесения их в Список отозванных сертификатов.

Старый сертификат открытого ключа уполномоченного лица РУЦ ЯНАО также аннулируется (отзывается) путем занесения в Список отозванных сертификатов.

Список отозванных сертификатов подписывается старым закрытым ключом, подвергшимся процедуре внеплановой смены, уполномоченного лица РУЦ ЯНАО.

5.20. РУЦ ЯНАО официально уведомляет участников Системы о проведении процедуры внеплановой смены ключа уполномоченного лица РУЦ ЯНАО путем публикации Списка отозванных сертификатов, содержащего сертификат подписи Уполномоченного лица РУЦ ЯНАО и рассылки соответствующих уведомлений.

5.21. После получения официальной публикации о факте внеплановой смены ключа уполномоченного лица РУЦ ЯНАО Пользователям необходимо выполнить процедуру получения новых криптографических ключей и сертификатов открытого ключа.

Получение ключей и сертификатов открытого ключа Пользователями Системы осуществляется в РУЦ ЯНАО централизованно на основании заявления на получение ключей и сертификата тем же порядком, что и получение новых криптографических ключей и сертификатов подписи.

5.22. В ходе внеплановой смены ключей замене подлежат все действующие индивидуальные ключи ЭЦП.

5.23. Пользователь после получения новых ключей подписи и их сертификатов проверяет их работоспособность, после чего направляет в РУЦ ЯНАО информационное письмо с уточнением даты и времени вывода из действия старых ключей и ввода в действие новых ключей.

Примечание.

Все письма могут быть оформлены в электронном виде и подписаны на старых ключах. Предлагаемая Пользователем дата должна находиться в интервале, установленном пунктом 12 настоящего Положения.

В соответствии с полученным информационным письмом в назначенный день РУЦ ЯНАО заносит сертификаты старых ключей в Справочник отозванных сертификатов и вводит в действие новые ключи порядком, установленным настоящим Положением. С этого момента Пользователь работает на новых ключах.


5.24. Выведенные из действия старые индивидуальные криптографические ключи уничтожаются Пользователем или его уполномоченным лицом самостоятельно методом, установленным эксплуатационной документацией на СКЗИ в течение не более 10 дней с момента выведения их из действия.

5.25. Уничтожение выведенных из действия индивидуальных ключей оформляется Актом уничтожения индивидуальных криптографических ключей, один экземпляр которого передается РУЦ ЯНАО.

Второй экземпляр Акта уничтожения индивидуальных криптографических ключей и сертификаты выведенных из действия ключей подписи и/или шифрования Пользователя передаются установленным образом в архивное подразделение соответствующего Участника Системы.

5.26. Пользователи и уполномоченные лица РУЦ ЯНАО несут персональную ответственность за своевременное уничтожение выведенных из действия индивидуальных ключей в полном соответствии с порядком, установленным настоящим Положением и должностными инструкциями.

Повторное использование индивидуальных ключей, выведенных из действия, должно быть исключено.

5.27. Срок архивного хранения Актов уничтожения индивидуальных криптографических ключей и сертификатов, выведенных из действия ключей подписи и/или шифрования, определяется действующим законодательством и не может быть меньше срока хранения аналогичных по содержанию традиционных бумажных документов.


VI. Компрометация криптографических ключей

и порядок локализации ее последствий


6.1. Под компрометацией индивидуального криптографического ключа Пользователя понимается утрата доверия к тому, что используемые ключи обеспечивают безопасность конфиденциальной информации, циркулирующей в Системе. К событиям, связанным с компрометацией действующих криптографических ключей, относятся следующие:

утрата носителей ключевой информации;

утрата носителей ключевой информации с последующим их обнаружением;

увольнение сотрудников, имевших доступ к ключевой информации;

нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа;

изменение должностного статуса Пользователя;

возникновение подозрений на утечку конфиденциальной информации или ее искажение;

нерасшифровывание входящих или исходящих сообщений Пользователей;

отрицательный результат при проверке ЭЦП документа;

нарушение целостности упаковки носителей ключевой информации и/или печати на хранилище (сейфе), где хранились носители.

Первые четыре события должны трактоваться как безусловная компрометация действующих ключей. Остальные события требуют специального расследования в каждом конкретном случае.

Наступление любого из перечисленных выше событий является чрезвычайным происшествием, которое может привести к опасным последствиям, в первую очередь, для самого Пользователя Системы и его организации - Участника Системы. В связи с чем, при обнаружении любого из этих событий, Пользователь, а также иные должностные лица Участника обязаны принять срочные меры к оповещению о случившемся РУЦ ЯНАО и Службы безопасности своего предприятия, а также принять предусмотренные настоящим Положением и должностными инструкциями меры к локализации возможных опасных последствий компрометации действующих криптографических ключей.