Внимание! Документ недействующий.

РОССИЙСКАЯ ФЕДЕРАЦИЯ

РЕСПУБЛИКА КАРЕЛИЯ

МИНИСТЕРСТВО ЭКОНОМИЧЕСКОГО РАЗВИТИЯ

ПРИКA3

от 29 мая 2006 годаN 1137-А

Об утверждении Положения об организации
использования электронной цифровой подписи
и шифрования информации в электронном
документообороте автоматизированной
информационной системы государственного
заказа Республики Карелия

Документ утратил силу с 31.03.2011 г. на основании

Приказа Министерства экономического развития Республики Карелия от 22.03.2011 г. N 40-А, введенным в действие с 31.03.2011 г. ( Газета "Карелия" N 31 (2186) 05.05.2011 г. С. 12)

В соответствии с республиканской целевой программой «Информатизация Республики Карелия на 2004 - 2007 годы», утвержденной постановлением Законодательного Собрания Республики Карелия от 22 сентября 2004 гада N 1376-IIIЗС (Собрание законодательства Республики Карелия, 2004, N 9, ст. 1060; 2005, N 10, ст. 1009; 2006, N 3, ст. 231) приказываю:

1. Ввести в электронной документооборот автоматизированной информационной системы государственного заказа Республики Карелия (далее - АИС ГЗ РК) электронную цифровую подпись.

2. Датой введения электронной цифровой подписи в электронный документооборот АИС ГЗ РК для органов государственной впасти, бюджетополучателей будет являться дата подписания акта приема-передачи рабочего места пользователя системы электронного документооборота АИС ГЗ РК в эксплуатацию.

3. Утвердить прилагаемое Положение об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте автоматизированной информационной системы государственного заказа Республики Карелия.

4. Отделу потребительского рынка и государственного заказа Министерства экономического развития Республики Карелия провести инструктаж специалистов органов государственной власти и бюджетополучателей Республики Карелия, ответственных за использование электронной цифровой подписи и шифрование информации.

5. Общему отдепу Министерства экономического развития Республики Карелия довести настоящий приказ до всех органов государственной власти Республики Карелия, бюджетополучателей Республики Карелия, управлений и отделов Министерства экономического развития Республики Карелия,

6. Контроль за выполнением приказа оставляю за собой.

Министр экономического развития РК М.Н. Юринов

Утверждено приказом Министерства
экономического развития Республики Карелия
от 29 мая 2006 года N 137 -А

Положение об организации использования электронной цифровой
подписи и шифрования информации в электронном
документообороте автоматизированной информационной
системы государственного заказа Республики Карелия

I. Общие положения

1. Положение об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте АИС ГЗ РК (далее - Положение) разработано в соответствии с Федеральным законом от 20 февраля 1995 года N 24-ФЗ об информации, информатизации и защите информации» и Федеральным законом от 10 января 2002 года N 1-ФЗ «Об электронной цифровой подписи» и определяет:

1) порядок обеспечения правовых условий, при соблюдении которых электронная цифровая подпись (далее - ЭЦП) в электронном документе признается равнозначной соб- ственноручной подписи в документе на бумажном носителе;

2) порядок организации выдачи сертификатов ключей ЭЦП уполномоченным лицам органов государственной власти Республики Карелия (далее - ОГВ РК), использующих ЭЦП;

3) порядок организации криптографический защиты информации при обмене электронными документами, подготовленными и передаваемыми пользователями в системе электронного документооборота АИС ГЗ РК (далее-Система);

4) процедуру подтверждения того, что электронный документ:

исходит от пользователя Системы (подтверждение авторства документа);

не претерпел изменений при информационном взаимодействии (подтверждение целостности и подлинности документа).

2. Пользователи Системы осуществляют:

1) обмен электронными документами по открытым каналам связи в рамках Системы и только между зарегистрированными участниками Системы;

2) соблюдение установленной последовательности действий при обмене электронными документами и проверке их подлинности;

3) соблюдение установленной последовательности действий в соответствии с Порядком разрешения конфликтных ситуаций, вознкающих в ходе осуществления электронного документооборота с использованием электронной цифровой подписи (приложение N 3 к Приложению) при возникновении конфликтной ситуации.

4) использование для защиты информации при подготовке и обработке документов в электронной форме сертифицированных Федеральной службой безопасности России (ФСБ) средств криптографической защиты информации (далее - СКЗИ).

3. Схема ЭЦП, процессы формирования и проверки ЭЦП под заданным сообщением (документом), передаваемым по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения, определяются ГОСТ Р 34.10-2001 и Р 34.10.-94 "Информационная технология. Криптографическая информация. Процессы формирования и проверки электронной цифровой подписи» и ГОСТ Р 34.11-94 "Информационная технология. Криптографическая информация, функции хеширования».

4. Схема ЭЦП, процессы формирования и проверки ЭЦП под заданным сообщением (документом), схема шифрования сообщений, передаваемых по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения, определяются ГОСТ Р 34.10-2001 и Р 34.10-94 "Информационная технология. Криптографическая информация. Процессы формирования и проверки электронной цифровой подписи», ГОСТ Р 34.11-94 «Информационная технология. Криптографическая информация. Функции хеширования», ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».

II. Термины, используемые в Положении

Авторство документа - принадлежность документа одному из участников (абонентов) Системы. Авторство документа определяется путем аутентификации содержащейся в нем информации.

Аутентификация информации - установление подлинности и целостности информации, содержащейся в документе. Аутентификация может осуществляться как на основе структуры документа или его реквизитов, так и путем реализации криптографических алгоритмов преобразования информации. Доказательная аутентификация информации осуществляется анализом (экспертизой) подписей должностных лиц и печатей на бумажных документах и проверкой правильности ЭЦП для электронных документов при использовании сертифицированных органами ФСБ средствами криптографической защиты информации.

Внеплановая смена ключей - смена ключей ЭЦП в соответствии с документацией на СКЗИ, вызванная компрометацией ключей ЭЦП.

Компрометация ключа - утрата доверия к тому, что используемые закрытые ключи ЭЦП недоступны посторонним лицам.

Конфеденциальность информации - субъективно определяемая характерстика информации, означающая необходимость введения ограничений на круг лиц, имеющей к ней доступ.

Конфеденциальная информация - информация, доступ к которой ограничивается в соответствии с действующис законодательством Российской Федерации и Республики Карелия, нормативными актами Правительства Республики Карелия, а также настоящим Положением.

Конфликтная ситуация - ситуация, при которой у пользователя сертификата ключа ЭЦП возникает необходимость разрешения вопросов признания или непризнания авторства и/или подлинности электронных документов, обработанных с помощью средств ЭЦП.

Корректный электронный документ - защита информации от ее несанкциоиированной модификации и доступа посторонних лиц при помощи алгоритмов криптографического преобразования.

Криптографический ключ - параметр шифра или его значение, определяющее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.

Некорректный электронный документ -электронный документ, не прошедший процедуры проверки ЭЦП, с подтверждением ее подлинности, а также документ, имеющий искажения в тексте сообщения.

Несанкционированный доступ к информации - доступ к информации лиц, не имеющих на то полномочий.

Обработка информации - создание, хранение, передача, прием, преобразование и отображение информации.

Удостоверяющий центр - организация, имеющая в соответствии с федеральными законами от 8 августа 2001 года N 128-ФЗ «О лицензировании отдельных видов деятельности» и от 10 января 2002 года N 1 -ФЗ «Об электронной цифровой подписи» лицензии ФСБ, дающие право осуществлять деятельность по обслуживанию шифровальных средств, предназначенных для криптографической защиты конфиденциальной информации.

Открытый ключ шифрования - криптографический ключ, предназначенный для шифрования разового (сеансового) ключа с целью его передачи адресату по открытым каналам связи. Открытые ключи шифрования могут быть известны всем пользователям Системы.

Плановая смена ключей ЭЦП - смена ключей ЭЦП, не вызванная компрометацией ключей ЭЦП, в соответствии с эксплуатационной документацией на СКЗИ, с периодичностью, согласованной с пользователем Системы.

Организатор Системы - Министерство экономического развития Республики Карелия, исполняющее функции, обеспечивающие работу Системы, правовое регулирование и порядок организации выдачи и отзыва сертификатов открытых ключей ЭЦП.

Пользователь Системы - участник информационного обмена электронными документами, зарегистрированный в Системе.

Закрытые ключи - криптографические ключи, которые хранятся у пользователя Системы в тайне. Закрытые ключи используются для шифрования документов и формирования ЭЦП Пользователя.

СОС - список отозванных сертификатов ключей ЭЦП.

Управление ключами - создание (генерация) ключей ЭЦП, их хранение, распространение, удаление (уничтожение), учет и применение в соответствии с настоящим Положением.

Шифрование - процесс преобразования открытой информации с целью сохранения ее в тайне от посторонних лиц при помощи некоторого алгоритма, называемого шифром. Для шифрования информации используют алгоритм крптографического преобразования ГОСТ 28147-89.

Шифр - совокупность обратимых преобразований множества возмжных открытых данных на множество возможных шифрованных данных, осуществляемых по определенным правилам с применением ключей.

СредстваЭЦП - аппаратные и/или программные средства, обеспечивающие реализацию хотя бы одной из следующих функций:

- создание эЦП в электронном документе с использованием закытого ключа ЭЦП;

- подтверждение с использованием открытого ключа ЭЦП и подлинности ЭЦП в электронном документе

- создание закрытых и открытых ключей ЭЦП

Уполномоченное лицо - лицо, осуществляющее в установленном законодательством порядке юридические действия в соответствии с занимаемой должностью и уполномоченного ОГВ РК на совершение указанных действий с использованием ЭЦП.

III. Общие вопросы организации защиты информации

5. Удостоверяющий центр использует программные и технические средства генерации ключевой информации, соответствующие сертифицированным органом ФСБ эталонам. Удостоверяющий центр гарантирует отсутствие привнесенных нереглментированных процедур скрытого копирования индивидуальной секретной ключевой информации в используемых программных и технических средствах.

6. Пользователь Системы получает достул к списку выданных сертификатов пользователей Системы и СОС.

7. Периодичность и способ доставки обновлений СОС Удостоверяющим центром определяется Договором.

Примечание. Удостоверяющий центр принимает все возможные меры по доставке в кратчайшие сроки измененного СОС в случае его пополнения недействительными (скомпрометированными) ключами.

IV. Порядок получения средств криптографической защиты информации, ключей и сертификатов электроннойцифровой подписи

8. График получения СКЗИ, ключей и сертификатов ЭЦП Удостоверяющим центром согласуется с организатором Системы.

9. Руководитель органа государственной власти Республики Карелия (ОГВ РК) или бюджетополучателя представляет руководителю Удостоверяющего центра заявку на получение СКЗИ, ключей и сертификатов ЭЦП, содержащую:

данные на сотрудника ОГВ РК (или бюджетополучателя), ответственного за подключение к Системе;

список пользователей Системы, которым необходимо изготовить криптографические ключи ЭЦП;

необходимое количество комплектов СКЗИ, которые будут установлены на компьютеры пользователей Системы, с указанием технических характеристик компьютеров, места расположения и ответственного лица.

Примечание. На одном рабочем месте, с установленным на нем СКЗИ, могут работать несколько пользователей Системы.

Форма заявки на получение СКЗИ, ключей и сертификатов ЭЦП указана в приложении N 1 к Положению.

10. В соответствии с согласованным графиком пользователи Системы ОГВ РК (бюджетополучателя) лично или их доверенные лица (при оформлении доверенности) получают у Удостоверяющего центра СКЗИ, изготовленные в их присутствии ключи и сертификаты ЭЦП. Пользователи Системы расписываются в сертификате открытого ключа ЭЦП.

11. Сотрудник Удостоверяющего центра производит все необходимые работы по установке и настройке СКЗИ на рабочем месте пользователя Системы, подключению его к Системе и обучению.

12. Сотрудник Удостоверяющего центра и пользователь Системы подписывают акт приема передачи рабочего места пользователя Системы в эксплуатацию (приложение N 2 к Положению).

V. Функции и задачи Организатора Системы

13. Обеспечивает правовое регулирова ние выдачи и отзыва криптографических ключей и сертификатов открытых ключей пользователей Системы.

Положение об организации использования электронной цифровой
подписи и шифрования информации в электронном
документообороте автоматизированной информационной
системы государственного заказа Республики Карелия

14. Готовит предложения и проекты договоров Организатора Системы и Удостоверяющего центра на комплексное обслуживание по защите информации и предоставление услуг Удостоверяющего центра всем пользователям Системы.

15. Координирует и контролирует деятельность Удостоверяющего центра по правильному и своевременному изготовлению, выдаче и приостановлению действия сертификатов ключей подписей и криптографических ключей пользователям Системы.

VI. Обязанности пользователя Системы

16. Подготавливает и содержит в рабочем состоянии программно-технические средства в соответствии с эксплуатационной документацией на СКЗИ.

17. Обеспечивает надежное хранение закрытых ключей шифрования и ЭЦП, исключает доступ к ним посторонних лиц.

18. Контролирует целостность и неизменность по отношению к полученному у Удостоверяющего центра сертифицированному эталону программного обеспечения СКЗИ штатными средствами в соответствии с эксплуатационной документацией на СКЗИ.

19. При обработке электронных документов осуществляет их архивирование и хранит эти архивы в соответствии с требованиями, установленными действующим законодательством и нормативными актами для хранения документов на бумажных носителях.

20. Организует внутренний, режим функционирования рабочих мест таким образом, чтобы исключить возможность физического доступа к СКЗИ, несанкционированной модификации или использования СКЗИ лицами, не имеющими допуска к работе с СКЗИ, а также исключает возможность использования ключевой информации не уполномоченными на то лицами.

21. При разрешении конфликтных ситуаций, связанных с установлением подлинности и/или авторства спорного документа, обязан предоставлять Организатору Системы или Удостоверяющему центру, всю запрашиваемую ею информацию.

22. Участвует в плановой замене криптографических ключей ЭЦП пользователя Системы, производимой по инициативе Удосто веряющего центра и/или Организатора Системы не реже одного раза в два года {отдельным решением могут быть установлены другие сроки) в следующем порядке (замене подлежат все действующие ключи ЭЦП и шифрования пользователя Системы):

- за два месяца до замены ключей ЭЦП

Удостоверяющий центр и Организатор Системы утверждают график проведения работ и через циркулярное письмо сообщают пользователям Системы о начале работ по плановой замене ключей ЭЦП;

- работы по генерации ключей ЭЦП и выдаче сертификатов производит Удостоверяющий центр в соответствии с настоящим Положением;

- пользователь Системы после получения новых ключей и сертификатов ЭЦП проверяет их работоспособность;

- после этого пользователь Системы направляет Удостоверяющему центру информационное письмо с уточнением даты и времени вывода из действия старых ключей ЭЦП и ввода в действие новых ключей ЭЦП.

Примечание. Все письма могут быть оформлены в электронном виде и подписаны на старых ключах ЭЦП.

- в соответствии с полученным инсрормационным письмом в назначенный день Удостоверяющий центр заносит сертификаты старых ключей ЭЦП в СОС и вводит в действие новые ключи ЭЦП. С этого момента пользователь Системы работает на новых ключах ЭЦП;

- старые ключи ЭЦП уничтожаются пользователем Системы самостоятельно путем физического уничтожения ключевых носителей с составлением Акта уничтожения криптографических ключей (приложение N 5 к Положению) и передачей его к Удостоверяющему центру.

VII. Права пользователя Системы

23. Передавать по электронной почте другим зарегистрированным пользователям Системы или получать от них подписанные ЭЦП и зашифрованные электронные документы.

24. Не принимать к исполнению электронные документы, заверенные ЭЦП, если:

- сертификат ключа ЭЦП отправителя утратил силу (не действует), находится в СОС на момент проверки или на момент под писания электронного документа при наличии доказательств, определяющих момент подписания;

- не подтверждена подлинность ЭЦП в электронном документе;

- ЭЦП используется не в соответствии со сведениями, указанными в сертификате ключа ЭЦП.

25. Запрашивать подтверждение по переданным ему электронным документам другими пользователями Системы в случае возникновения сомнений.

26. Требовать исполнения обязательств от пользователей Системы по принятым ими электронным документам.

27. В случае возникновения конфликтной ситуации, связанной с установлением под линности и/или авторства спорного документа, требовать разрешения указанных вопросов в соответствии с установленным порядком разрешения конфликтных ситуаций (приложение N3 к Положению).

VIII. Действия Сторон при компрометации ключей

28. Удостоверяющий центр в момент генерации и сертификации ключей ЭЦП передает пользователю Системы пароль для экстренной связи в случае компрометации закрытых ключей ЭЦП. Пользователь Системы обеспечивает сохранение конфиденциальности пароля.

29. Пользователь Системы в случае принятия решения о компрометации собственных криптографических ключей ЭЦП обязан немедленно информировать Удостоверяющий центр по телефонным каналам связи с использованием устного пароля или в виде электронного сообщения, подписанного скомпрометированным ключом ЭЦП, о наступлении события, трактуемого как компрометация,

30. Удостоверяющий центр, получивший сообщение о компрометации ключей ЭЦП пользователя Системы, должен убедиться в достоверности сообщения о компрометации (запросить пароль или факсимильное сообщение, заверенное подписью и печатью руководителя ОГВ РК или пользователя Системы) и после этого обязан немедленно вывести из действия скомпрометированные ключи ЭЦП (занести их в СОС).

31. Пользователь Системы, объявивший о компрометации собственных криптографических ключей ЭЦП, в течение одного рабочего дня документально оформляет официальное уведомление и направляет его Удостоверяющему центру.

32. Изготовление новых криптографических ключей ЭЦП и их сертификация взамен скомпрометированных производится Удостоверяющим центром после проведения расследования причин компрометации.

33. Пользователь Системы, допустивший компрометацию собственных криптографических ключей, несет все издержки, связанные с генерацией новых ключей ЭЦП, их сертификацией и доставкой к месту эксплуатации.

IX. Конфиденциальность информации

34. Организатор Системы и пользователи Системы в процессе обмена электронными документами обязуются обеспечивать сохранность конфиденциальной информации, полученной друг от друга, в соответствии с действующим законодательством Российской Федерации.

35. Порядок предоставления конфиденциальной информации налоговым, правоохранительным и судебным органам осуществляется в соответствии с действующим законодательством Российской Федерации.

X. Ответственность участников Системы

36. За неисполнение и ненадлежащее исполнение настоящего Положения участники Системы несут ответственность в соответствии с действующим законодательством Российской Федерации.

37. Пользователь Системы несет ответственность за сохранность СКЗИ, закрытых ключей шифрования ЭЦП.

38. В случае, если один из участников Системы допустил компрометацию секретных криптографических ключей ЭЦП и немедлно не уведомил об этом (в соответствии с разделом VIII настоящего Положения) Удостоверяющий центр, то всю ответственность за возможные при этом последствия несет допустивший компрометацию участник Системы.

XI. Порядок взаимодействия Сторон при нештатных ситуациях, связанных с эксплуатацией СКЗИ

39. В случае нарушения правил использования СКЗИ и/или возникновения конфликтных ситуаций, связанных с подтверждением авторства и/или подлинности электронных документов, заверенных ЭЦП, Стороны руководствуются Порядком разрешения конфликтных ситуаций, возникающих в ходе осуществления электронного документооборота с использованием ЭЦП, изложенным в приложении 3, и Инструкцией по доказательству принадлежности ЭЦП при разборе конфликтных ситуаций, приведенной в приложении N 4 к настоящему Положению.

Приложение N 1
к Положению

Заявка
руководителя ОГВ РК или бюджетополучателя на подключение пользователей к Системе

Руководителю Удостоверяющего Центра

(фамилия имя отчество)

1.Наименование ОГВ Республики Карелия (бюджетополучателя)


2. Адрес ОГВ Республики Карелия (бюджетополучателя)



3. Сотрудник ОГВ РК (бюджетополучателя), ответственный за использование СКЗИ и под
ключение к Системе:


фамилия, имя, отчество

должность

адрес (с указанием комнаты)

телефон/факс

e-mail

4. Необходимое количество комплектов СКЗИ

5. СКЗИ будут установлены на рабочие места (персональные компьютеры) следующих со
трудников:

5.1 фамилия, имя, отчество

должность

адрес (с указанием комнаты)

телефон/факс

e-mail

тип компьютера, операционная
система

5.2 фамилия, имя, отчество

должность

адрес (с указанием комнаты)

e-mai I

тип компьютера, операционная
система

6. Список пользователей (должностных лиц) ОГВ РК (бюджетополучателя), которым необходимо изготовить ЭЦП:

6.1 фамилия, имя, отчество

должность

адрес (с указанием комнаты)

телефон/факс

e-mail

тип компьютера, операционная
система

6.2 фамилия, имя, отчество

должность

адрес (с указанием комнаты)

телефон/факс

e-mail

тип компьютера, операционная
система

Помещения, режим эксплуатации программного обеспечения и персональных компьютеров, на которые будут установлены СКЗИ, удовлетворяют требованиям органов ФСБ по обеспечению безопасности информации при ее защите по уровню «С» (на уровне потребителя).

Руководитель ОГВ РК
(бюджетополучателя) (расшифровка подписи)
(подпись)
«___» 200 г.

Приложение N 2
к Положению

УТВЕРЖДАЮ УТВЕРЖДАЮ
Руководитель ОГВ РК (бюджетополучателя) Руководитель Удостоверяющего центра
(расшифровка подписи) (расшифровка подписи)
(подпись) (подпись)
«__ » 200_г. «___" 200_г.
МП МП

Акт приема-передачи рабочего места
пользователя Системы в эксплуатацию

«___» 200_ г. г. Петрозаводск

Настоящий акт составлен

(наименование ОГВ РК, бюджетополучателя)

(должность, фамилия, имя, отчество пользователя Системы ОГВ РК, бюджетополучателя)

и представителем

(фамиилия, имя, отчество сотрудника Удостоверяющего центра)

о том, что Удостоверяющий центр, в соответствии с Договором N от «___» 200 г.
выполнил следующие работы:

1) установил СКЗИ per. N на рабочее место пользователя Системы,

2) выполнил необходимые настройки и осуществил подключение пользователя к Системе, 3} провел обучение пользователя Системы правилам работы с ЭЦП и СКЗИ,

4) список отозванных сертификатов ключей ЭЦП (СОС) находится

5) другие работы

Пользователь ознакомлен с требованиями ФСБ по обеспечению безопасности информации при ее защите по уровню "С" (на уровне потребителя) и при работе с криптографическими ключами и СКЗИ будет выполнять эти требования.

Пользователь ОГВ РК (бюджетополучатель) Сотрудник Удостоверяющего центра
(расшифровка подписи) (расшифровка подписи)
(подпись) (подпись)

"___" 200 _г. «___» _________ 200_г.

Приложение N 3
к Положению

Порядок
разрешения конфликтных ситуаций, возникающих в ходе
осуществления электронного документооборота
с использованием ЭЦП

I. Общие положения

1. Разрешая конфликтные ситуации при нарушении процедур криптографической защиты информации и/или установлении авторства и/ипи подлинности электронных документов, заверенных ЭЦП, пользователи Системы исходят из того, что:

в соответствии с действующим законодательством, документ в электронном виде, заверенный ЭЦП, является документом, имеющим юридическую силу, аналогичную документу исполненному на бумажном носителе и снабженному подписью и печатью;

электронный документ порождает обязательства одного пользователя Системы перед другим пользователем Системы, если документ оформлен надлежащим образом, заверен ЭЦП и доставлен другому пользователю Системы. При этом ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа ЭЦП, а сертификат ЭЦП отправителя действует;

подтверждением того, что электронный документ пользователя Системы принят пользователем Системы - получателем, является получение пользователем Системы надлежащим образом оформленной электронной квитанции о принятии его документа или получение того же самого документа, подписанного ЭЦП пользователя Системы - получателя;

пользователь признает, что используемая в соответствии с настоящим Положением система защиты информации, которая обеспечивает ЭЦП и шифрование, достаточна для защиты информации от несанкционированного доступа, подтверждения целостности, подлинности и авторства электронных документов, а также разрешения конфликтных ситуаций по ним;

математические свойства алгоритма ЭЦП, реализованного в соответствии со стандартами Российской Федерации ГОСТ Р 34.10-94 (или ГОСТ Р 34.10-2001) и ГОСТ Р 34.11-94, свидетельствуют о невозможности подделки значения ЭЦП любым лицом, не обладающим закрытым криптографическим ключом ЭЦП. Пользователь признает, что разбор конфликтной ситуации 8 отношении авторства, целостности и подлинности электронного документа заключается в доказательстве подписания конкретного электронного документа на конкретном ключе ЭЦП.

2. В соответствии с настоящим порядком подлежат разрешению конфликтные ситуации двух типов:

некорректность входящего электронного документа или ЭЦП (конфликтная ситуация типа!);

для корректного электронного документа непризнание отправителем электронного документа факта отправки документа, а также его целостности и подлинности (конфликтная ситуация типа 2).

II. Порядок разрешения конфликтных ситуаций типа 1

3. Действия пользователей Системы в данной ситуации заключаются в следующем: принимающая Сторона по телефону (или иным образом) запрашивает у отправляющей Стороны информацию о документе, подлинность которого вызывает сомнения. При получении подтверждения об отправке указанного документа запрашивает повторное оформление и отправку данного документа.

4. Результатом повторной обработки принимающей Стороной (проверка ЭЦП) полученного документа может быть:

1) повторная проверка дала отрицательный результат. ЭЦП документа неверна.

В этом случае делается вывод о возможном нарушении действующего криптографического ключа ЭЦП либо о неисправности программно-аппаратных средств одной из Сторон.

При этом необходимо:

проверить сертификаты открытых ключей ЭЦП;

штатными средствами в соответствии с эксплуатационной документацией проверить целостность и неизменность программного обеспечения СКЗИ и переустановить его в случае необходимости.

Если положительный результат не достигнут, необходимо обратиться к организатору Системы;

2) повторная проверка дала положительный результат, ЭЦП документа верна.

III. Порядок разрешенияконфликтных ситуаций типа 2

5. В случае если один из пользователей Системы приходит к выводу, что другой Пользователь Системы ссылается на документ, исходящий от него, который им не отправлялся и/или его содержание изменено, этот пользователь Системы немедленно извещает организатора Системы и Удостоверяющий центр о наличии конфликтной ситуации для проведения служебного расследования.

6. При проведении служебного расследования (при необходимости) формируется комиссия для разрешения конфликтной ситуации, в состав которой входят представители организатора Системы, Удостоверяющего центра и пользователи Системы, вовлеченные в конфликтную ситуацию.

7. В ходе служебного расследования рассматриваются документы, в том числе электронные, относящиеся к предмету разногласий, и выполняется процедура проверки ЭЦП документа, являющегося предметом разбирательства, в соответствии с Инструкцией, приведенной в приложении N 4 к настоящему Положению. При этом могут быть использованы следующие эталонные данные:

данные архива оригиналов принятых/отправленных документов;

сертификаты ЭЦП с открытыми криптографическими ключами ЭЦП, выданные Удостоверяющим центром;

дистрибутивы СКЗИ;

ключевые носители.

IV. Компрометация ключа ЭЦП и отзыв сертификата ЭЦП

8. Компрометации ключа ЭЦП считается утрата доверия к тому, что используемые закрытые ключи ЭЦП недоступны посторонним лицам.

9. К событиям, связанным с компрометацией ключей ЭЦП, относятся, включая, но не ограничиваясь, следующие:

1) потеря ключевых носителей;

2) потеря ключевых носителей с последующим обнаружением;

3) увольнение сотрудников, имевших доступ к ключевой информации;

4) нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа ЭЦП;

5) возникновение подозрений на утечку информации или ее искажение в Системе;

6) нарушение печати на сейфе с ключевыми носителями;

7) случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника).

10. Различают два вида компрометации закрытого ключа ЭЦП: явную и неявную.

Первые четыре события должны трактоваться как явная компрометация ключей ЭЦП. Три следующих события требуют специального рассмотрения в каждом конкретном случае.

Приложение N 4 к
Положению

Инструкция
по доказательству принадлежности ЭЦП
при разборе конфликтных ситуаций

Для проведения разбора конфликтной ситуации необходимо иметь:

заверенный Удостоверяющим центром сертификат открытого ключа ЭЦП пользователя Системы, подписавшего документ, подлинность или авторство которого оспаривается;

файл, содержащий текст документа и ЭЦП его автора, в отношении которого возникает конфликтная ситуация.

Для разбора конфликтной ситуации необходимо выполнить следующие действия:

произвести операцию проверки подписи электронного документа, авторство подписи которого оспаривается на рабочем месте администратора Удостоверяющего центра;
распечатать протокол проверки ЭЦП;

распечатать сертификат открытого ключа ЭЦП из базы данных (реестра) Удостоверяющего центра;

сравнить сертификат открытого ключа ЭЦП, представленного пользователем Системы, и распечатанный сертификат открытого ключа ЭЦП из базы данных Удостоверяющего центра.

Авторство подписи под документом считается установленным, если совпадают открытые ключи ЭЦП представленного пользователем Системы сертификата открытого ключа ЭЦП и сертификат открытого ключа ЭЦП из базы данных Удостоверяющего центра, а также наличие [в протоколе проверки ЭЦП пользователя Системы записи «Подпись верна».

Приложение N 5
к Положению

Акт
уничтожения криптографических ключей ЭЦП

Настоящий Акт составлен о том, что физически уничтожены ключевые носители (дискеты), содержащие криптографические ключи ЭЦП:

Серийный номер ключа ЭЦП Владелец ключа ЭЦП
1.

2.

3.

4.

Копии ключевых носителей в количестве экземпляров уничтожены.

Сертификаты ключей ЭЦП переданы на архивное хранение.

Владелец ключа ЭЦП (фамилия, имя, отчество)

Руководитель ОГВ РК (фамилия, имя, отчество)

"___" 200_г.

Текст сверен по:
Газета "Карелия" № 72 (1498) 06 июля 2006 г. С. 15-17