ПОСТАНОВЛЕНИЕ Главы Администрации Волгоградской обл. от 15.01.2004 № 19
(ред. от 30.10.2008)
"ОБ УТВЕРЖДЕНИИ ВРЕМЕННОГО ПОЛОЖЕНИЯ ОБ ОРГАНИЗАЦИИ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ В ЭЛЕКТРОННЫХ ДОКУМЕНТАХ, ПЕРЕДАВАЕМЫХ ПО ЭЛЕКТРОННОЙ ПОЧТЕ В СЕТИ УПРАВЛЕНИЯ И ПЕРЕДАЧИ ДАННЫХ ВОЛГОГРАДСКОЙ ОБЛАСТИ"
Официальная публикация в СМИ:
В данном виде документ не опубликован.
Первоначальный текст документа опубликован в издании
"Волгоградская правда", № 14, 27.01.2004.
--> примечание.
Начало действия редакции - 07.11.2008.
- - - - - - - - - - - - - - - - - - - - - - - - - -
Изменения, внесенные Постановлением Главы Администрации Волгоградской обл. от 30.10.2008 № 1469, вступили в силу со дня его официального опубликования (опубликовано в "Волгоградской правде" - 07.11.2008).
ОБ УТВЕРЖДЕНИИ ВРЕМЕННОГО ПОЛОЖЕНИЯ ОБ ОРГАНИЗАЦИИ
ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ
В ЭЛЕКТРОННЫХ ДОКУМЕНТАХ, ПЕРЕДАВАЕМЫХ
ПО ЭЛЕКТРОННОЙ ПОЧТЕ В СЕТИ УПРАВЛЕНИЯ
И ПЕРЕДАЧИ ДАННЫХ ВОЛГОГРАДСКОЙ ОБЛАСТИ
(в ред. Постановлений Главы Администрации
Волгоградской обл. от 03.11.2005 № 1114,
от 30.10.2008 № 1469)
В целях совершенствования обмена информацией по электронной почте в Сети управления и передачи данных Волгоградской области постановляю:
1. Утвердить прилагаемое Временное положение об организации использования электронной цифровой подписи в электронных документах, передаваемых по электронной почте в Сети управления и передачи данных Волгоградской области.
2. Возложить функции уполномоченного исполнительного органа государственной власти Волгоградской области, обеспечивающего порядок регулирования отношений в области использования электронной цифровой подписи в структурных подразделениях Администрации Волгоградской области и автоматизированных и телекоммуникационных сетях и системах Сети управления и передачи данных Волгоградской области, на Комитет информационных технологий и телекоммуникаций Администрации Волгоградской области.
(в ред. Постановления Главы Администрации Волгоградской обл. от 30.10.2008 № 1469)
3. Настоящее постановление вступает в силу со дня его официального опубликования.
Глава Администрации
Волгоградской области
Н.К.МАКСЮТА
Утверждено
Постановлением
Главы Администрации
Волгоградской области
от 15 января 2004 г. № 19
ВРЕМЕННОЕ ПОЛОЖЕНИЕ
ОБ ОРГАНИЗАЦИИ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ
ПОДПИСИ В ЭЛЕКТРОННЫХ ДОКУМЕНТАХ, ПЕРЕДАВАЕМЫХ
ПО ЭЛЕКТРОННОЙ ПОЧТЕ В СЕТИ УПРАВЛЕНИЯ И ПЕРЕДАЧИ
ДАННЫХ ВОЛГОГРАДСКОЙ ОБЛАСТИ
(в ред. Постановлений Главы Администрации
Волгоградской обл. от 03.11.2005 № 1114,
от 30.10.2008 № 1469)
1. Общие положения
1.1. Временное положение об организации использования электронной цифровой подписи в электронных документах, передаваемых по электронной почте в Сети управления и передачи данных Волгоградской области (далее именуется - Положение), разработано в соответствии с Федеральными законами от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и защите информации", от 10 января 2002 г. № 1-ФЗ "Об электронной цифровой подписи" с целью создания единой организационной основы для обмена корреспонденцией общего характера по системам телекоммуникаций Сети управления и передачи данных Волгоградской области в режиме электронной почты.
(в ред. Постановления Главы Администрации Волгоградской обл. от 30.10.2008 № 1469)
1.2. Положение определяет порядок:
обеспечения правовых условий, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе;
организации выдачи сертификатов ключей подписей уполномоченным лицам пользователей, подключенных к сети управления и передачи данных Волгоградской области.
(в ред. Постановления Главы Администрации Волгоградской обл. от 03.11.2005 № 1114)
1.3. Требования Положения не распространяются на организацию обмена документами, содержащими сведения, составляющие государственную тайну Российской Федерации, документами с пометкой "Для служебного пользования", а также документами, для которых установлен собственный регламент обмена.
1.4. Сеть управления и передачи данных Волгоградской области является корпоративной информационной системой, пользователи которой осуществляют обмен электронными документами по открытым каналам связи в рамках данной системы и только между зарегистрированными участниками системы.
2. Основные понятия
В Положении используются следующие понятия:
электронный документ - документ, в котором информация представлена в электронно-цифровой форме. Электронный документ может создаваться на основе документа на бумажном носителе, на основе другого электронного документа либо в процессе информационного взаимодействия;
электронная цифровая подпись (далее именуется - ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;
корпоративная информационная система (далее именуется - Система) - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы;
организатор Системы - структурное подразделение Администрации Волгоградской области, исполняющее функции уполномоченного исполнительного органа государственной власти Волгоградской области, обеспечивающего правовое регулирование и порядок организации выдачи и отзыва сертификатов открытых ключей, а также выполняющее функции ключевого центра;
пользователь Системы - участник информационного обмена электронными документами, зарегистрированный в Системе и признающий данное Положение;
абонентский пункт - автоматизированная система, подключаемая к Системе с помощью коммуникационного оборудования и предназначенная для работы пользователя Системы;
криптографическая защита информации - защита информации от ее несанкционированной модификации и доступа посторонних лиц при помощи алгоритмов криптографического преобразования;
средства криптографической защиты информации (далее именуются - СКЗИ) - комплекс программных и (или) аппаратных средств, обеспечивающих криптографическую защиту информации в соответствии с утвержденными стандартами и сертифицированных в соответствии с действующим законодательством;
шифр - совокупность обратимых преобразований множества возможных открытых данных на множество возможных шифрованных данных, осуществляемых по определенным правилам с применением ключей;
криптографический ключ (далее именуется - ключ) - параметр шифра или его значение, определяющее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований;
закрытый ключ ЭЦП - криптографический ключ, который хранится у пользователя Системы в тайне. Закрытый ключ ЭЦП используется для шифрования документов и формирования ЭЦП пользователя Системы;
открытый ключ ЭЦП - уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому пользователю Системы и предназначенная для подтверждения с использованием средств ЭЦП подлинности ЭЦП в электронном документе. Открытый ключ ЭЦП пользователя Системы является действующим на момент подписания, если он зарегистрирован и введен в действие;
зарегистрированный (сертифицированный) открытый ключ ЭЦП - открытый ключ ЭЦП, подписанный ЭЦП организатора Системы и подтвержденный сертификатом открытого ключа ЭЦП;
сертификат открытого ключа ЭЦП - документ на бумажном носителе или электронный документ с ЭЦП организатора Системы, который включает в себя открытый ключ ЭЦП и который выдается организатором Системы пользователю Системы для подтверждения подлинности ЭЦП и идентификации владельца сертификата открытого ключа ЭЦП;
владелец сертификата ключа - физическое лицо, на имя которого организатором Системы выдан сертификат открытого ключа ЭЦП и которое владеет соответствующим закрытым криптографическим ключом;
несанкционированный доступ к информации - доступ к информации лиц, не имеющих на то полномочий;
авторство документа - принадлежность документа одному из участников (абонентов) системы электронного документооборота. Авторство документа определяется путем аутентификации содержащейся в нем информации;
управление ключами - создание (генерация) ключей, их хранение, распространение, удаление (уничтожение), учет и применение в соответствии с настоящим Положением;
компрометация ключа - утрата доверия к тому, что используемые секретные ключи недоступны посторонним лицам;
плановая замена ключей - замена ключей, не вызванная компрометацией ключей, в соответствии с эксплуатационной документацией на СКЗИ, с периодичностью, устанавливаемой документацией на СКЗИ, организатором Системы;
внеплановая замена ключей - замена ключей в соответствии с документацией на СКЗИ, вызванная компрометацией ключей;
корректный электронный документ - электронный документ, прошедший процедуру проверки ЭЦП с подтверждением ее подлинности, а также документ, не имеющий искажений в тексте сообщения, не позволяющих понять его смысл;
некорректный электронный документ - электронный документ, не прошедший процедуру проверки ЭЦП, а также документ, имеющий в тексте сообщения искажения, не позволяющие понять его смысл;
подтверждение подлинности ЭЦП в электронном документе - положительный результат проверки соответствующим сертифицированным средством ЭЦП с использованием сертификата открытого ключа ЭЦП принадлежности ЭЦП в электронном документе владельцу сертификата открытого ключа ЭЦП и отсутствия искажений в подписанном данной ЭЦП электронном документе;
конфликтная ситуация - ситуация, при которой у пользователей Системы возникает необходимость разрешения вопросов признания или непризнания авторства и (или) подлинности электронных документов, обработанных СКЗИ.
Все приведенные выше сокращения распространяются также на приложения к Положению.
3. Организация обмена информацией
по электронной почте
3.1. Закрепление сертификата ключа за должностным лицом (владельцем) носит персональный характер.
3.2. Владельцы сертификатов ключей подписывают документы лично или делегируют это право доверенному лицу. Делегирование прав владельцем сертификата ключа осуществляется письменно по решению руководителя организации по согласованию с организатором Системы. Делегирование прав ЭЦП владельцу действующего сертификата открытого ключа ЭЦП запрещается.
3.3. Организатор Системы использует программные и технические средства генерации ключевой информации, соответствующие сертифицированным эталонам. Организатор Системы гарантирует отсутствие привнесенных нерегламентированных процедур скрытого копирования индивидуальной секретной ключевой информации в используемых программных и технических средствах.
3.4. Не принимаются к исполнению (регистрации) электронные документы, заверенные ЭЦП, если:
сертификат открытого ключа ЭЦП отправителя утратил силу на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
не подтверждена подлинность ЭЦП в электронном документе;
ЭЦП используется не в соответствии со сведениями, указанными в сертификате открытого ключа ЭЦП.
Перед принятием решения по исполнению полученного электронного документа пользователь Системы самостоятельно определяет необходимость дополнительной проверки сертификата открытого ключа ЭЦП отправителя.
3.5. Участники информационного обмена должны обеспечивать условия хранения ключевых носителей, исключающие возможность доступа к ним посторонних лиц, несанкционированного использования или копирования ключевой информации.
4. Порядок получения СКЗИ, ключей и сертификатов
открытых ключей ЭЦП
4.1. Организатор Системы осуществляет работы по установке специального программного обеспечения на основании заявки на подключение к Системе, составленной по форме согласно приложению 1 и подписанной руководителем организации - пользователя Системы.
4.2. Организатор Системы:
рассматривает полученную заявку и принимает решение о приобретении необходимого количества комплектов СКЗИ и подключении пользователя к Системе;
согласует с руководителем организации - пользователя Системы график работ;
производит все необходимые работы по установке и настройке СКЗИ на рабочем месте пользователя Системы, подключению его к Системе и обучению.
4.3. После завершения работы организатор Системы и пользователь Системы подписывают акт приема-передачи рабочего места пользователя Системы в эксплуатацию по форме согласно приложению 2.
4.4. В соответствии с согласованным графиком владелец сертификата ключа пользователя Системы лично или его доверенное лицо (при наличии доверенности, оформленной согласно приложению 3) получает у организатора Системы ключи и сертификат открытого ключа ЭЦП.
4.5. Организатор Системы изготавливает ключи в электронном виде и вместе с ключевым носителем передает их владельцу сертификата ключа. При изготовлении ключей организатор Системы оформляет два экземпляра сертификата открытого ключа ЭЦП на бумажных носителях по форме согласно приложению 4, которые заверяются собственноручными подписями владельца сертификата ключа и уполномоченного лица организатора Системы, а также печатью организатора Системы. Один экземпляр сертификата открытого ключа ЭЦП выдается владельцу сертификата ключа, второй - остается у организатора Системы.
4.6. Выдача ключей и сертификатов открытого ключа ЭЦП владельцу сертификата ключа осуществляется под роспись в журнале выдачи ключевых носителей ЭЦП, оформленном согласно приложению 5.
4.7. Плановая замена ключей пользователя Системы производится по инициативе организатора Системы не реже одного раза в два года (отдельным решением могут быть установлены другие сроки) в следующем порядке:
замене подлежат все действующие ключи пользователя Системы;
за два месяца до замены ключей организатор Системы утверждает график проведения работ и циркулярным письмом оповещает пользователей Системы о начале работ по плановой замене ключей;
после получения новых ключей и сертификатов пользователь Системы проверяет их работоспособность и направляет организатору Системы информационное письмо с уточнением даты и времени вывода из действия старых ключей и ввода в действие новых ключей;
старые ключи уничтожаются пользователем Системы самостоятельно путем физического уничтожения ключевых носителей с составлением акта уничтожения криптографических ключей по форме согласно приложению 6. Копия акта направляется организатору Системы.
5. Обязанности и права владельца сертификата ключа
5.1. Владелец сертификата ключа обязан:
хранить в тайне закрытый ключ ЭЦП;
обеспечивать надежное хранение закрытых ключей, других документов, выдаваемых с ключевыми носителями, исключающее доступ к ним посторонних лиц;
не использовать ключи ЭЦП, если они используются или использовались ранее другими владельцами сертификатов ключей;
в случае компрометации собственных криптографических ключей немедленно проинформировать организатора Системы по каналам факсимильной связи или в виде электронного сообщения, подписанного скомпрометированным ключом, о наступлении события, трактуемого как компрометация;
немедленно требовать приостановления действия сертификата ключа ЭЦП при подозрении, что тайна закрытого ключа ЭЦП могла быть нарушена;
строго соблюдать установленный порядок обращения с ключевой документацией;
при получении корреспонденции по электронной почте проверить подлинность ЭЦП, при распечатке корреспонденции на бумажные носители своевременно осуществлять регистрацию документов;
немедленно докладывать непосредственному начальнику об утрате средств ЭЦП, ключевых документов к ним, ключей от сейфов (металлических шкафов), предназначенных для хранения ключей, о ставших известными попытках третьих лиц получить сведения о закрытых ключах, других фактах, которые могут привести к компрометации ключа, а также о причинах и условиях возможной утечки таких сведений;
при обнаружении на рабочем месте, оборудованном СКЗИ и средствами ЭЦП, посторонних программ или вирусов, нарушающих работу указанных средств, прекратить работу со средствами защиты информации на данном рабочем месте и доложить своему руководителю. Руководитель должен организовать мероприятия по анализу и ликвидации негативных последствий нарушения работы рабочего места;
в случае делегирования прав ЭЦП доверенному лицу оформить доверенность и направить в трехдневный срок организатору Системы один экземпляр доверенности на бумажном носителе;
участвовать в плановой замене ключей;
при разрешении конфликтных ситуаций, связанных с установлением подлинности и (или) авторства спорного документа, предоставлять комиссии, создаваемой и действующей в соответствии с Порядком разрешения конфликтных ситуаций, возникающих в ходе осуществления электронного документооборота с использованием ЭЦП (приложение 7), всю запрашиваемую ею информацию.
5.2. Владелец сертификата ключа имеет право:
передавать по электронной почте другим зарегистрированным пользователям Системы или получать от них подписанные ЭЦП и зашифрованные электронные документы;
запрашивать подтверждение по переданным ему другими пользователями Системы электронным документам в случае возникновения сомнений;
в случае возникновения конфликтной ситуации, связанной с установлением подлинности и (или) авторства спорного документа, требовать разрешения указанных вопросов экспертной комиссией в установленном порядке.
5.3. Владельцу сертификата ключа запрещается:
записывать на ключевом носителе постороннюю информацию;
вносить какие-либо изменения в программное обеспечение СКЗИ и средств ЭЦП;
вставлять ключевой носитель в дисковод ПЭВМ при проведении работ, не являющихся штатными процедурами использования ключей (шифрование/расшифровывание информации, проверка ЭЦП, другие действия), а также в дисководы других ПЭВМ;
устанавливать на рабочем месте программы, которые могут нарушить функционирование программных СКЗИ и средств ЭЦП.
6. Действия сторон при компрометации ключей
6.1. Компрометацией ключа считается утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. К событиям, связанным с компрометацией ключей, относятся следующие:
утрата ключевых дискет или иных носителей ключа;
утрата ключевых дискет или иных носителей ключа с последующим обнаружением;
увольнение сотрудников, имевших доступ к ключевой информации;
возникновение подозрений на утечку информации или ее искажение в Системе;
нарушение целостности печатей на сейфах с носителями ключевой информации;
утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;
утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;
доступ посторонних лиц к ключевой информации;
случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника).
Различают два вида компрометации ключа: явную и неявную. Первые четыре события относятся к явной компрометации ключей. Остальные требуют специального рассмотрения в каждом конкретном случае.
6.2. При компрометации ключа пользователь Системы должен немедленно прекратить связь по сети с другими пользователями и немедленно известить организатора Системы о компрометации ключа. Информация о компрометации может передаваться по телефону (факсу) или в виде электронного сообщения, подписанного ЭЦП пользователя Системы.
После компрометации ключей пользователь Системы должен повторно провести процедуру получения криптографических ключей.
6.3. Пользователь Системы, объявивший о компрометации собственных криптографических ключей, в течение одного рабочего дня документально оформляет официальное уведомление, заверенное подписью и печатью руководителя пользователя Системы, и направляет его организатору Системы.
6.4. Получив сообщение о компрометации ключей пользователя Системы, организатор Системы обязан немедленно вывести из действия скомпрометированные ключи.
6.5. Изготовление новых ключей взамен скомпрометированных и их сертификация производится организатором Системы после проведения расследования причин компрометации и на основании решения, принятого руководителем организатора Системы.
6.6. Пользователь Системы, допустивший компрометацию собственных ключей, несет все издержки, связанные с генерацией новых ключей, их сертификацией и доставкой к месту эксплуатации.
7. Ответственность участников Системы
7.1. За неисполнение или ненадлежащее исполнение обязательств по настоящему Положению участники Системы несут ответственность в соответствии с действующим законодательством Российской Федерации.
7.2. Пользователь Системы несет ответственность за сохранность СКЗИ, секретных ключей шифрования и ЭЦП.
7.3. В случае если один из участников Системы допустил компрометацию криптографических ключей и немедленно не уведомил об этом организатора Системы в соответствии с разделом 6 Положения, всю ответственность за возможные последствия несет допустивший компрометацию участник Системы.
8. Порядок взаимодействия сторон при нештатных
ситуациях, связанных с эксплуатацией СКЗИ
В случае нарушения правил использования СКЗИ и (или) возникновения конфликтных ситуаций, связанных с подтверждением авторства и (или) подлинности электронных документов, заверенных ЭЦП, стороны руководствуются Порядком разрешения конфликтных ситуаций, возникающих в ходе осуществления электронного документооборота с использованием ЭЦП.
Приложение 1
к Временному положению об организации
использования электронной цифровой
подписи в электронных документах,
передаваемых по электронной почте
в Сети управления и передачи данных
Волгоградской области
ЗАЯВКА
на подключение к системе электронной почты
1. Наименование организации, юридический адрес, телефон, факс, e-mail.
2. Фамилия, имя, отчество, должность, рабочий телефон, факс, e-mail сотрудника организации, ответственного за подключение к Системе.
3. Необходимое количество комплектов СКЗИ, которые будут установлены на компьютеры пользователя Системы, с указанием мест размещения СКЗИ (фактический адрес, номер помещения, технические характеристики компьютеров, e-mail).
4. Список должностных лиц, которым необходимо изготовить ЭЦП: фамилия, имя, отчество, должность, телефон, факс.
___________________________ ___________ ________________________
(должность руководителя (подпись) (инициалы, фамилия)
организации)
М.П.
"__" _____________ 200_
Приложение 2
к Временному положению об организации
использования электронной цифровой
подписи в электронных документах,
передаваемых по электронной почте
в Сети управления и передачи данных
Волгоградской области
Утверждаю Утверждаю
Руководитель пользователя Руководитель организатора
Системы Системы
"__" _____________ 200 г. "__" _____________ 200 г.
АКТ
приема-передачи рабочего места пользователя
Системы в эксплуатацию
"__" ____________ 200 г.
Настоящий акт составлен ______________________________________
(наименование организации)
__________________________________________________________________
представителем пользователя Системы ______________________________
(должность,
__________________________________________________________________
фамилия, имя, отчество)
и представителем организатора Системы ____________________________
(должность,
__________________________________________________________________
фамилия, имя, отчество)
о том, что организатором Системы выполнены следующие работы:
1. Установлены СКЗИ рег. № _____ на рабочее место пользователя
Системы по адресу: ______________________________________________.
(адрес с указанием номера помещения, тип
компьютера)
2. Выполнены необходимые настройки и осуществлено подключение
пользователя Системы к Системе.
3. Проведено обучение сотрудников пользователя Системы
правилам работы с ЭЦП и СКЗИ. Сотрудники пользователя Системы
ознакомлены с требованиями Временного положения об организации
использования электронной цифровой подписи в электронных
документах, передаваемых по электронной почте в Сети управления и
передачи данных Волгоградской области.
Сотрудник(и) Сотрудник
пользователя Системы организатора Системы
______________________________ ______________________________
(должность, инициалы, фамилия) (должность, инициалы, фамилия)
"__" ____________________ 200_ "__" ____________________ 200_
Приложение 3
к Временному положению об организации
использования электронной цифровой
подписи в электронных документах,
передаваемых по электронной почте
в Сети управления и передачи данных
Волгоградской области
ДОВЕРЕННОСТЬ
Я, __________________________________________________________,
(фамилия, имя, отчество, должность, паспортные данные,
номер рабочего телефона)
доверяю __________________________________________________________
(фамилия, имя, отчество, должность, паспортные данные,
номер рабочего телефона)
выполнить следующее:
получить ключевые носители с моей электронной цифровой
подписью;
получить сертификат открытого ключа моей электронной цифровой
подписи;
расписываться за меня в журналах организатора Системы.
Срок действия доверенности: ____________________.
Приложение 4
к Временному положению об организации
использования электронной цифровой
подписи в электронных документах,
передаваемых по электронной почте
в Сети управления и передачи данных
Волгоградской области
СЕРТИФИКАТ
открытого ключа ЭЦП
Сертификат: имя пользователя.
Версия: V3.
Серийный номер: номер сертификата пользователя.
Алгоритм подписи: ГОСТ Р.
Поставщик: C№ = Administrator, О = Администрация Волгоградской области.
Действителен: срок действия сертификата пользователя.
Субъект: C№ = имя пользователя, О = Администрация Волгоградской области.
Открытый ключ: алгоритм, значение открытого ключа пользователя.
Улучшенный ключ: права пользователя.
Идентификатор ключа субъекта: идентификатор пользователя.
Идентификатор ключа центра сертификатов: идентификатор ключа администратора ключевого центра, номер сертификата администратора ключевого центра.
Использование ключа: для реализации цифровой подписи пользователя.
Основные ограничения: ограничения на отправку почты пользователя (если есть).
Владелец сертификата ключа Сотрудник организатора Системы
______________________________ ______________________________
(должность, инициалы, фамилия) (должность, инициалы, фамилия)
"__" ____________________ 200_ "__" ____________________ 200_
М.П.
Приложение 5
к Временному положению об организации
использования электронной цифровой
подписи в электронных документах,
передаваемых по электронной почте
в Сети управления и передачи данных
Волгоградской области
ЖУРНАЛ
выдачи ключевых носителей электронной цифровой подписи
Приложение 6
к Временному положению об организации
использования электронной цифровой
подписи в электронных документах,
передаваемых по электронной почте
в Сети управления и передачи данных
Волгоградской области
УТВЕРЖДАЮ:
Руководитель организации -
пользователя Системы
АКТ
уничтожения криптографических ключей
Комиссией в составе: _________________________________________
(должности, фамилии, инициалы членов
комиссии)
составлен настоящий акт о том, что физически уничтожены следующие
ключевые носители (дискеты), содержащие криптографические ключи:
---T-----------------------------T-------------------------------¬
¦№ ¦ Номер ключевой дискеты, ¦ Должность, инициалы, фамилия ¦
¦ ¦ количество экземпляров ¦ владельца сертификата ключа ¦
L--+-----------------------------+--------------------------------
1. уч. № 15 (экз. № 1 и 2) консультант Иванов И.В.
2. уч. № 16 (экз. № 1 и 2) консультант Петров И.В.
Приложение 7
к Временному положению об организации
использования электронной цифровой
подписи в электронных документах,
передаваемых по электронной почте
в Сети управления и передачи данных
Волгоградской области
ПОРЯДОК
РАЗРЕШЕНИЯ КОНФЛИКТНЫХ СИТУАЦИЙ,
ВОЗНИКАЮЩИХ В ХОДЕ ОСУЩЕСТВЛЕНИЯ ЭЛЕКТРОННОГО
ДОКУМЕНТООБОРОТА С ИСПОЛЬЗОВАНИЕМ ЭЦП
1. Разрешая конфликтные ситуации при установлении авторства и (или) подлинности электронных документов, заверенных ЭЦП, пользователи Системы исходят из того, что:
в соответствии с действующим законодательством документ в электронном виде, заверенный ЭЦП, является документом, имеющим юридическую силу, аналогичную документу, исполненному на бумажном носителе и снабженному подписью и печатью;
электронный документ порождает обязательства одного пользователя Системы перед другим пользователем Системы, если документ оформлен надлежащим образом, заверен ЭЦП и доставлен другому пользователю Системы. При этом ЭЦП используется в соответствии со сведениями, указанными в сертификате открытого ключа ЭЦП, а сертификат открытого ключа ЭЦП отправителя действует;
подтверждением того, что электронный документ пользователя Системы принят пользователем Системы - получателем, является получение пользователем Системы - отправителем надлежащим образом оформленной электронной квитанции о принятии его документа или получение того же документа, подписанного ЭЦП пользователя Системы - получателя;
пользователь Системы признает, что используемая в соответствии с настоящим Положением система защиты информации, которая обеспечивает ЭЦП и шифрование, достаточна для подтверждения целостности, подлинности и авторства электронных документов, а также разрешения конфликтных ситуаций по ним;
математические свойства алгоритма ЭЦП, реализованного в соответствии со стандартами Российской Федерации, свидетельствуют о невозможности подделки значения ЭЦП любым лицом, не обладающим закрытым криптографическим ключом ЭЦП. Пользователь Системы признает, что разбор конфликтной ситуации в отношении авторства, целостности и подлинности электронного документа заключается в доказательстве подписания конкретного электронного документа на конкретном ключе ЭЦП.
2. Для разбора конфликтной ситуации необходимо иметь:
заверенный организатором Системы сертификат открытого ключа ЭЦП владельца сертификата ключа пользователя Системы, подписавшего документ, подлинность или авторство которого оспаривается;
файл, содержащий текст документа, в отношении которого возникает конфликтная ситуация, и ЭЦП его автора.
3. Для разбора конфликтной ситуации необходимо выполнить следующие действия:
произвести операцию проверки ЭЦП электронного документа, авторство или подлинность которого оспаривается, на рабочем месте администратора ключевого центра;
распечатать протокол проверки ЭЦП;
распечатать сертификат открытого ключа ЭЦП из базы данных ключевого центра;
сравнить сертификат открытого ключа ЭЦП, представленного владельцем сертификата ключа, и распечатанный сертификат открытого ключа ЭЦП из базы данных ключевого центра.
Авторство подписи под документом считается установленным, если совпадают открытый ключ ЭЦП, представленный владельцем сертификата ключа пользователя Системы, и сертификат открытого ключа ЭЦП из базы данных ключевого центра и при наличии в протоколе проверки ЭЦП владельца сертификата ключа пользователя Системы записи "Подпись верна".
4. В соответствии с настоящим Порядком подлежат разрешению конфликтные ситуации двух типов:
некорректность входящего электронного документа или ЭЦП (конфликтная ситуация первого типа);
для корректного электронного документа - непризнание отправителем электронного документа факта отправки документа, а также его целостности и подлинности (конфликтная ситуация второго типа).
4.1. При возникновении конфликтной ситуации первого типа получатель некорректного документа по телефону или иным образом запрашивает у отправителя информацию о документе, подлинность которого вызывает сомнения. При получении подтверждения об отправке указанного документа запрашивает повторное оформление и отправку данного документа.
Если повторная проверка дала отрицательный результат и ЭЦП документа неверна, делается вывод о возможном нарушении действующего криптографического ключа либо о неисправности программно-аппаратных средств одной из сторон.
При этом необходимо:
проверить сертификаты открытых ключей;
в соответствии с эксплуатационной документацией проверить целостность и неизменность программного обеспечения СКЗИ.
Если положительный результат не достигнут, необходимо обратиться к организатору Системы.
Если повторная проверка дала положительный результат и ЭЦП документа верна, документ признается корректным.
4.2. Конфликтная ситуация второго типа возникает, если один из пользователей Системы приходит к выводу, что другой пользователь Системы ссылается на документ, исходящий от него, который им не отправлялся и (или) его содержание изменено. В этом случае пользователь Системы немедленно извещает организатора Системы о наличии конфликтной ситуации для проведения служебного расследования.
При проведении служебного расследования формируется экспертная (согласительная) комиссия для разрешения конфликтной ситуации, в состав которой входят представители организатора Системы и пользователи Системы, вовлеченные в конфликтную ситуацию.
В ходе служебного расследования рассматриваются документы, в том числе электронные, относящиеся к предмету разногласий, и выполняется процедура проверки ЭЦП документа, являющегося предметом разбирательства, в соответствии с пунктом 2 настоящего Порядка. При этом могут быть использованы следующие эталонные данные:
данные архива оригиналов принятых/отправленных документов;
сертификаты открытых ключей ЭЦП, выданные организатором Системы;
дистрибутивы СКЗИ;
ключевые носители.
