Либертариум Либертариум

Тамбовский центр тебе сертификатор: "Регламент регистрации и подключения юридических и физических лиц к системе электоронного документооборота Пенсионного фонда РФ"

Пример использования криптосредств госорганизациями.

03.05.2000
  УТВЕРЖДЕНО

постановлением Правления ПФР

от ______________N__________

РЕГЛАМЕНТ
регистрации и подключения юридических и физических лиц к системе
электронного документооборота Пенсионного фонда Российской Федерации
Москва, 2000

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Регламент регистрации и подключения юридических и физических лиц к системе электронного документооборота Пенсионного фонда Российской Федерации (далее - Регламент) разработан в соответствии с требованиями законодательства Российской Федерации, Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ), Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России) и нормативных актов Пенсионного фонда Российской Федерации (ПФР).

1.2. Регламент предназначен для органов ПФР, юридических и физических лиц для организации обмена электронными документами между юридическими, физическими лицами и органами ПФР в системе электронного документооборота ПФР с использованием средств криптографической защиты информации.

1.3. Юридические и физические лица, участвующие в электронном документообороте ПФР с использованием средств криптографической защиты информации «Верба-О\ОW», являются конечными абонентами системы электронного документооборота ПФР и не имеют права на предоставление средств криптографической защиты информации и услуг в области шифрования третьим лицам.

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Абонент системы (АС) - юридическое или физическое лицо, включенное в систему электронного документооборота ПФР.

Закрытый ключ - криптографический ключ, который хранится абонентом системы в тайне. Он используется для формирования электронной цифровой подписи и шифрования.

Информационная безопасность (безопасность информации) - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п.

Информационный обмен - обмен сведениями о лицах, предметах, фактах, событиях и процессах, независимо от формы их представления.

Информация конфиденциального характера (конфиденциальная информация) - любая информация ограниченного доступа, не содержащая сведений, относящихся к государственной тайне.

Ключ (криптографический ключ) - конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.

Ключевая информация - конкретное состояние некоторых параметров алгоритма криптографического преобразования данных и формирования электронной цифровой подписи. В данном случае термин «ключ» означает уникальный битовый шаблон.

Компрометация ключа - утрата доверия к тому, что используемые ключи обеспечивают безопасность информации.

Криптографическая защита информации (зашифрование, расшифрование) - процесс преобразования открытой информации с целью сохранения ее в тайне от посторонних лиц при помощи некоторого алгоритма, называемого шифром. Для зашифрования информации сторонами используется алгоритм криптографического преобразования ГОСТ 28147-89, программно реализованный в сертифицированном ФАПСИ средстве криптографической защиты информации. Расшифрование является обратным процессом зашифрования.

Орган ПФР - Исполнительная дирекция ПФР, Ревизионная комиссия ПФР, Информационный центр персонифицированного учета ПФР, региональные отделения ПФР, межрайонные и районные пункты ПФР, оснащенные средствами автоматизации для выполнения основных задач, стоящих перед ПФР.

Открытый ключ - криптографический ключ, который связан с закрытым с помощью особого математического соотношения. Открытый ключ известен всем другим абонентам системы, он предназначен для проверки электронной цифровой подписи и расшифрования, позволяет определить автора подписи и достоверность электронного документа, но не позволяет вычислить закрытый ключ. Открытый ключ считается принадлежащим абоненту, если он был зарегистрирован (сертифицирован) установленным порядком.

Проверка электронной цифровой подписи - процесс определения целостности, подлинности и авторства электронного документа, подписанного электронной цифровой подписью, заключающийся в проверке соотношения, связывающего хэш-функцию документа, подпись под этим документом и открытый ключ подписавшего документ абонента. Если проверяемое соотношение, полученное сертифицированными средствами криптографической защиты информации, оказывается выполненным, то подпись признается правильным, а сам документ - подлинным, в противном случае документ считается недействительной. Процедуры выработки и проверки электронной цифровой подписи, а также хэш-функции соответствуют алгоритмам, определенных ГОСТ Р34.10-94 и ГОСТ Р34.11-94.

Сертификационный центр - юридическое лицо, имеющее лицензии ФАПСИ на изготовление и (или) поставку средств криптографической защиты информации, ключей шифрования и электронной цифровой подписи.

Сертификация открытого ключа - подтверждение соответствия сертификационного центра на регистрационных карточках открытых ключей и внесение данных открытых ключей в справочники открытых ключей.

Сертификат на средства криптографической защиты информации - документ, оформленный по правилам, действующим в Российской Федерации, удостоверяющий соответствие этих средств специальным требованиям и гарантирующий в течение определенного срока возможность использования данного средства в соответствии с заданными требованиями.

Система электронного документооборота ПФР (СЭД ПФР) - обмен сведениями о лицах, предметах, фактах, событиях и процессах, представляемых в электронном виде с использованием вычислительной техники, телекоммуникационных систем и сертифицированных ФАПСИ средств криптографической защиты информации.

Средства криптографической защиты информации (СКЗИ) - совокупность программных и технических средств, реализующих криптографические преобразования с исходной информацией и функцию выработки и проверки электронной цифровой подписи.

Электронный документ – информация, представленная в форме набора состояний элементов электронной вычислительной техники, иных электронных средств обработки, хранения и передачи информации, могущая быть преобразованной в форму, пригодную для однозначного восприятия человеком, и имеющая атрибуты для идентификации документа.

Электронная цифровая подпись (ЭЦП) - последовательность символов, полученная в результате криптографического преобразования исходной информации, которая позволяет подтверждать целостность и неизменность этой информации, а также ее авторство.

Электронный документ оформлен надлежащим образом - электронный документ заполнен в соответствии с требованиями нормативных актов ПФР.

Электронный документ принят - орган ПФР получил надлежащим образом оформленный электронный документ, его расшифровал, успешно проверил все необходимые для данного типа документа электронные цифровые подписи и принял его к исполнению.

3. ПОРЯДОК РЕГИСТРАЦИИ И ПОДКЛЮЧЕНИЯ К СИСТЕМЕ
ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА ПФР

3.1. Юридические, физические лица направляют на имя руководителя органа ПФР письменное заявление о подключении его к системе электронного документооборота ПФР.

3.2. Получив письменное заявление от юридического, физического лица на его подключение к системе электронного документооборота ПФР, орган ПФР направляет в его адрес следующий пакет документов:

  • Соглашение об обмене электронными документами в системе электронного документооборота ПФР (приложение 1);
  • номер ключевой серии, выделенный данному органу ПФР;
  • номера ключей шифрования и электронной цифровой подписи из данной ключевой серии, выделенные органу ПФР;
  • Акт о готовности к работе в системе электронного документооборота Пенсионного фонда Российской Федерации (приложение 2).

3.3. Порядок действий юридического и физического лица:

  • заключение договора с сертификационным центром на изготовление и поставку средств криптографической защиты информации, ключей шифрования и электронной цифровой подписи (далее - продукция) и направление его в сертификационный центр;
  • проведение мероприятий по подготовке к эксплуатации средств криптографической защиты информации в соответствии с Требованиями к юридическим и физическим лицам, на которые распространяется действие лицензий ФАПСИ, выданных Пенсионному фонду Российской Федерации (приложение 3);
  • назначение из числа своих сотрудников администратора информационной безопасности организации и его заместителя и направление их на обучение в сертификационный центр.

Физическое лицо, как самостоятельный участник электронного документооборота ПФР является администратором информационной безопасности в одном лице.

3.4. Сертификационный центр в соответствии с договором производит изготовление продукции. Уполномоченные должностные лица сертификационного центра оформляют Акт об изготовлении криптографических ключей (приложение 4) в трех экземплярах. Два экземпляра направляются другой стороне, один остается в сертификационном центре.

3.5. Юридическое и физическое лицо получает продукцию в соответствии с договором.

3.6. Юридическое или физическое лицо оформляет Акт о готовности к работе в системе электронного документооборота Пенсионного фонда Российской Федерации и направляет своего администратора информационной безопасности либо прибывает самостоятельно в подразделение по защите информации органа ПФР для предварительной регистрации и инструктажа с комплектом документов, в состав которого входит:

  • Соглашение об обмене электронными документами в системе электронного документооборота ПФР (приложение 1), подписанное юридическим или физическим лицом;
  • контрольный лист с образцами печати юридического лица и личной подписью руководителя (контрольный лист физического лица также представляется с образцом его личной подписи);
  • выписку из приказа о назначении администратора информационной безопасности и его заместителя у юридического лица, заверенную печатью и подписью руководителя;
  • Акт о готовности к работе в системе электронного документооборота Пенсионного фонда Российской Федерации (1 экз.);
  • Акт об изготовлении криптографических ключей (1 экз.);
  • Акт о готовности к эксплуатации программно-аппаратного комплекса, защищенного СКЗИ (1 экз.) (приложение 5);
  • открытые ключи шифрования и электронной цифровой подписи;
  • сертификаты открытых ключей (регистрационные карточки, 1 экз. остается в органе ПФР);
  • справочник открытых ключей.

В подразделении по защите информации органа ПФР с администратором информационной безопасности проводится обмен открытыми ключами шифрования и электронной цифровой подписи, паролями для организации системы оповещения о компрометации ключей по телефонной сети общего пользования, а также вносятся дополнения и изменения в справочники.

3.7. При соблюдении юридическим или физическим лицом всех вышеуказанных условий руководитель органа ПФР подписывает Соглашение об обмене электронными документами в системе электронного документооборота ПФР. После чего юридическое или физическое лицо становится абонентом системы электронного документооборота ПФР.


Приложение 1
к Регламенту

СОГЛАШЕНИЕ
ОБ ОБМЕНЕ ЭЛЕКТРОННЫМИ ДОКУМЕНТАМИ В СИСТЕМЕ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА ПФР

(образец)

 г. __________________________

«___»________200_ г.

________________________________________________в лице руководителя ____________
          (наименование органа ПФР, адрес)
__________________________, действующего на основании___________________________

_____________________________________, именуемая в дальнейшем «орган ПФР», с одной

стороны и____________________________________ в лице ___________________________,
               (наименование юридического и физического лица, адрес)

действующего на основании _______________________________, именуемая в дальнейшем

«абонент системы», с другой стороны, именуемые также «стороны», заключили настоящее

Соглашение о нижеследующем:

1. ПРЕДМЕТ СОГЛАШЕНИЯ

1.1. Абонент системы и орган ПФР осуществляют обмен_______________________________ 

____________________________________________ в электронном виде по СЭД ПФР.
       (указать вид, наименование, перечень документов)

 1.2. Стороны признают, что полученные ими электронные документы, заверенные электронной цифровой подписью уполномоченных лиц, юридически эквивалентны полученным документам на бумажных носителях, заверенных соответствующими подписями и оттиском печатей сторон.

1.3. Стороны признают, что использование в СЭД ПФР средств криптографической защиты информации, которые реализуют шифрование и электронную цифровую подпись, достаточно для обеспечения конфиденциальности информационного взаимодействия сторон, а также для подтверждения того, что:

  • электронный документ исходит от стороны, его передавшей (подтверждение авторства документа);
  • электронный документ не претерпел изменений при информационном взаимодействии сторон (подтверждение целостности и подлинности документа);
  • электронный документ юридически эквивалентен документу на бумажном носителе.

1.4. Для работы в СЭД ПФР стороны руководствуются действующим законодательством Российской Федерации, нормативными актами ПФР.

2. ТЕХНИЧЕСКИЕ УСЛОВИЯ

2.1. Абонент системы за свой счет приобретает, устанавливает и обеспечивает работоспособность аппаратных, аппаратно-программных средств защиты информации от НСД и средств криптографической защиты информации, необходимых для подключения к СЭД ПФР.

2.2. Абонент системы оплачивает средства связи и каналы связи, необходимые для работы в СЭД ПФР.

2.3. Поставку абоненту системы средств криптографической защиты информации осуществляет ООО «ТехИнформКонсалтинг», ключей шифрования и электронной цифровой подписи осуществляет ОПФР по Тамбовской области.

3. ПОРЯДОК ОСУЩЕСТВЛЕНИЯ ОБМЕНА ЭЛЕКТРОННЫМИ ДОКУМЕНТАМИ

3.1. Каждая сторона имеет право в электронной форме передавать другой стороне в СЭД ПФР следующие электронные документы:

абонент системы передает в орган ПФР документы в соответствии с Федеральным законом от 01.04.96 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования", a также любой документ, в соответствии с письменным соглашением сторон;

абонент системы получает от органа ПФР документы в соответствии с Федеральным законом от 01.04.96 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования", а также любой документ, в соответствии с письменным соглашением сторон. В соответствии с требованиями законодательства Российской Федерации орган ПФР имеет право в одностороннем порядке изменять формы и перечень передаваемых документов.

3.2. В процессе осуществления информационного обмена сторона, получившая электронный документ, обязана:

  • произвести расшифрование и проверку электронной цифровой подписи лица, подписавшего документ;
  • в случае успешного расшифрования и проверки электронной цифровой подписи, принять решение - оформлен или не оформлен передающей стороной электронный документ надлежащим образом.

3.3. Расшифрованный электронный документ, оформленный надлежащим образом, с успешно проверенными электронными цифровыми подписями, необходимыми для данного типа электронного документа, должен быть принят.

Свидетельством того, что электронный документ принят, является получение одной из сторон оформленной надлежащим образом электронной квитанции о принятии электронного документа в обработку, либо того же самого электронного документа, подписанного электронной цифровой подписью принявшей стороны.

3.4 Структура имени файла отчета.

RRNNNNNN.BBB

RR - код района в шестнадцатиричной системе исчисления;
NNNNNN - регистрационный номер предприятия, как плательщика страховых взносов;
ВВВ - отчетный период

4. ПРАВА И ОБЯЗАННОСТИ СТОРОН

4.1. Орган ПФР принимает на себя следующие права и обязанности:

  • обеспечить функционирование всего необходимого оборудования со стороны органа ПФР, необходимого для обмена электронными документами с абонентом системы;
  • немедленно приостанавливать обмен электронными документами с абонентом системы при получении от него сообщения о компрометации его ключей шифрования и электронной цифровой подписи;
  • при изменении требований к передаваемым электронным документам орган ПФР обязуется известить абонента системы об этих изменениях в установленные законами Российской Федерации сроки;
  • немедленно информировать абонента системы о компрометации ключей шифрования и электронной цифровой подписи органа ПФР;
  • привлекать разработчика средств криптографической защиты информации при возникновении конфликтных ситуаций, связанных с работой программного обеспечения средств криптографической защиты информации.

4.2. Абонент системы принимает на себя следующие права и обязанности:

  • обеспечить доступ уполномоченных лиц органа ПФР к ПЭВМ, на которых будет производиться установка и дальнейшее сопровождение средств криптографической защиты информации;
  • соблюдать правила работы в СЭД ПФР и требования эксплутационной документации на средства криптографической защиты информации;
  • содержать в исправном состоянии компьютеры, которые подключены к СЭД ПФР, принимать организационные меры для предотвращения несанкционированного доступа к данным компьютерам и установленному на них программному обеспечению и средствам криптографической защиты информации, а также в помещения, в которых они установлены;
  • не допускать появления в компьютерной среде, где функционирует СЭД ПФР, компьютерных вирусов и программ, направленных на ее разрушение;
  • без согласования с органом ПФР не вносить никаких изменений в технические и программные средства СЭД ПФР, установленные у абонента системы;
  • прекращать использование скомпрометированного ключа шифрования и электронной цифровой подписи и немедленно информировать орган ПФР о факте компрометации ключа. Факт признания ключей шифрования или электронной цифровой подписи скомпрометированными должен быть оформлен протоколом в течение 1 рабочего дня с момента установления факта компрометации;
  • немедленно сообщать в орган ПФР обо всех случаях, свидетельствующих о попытках несанкционированного доступа к компьютерам с установленными средствами криптографической защиты информации, а также о любой, даже кратковременной, потере контроля над закрытым ключом;
  • в связи с тем, что эксплуатируемые по настоящему Соглашению программы и технологии, а также данные, образующиеся в результате работы программного обеспечения, содержат конфиденциальную информацию, абонент системы обязуется всеми доступными ему способами предотвращать ее разглашение, связанное с работой в СЭД ПФР;
  • не уничтожать и (или) не модифицировать архивы открытых ключей электронной цифровой подписи, электронных документов (в том числе электронные квитанции и журналы), состоящие из электронных документов в том виде, в котором они передавались или принимались от органа ПФР.

Срок поддержания архивов определяется законодательством Российской Федерации, а в случае возникновения споров - до их разрешения. Стороны несут ответственность за целостность и достоверность своих электронных архивов.

4.3. Стороны обязуются при осуществлении передачи электронных документов по СЭД ПФР руководствоваться правилами и техническими требованиями, установленными действующим законодательством Российской Федерации и другими нормативными актами.

4.4. Сторона, для которой создалась невозможность исполнения обязательств по настоящему Соглашению, должна о наступлении и прекращении обстоятельств, препятствующих исполнению обязательств, немедленно извещать другую сторону, обмен электронными документами на время действия этих обстоятельств приостанавливается.

4.5. При возникновении споров, связанных с принятием или непринятием и (или) с исполнением или неисполнением электронного документа, стороны обязаны соблюдать порядок согласования разногласий, предусмотренный настоящим Соглашением.

5. ОТВЕТСТВЕННОСТЬ СТОРОН

5.1. Стороны несут ответственность за использование информации в соответствии с законодательством Российской Федерации.

5.2. Орган ПФР не несет ответственности за ущерб, возникший вследствие принятия электронных документов к исполнению со скомпрометированной электронной цифровой подписью абонента системы, в случае получения информации о компрометации электронной цифровой подписи после принятия электронного документа к исполнению.

5.3. Орган ПФР не несет ответственности за ущерб, возникший в результате:

  • неправильного заполнения абонентом системы электронных документов в СЭД ПФР;
  • разглашения абонентом системы паролей или доступности третьим лицам ключей шифрования и электронной цифровой подписи.

5.4. Абонент системы несет ответственность за сохранность программного обеспечения системы, архивов открытых ключей электронной цифровой подписи и электронных документов, размещенных на своих компьютерах.

5.5. Если одна из сторон предъявляет другой стороне претензии по электронному документу при наличии подтверждения другой стороны о получении такого документа, а другая сторона не может представить архивную копию спорного электронного документа вследствие нарушения требований к хранению архива, которые оговорены в пункте 4.2. настоящего Соглашения, виновной признается сторона, не представившая архивную копию спорного документа.

6. ПОРЯДОК СМЕНЫ КЛЮЧЕЙ ШИФРОВАНИЯ И ЭЛЕКТРОННОЙ
ЦИФРОВОЙ ПОДПИСИ

6.1. Порядок выдачи, смены, уничтожения ключей, в том числе в случаях их компрометации, определяется органом ПФР.

6.2. Порядок обмена открытыми ключами сторон определяется органом ПФР.

7. ПОРЯДОК СОГЛАСОВАНИЯ РАЗНОГЛАСИЙ

7.1. Стороны на основе взаимного согласия принимают следующий порядок разрешения возможных споров по обязательствам, вытекающим из содержания электронного документа, и споров о наличии электронного документа:

  • в случаях, когда одна из сторон оспаривает подлинность, целостность или авторство электронного документа, стороны создают экспертную комиссию для определения подлинности, целостности или авторства электронного документа, а также для выявления причин, приведших к появлению данного случая;
  • при получении одной из сторон электронного документа, электронная цифровая подпись которого не получила положительного результата проверки, а другая сторона настаивает на его подлинности, стороны после проверки целостности программного обеспечения своего средства криптографической защиты информации назначают экспертную комиссию из представителей сторон и экспертов, признаваемых сторонами, от других организаций;
  • результаты проверок и выводы экспертной комиссии оформляются актом в течение одного месяца с момента подписания сторонами акта согласования состава экспертной комиссии;
  • Экспертная комиссия в своей работе руководствуется порядком разрешения конфликтных ситуаций, определенным органом ПФР;
  • составленный экспертной комиссией акт является основанием для выработки окончательного решения между сторонами.

7.2. Стороны обязуются принимать все возможные усилия для разрешения споров путем переговоров. Если в результате переговоров стороны не придут к согласию, спор выносится на рассмотрение суда.

8. СРОК ДЕЙСТВИЯ СОГЛАШЕНИЯ

Настоящее Соглашение вступает в силу с момента его подписания.

Изменения и дополнения в настоящее Соглашение могут вноситься только в письменном виде по взаимному согласию сторон.

В случае нарушения одной из сторон обязательств, предусмотренных данным Соглашением, другая сторона вправе в одностороннем порядке расторгнуть настоящее Соглашение, уведомив об этом в письменном виде другую сторону.

Настоящее Соглашение составляется в двух экземплярах, по одному для каждой стороны.

9. ЮРИДИЧЕСКИЕ АДРЕСА И РЕКВИЗИТЫ СТОРОН

ОРГАН ПФР:

Ответственный со стороны Пенсионного фонда Российской Федерации _______________

_____________________________________________________________________________
(Ф.И.О., должность, телефон)

АБОНЕНТ СИСТЕМЫ:

Ответственный со стороны абонента системы _____________________________________

_____________________________________________________________________________
(Ф.И.О., должность, телефон)

От органа ПФР От абонента системы

Приложение 2
к Регламенту

  У Т В Е Р Ж Д А Ю

_____________________
(должность)

_____________________
(наименование учреждения)

_____________________
(подпись Ф.И.О.)

А К Т
о готовности к работе в системе электронного документооборота
Пенсионного фонда Российской Федерации

___________________________________ с _______________________________________
  (наименование учреждения)                                 (наименование изделия)

«_______» ________________ 200_ г.

Комиссия в составе председателя ___________   ______________________ и членов ____
                                                              (должность)                     (Ф.И.О.)
_____________________________________________, назначенная ___________, составила

настоящий акт о том, что помещение абонента ___________________________, размещение
                                                                                                                                      (название)
_____________________________, хранилище ключевых документов, охрана помещений и
        (оборудование)
готовность сотрудников к обслуживанию ________________ соответствуют:____________
                                                                            (оборудования)
_____________________________________________________________________________ .
(ГОСТ, инструкция, руководящие документы, правила пользования и т.п.)

Комиссия отмечает, что инсталляция ПО вышеупомянутых изделий проведены в соответствии

с ________________________
            (инструкцией)

Вывод: комиссия считает, что объект ____________ отвечает требованиям _____________
                                                               (название объекта)                                   (название инструкции)
по обеспечению безопасности связи по уровню __________ и может быть введен в действие.
                                                                                      (уровень)

Председатель:       ____________________ ___________________
                                           (подпись)                       (Ф.И.О.)

Члены комиссии: ____________________ ___________________
                                          (подпись)                       (Ф.И.О.)

                               ____________________ ___________________
                                         (подпись)                       (Ф.И.О.)

                               ____________________ ___________________
                                         (подпись)                       (Ф.И.О.)


Приложение 3
к Регламенту

Требования
к юридическим и физическим лицам, на которые
распространяется действие лицензий ФАПСИ, выданных
Пенсионному фонду Российской Федерации

Настоящие требования предъявляются к юридическим и физическим лицам, не имеющим собственных лицензий ФАПСИ и на которые распространяется действие лицензий ФАПСИ, выданных Пенсионному фонду Российской Федерации и (или) Сертификационному центру на право установки (инсталляции) и эксплуатации сертифицированных ФАПСИ шифровальных средств (средств криптографической защиты информации).

Настоящие требования распространяются на средства криптографической защиты информации, предназначенные для защиты информации, не содержащей сведений, составляющих государственную тайну, при обеспечении безопасности информации по уровню «С».

I. Требования по организационному обеспечению безопасности средств криптографической защиты информации

1. Монтаж, наладка и установка (инсталляция), ремонт и сервисное обслуживание сертифицированных ФАПСИ шифровальных средств могут осуществляться организациями, имеющими соответствующие лицензии ФАПСИ.

2. В организации руководством должны быть выделены должностные лица, ответственные за разработку и практическое осуществление мероприятий по обеспечению функционирования и безопасности средств криптографической защиты информации.

3. Вопросы обеспечения функционирования и безопасности средств криптографической защиты информации должны быть отражены в специально разработанных документах, утвержденных руководством организации, с учетом эксплуатационной документации на средства криптографической защиты информации.

4. В организации должны быть созданы условия, обеспечивающие сохранность конфиденциальной информации, доверенной организации юридическими и физическими лицами в соответствии с действующим законодательством.

II. Требования по размещению, специальному оборудованию, охране и режиму в помещениях, в которых размещены средства криптографической защиты информации

1. Размещение, специальное оборудование, охрана и режим в помещениях, в которых размещены средства криптографической защиты информации (далее - помещения) должны обеспечивать безопасность информации, средств криптографической защиты информации, ключей шифрования и электронной цифровой подписи, сведение к минимуму возможности неконтролируемого доступа к средствам криптографической защиты информации, просмотра процедур работы посторонними лицами.

2. Порядок допуска в помещения определяется внутренней инструкцией, которая разрабатывается с учетом специфики и условий функционирования конкретной структуры организации.

3. При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п. окна помещений оборудуются металлическими решетками, ставнями, охранной сигнализацией или другими средствами, препятствующими несанкционированному доступу в помещения. Эти помещения должны иметь прочные входные двери, на которые устанавливаются надежные замки.

4. Для хранения ключей шифрования и электронной цифровой подписи, нормативной и эксплуатационной документации, инсталляционных дискет помещения обеспечиваются металлическими шкафами (хранилищами, сейфами), оборудованными внутренними замками с двумя экземплярами ключей. Дубликаты ключей от хранилищ и входных дверей должны храниться в сейфе ответственного лица, назначаемого руководством организации.

5. Устанавливаемый руководителем организации порядок охраны помещений должен предусматривать периодический контроль технического состояния средств охранной и пожарной сигнализации и соблюдения режима охраны.

6. Размещение и установка средств криптографической защиты информации осуществляется в соответствии с требованиями эксплуатационной документации на средства криптографической защиты информации.

7. Системные блоки ЭВМ с установленными средствами криптографической защиты информации должны быть оборудованы средствами контроля их вскрытия.

III. Требования по обеспечению безопасности ключей шифрования и электронной цифровой подписи

1. Все поступающие для использования ключи шифрования и электронной цифровой подписи и инсталляционные дискеты должны браться в организации на поэкземплярный учет в выделенных для этих целей журналах.

2. Учет и хранение магнитных носителей ключевой информации и инсталляционных дискет, непосредственная работа с ними поручается руководством организации специально выделенным работникам организации. Эти работники несут персональную ответственность за сохранность ключей шифрования и электронной цифровой подписи и функционирование средств криптографической защиты информации.

3. Учет изготовленных для организации ключей шифрования и электронной цифровой подписи, регистрация их выдачи для работы, возврата от ответственных лиц и уничтожения ведется в организации.

4. Хранение ключей шифрования и электронной цифровой подписи, инсталляционных дискет допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, не предусмотренное правилами пользования средствами криптографической защиты информации применение.

Наряду с этим должна быть предусмотрена возможность раздельного, безопасного хранения действующих и резервных ключей шифрования и электронной цифровой подписи (резервные ключи - предназначены для использования их в случае компрометации действующих ключей в соответствии с правилами пользования средствами криптографической защиты информации).

5. При пересылке ключей шифрования и электронной цифровой подписи организации должны быть обеспечены условия транспортировки, исключающие возможность физических повреждений и внешнего воздействия на записанную ключевую информацию.

6. В случае отсутствия у ответственного за средства криптографической защиты информации лица индивидуального хранилища ключи шифрования и электронной цифровой подписи по окончании рабочего дня должны сдаваться лицу, ответственному за их хранение.

7. Уполномоченными лицами периодически должен проводиться контроль сохранности входящего в состав средств криптографической защиты информации оборудования, а также всего используемого программного обеспечения для предотвращения внесения программно-аппаратных закладок и программ вирусов.

IV. Требования к сотрудникам, осуществляющим эксплуатацию и установку (инсталляцию) средств криптографической защиты информации

К работе со средствами криптографической защиты информации допускаются решением руководства организации только сотрудники, знающие правила его эксплуатации, владеющие практическими навыками работы на ПЭВМ, изучившие правила пользования, эксплуатационную документацию и прошедшие обучение работе со средствами криптографической защите информации.

Руководитель организации или лицо, уполномоченное на руководство заявленными видами деятельности, должно иметь представление о возможных угрозах информации при ее обработке, передаче, хранении, методах и средствах защиты информации.


Приложение 4
к Регламенту

АКТ
об изготовлении криптографических ключей

 г. __________________________

«___»________200_ г.

Настоящий акт составлен уполномоченными должностными лицами __________________

_____________________________________________________________________________
             (фамилия, имя, отчество ответственного должностного лица организации)
о том, что изготовлены криптографические ключи согласно Таблице 1 _________________

______________________________________________________________________________
           (наименование организации – изготовителя СКЗИ и ключей шифрования и ЭЦП)
подготовило для передачи юридическому (физическому) лицу и в подразделение ПФР открытый ключ (ключи) для проверки цифровой (электронной цифровой) подписи и открытый ключ (ключи) шифрования, записанные на магнитном носителе информации (дискетах), в запечатанном конверте с подписью уполномоченных должностных лиц и мастичной печатью, оформленный в соответствии с Таблицей 2, а также распечатки этих ключей с подписью уполномоченных должностных лиц и мастичной печатью, оформленные в соответствии с приложениями 1, 2 и справочником открытых ключей на ГМД.

Таблица 1

NN
п/п
Наименование ключа Юридическое (физическое) лицо Основание для изготовления Ф.И.О.
         
         
         
         

_______________ ___________

_______________ ___________

«___» _______________ 2000_г.

МП

В настоящем конверте хранится (хранятся) на дискетах открытый ключ (ключи) для проверки электронной цифровой подписи и открытый ключ (ключи) шифрования, справочники открытых ключей шифрования и ЭЦП, а также регистрационные карточки открытых ключей шифрования и ЭЦП в соответствии с приложениями 1 и 2 к настоящему Акту.

_____________________________________________________________________________
(наименование организации - ЮРИДИЧЕСКОЕ ИЛИ ФИЗИЧЕСКОЕ ЛИЦО)

Таблица 2

Наименование ключа Реквизиты
   
   
   
   

Всего в конверте запечатано _______ дискет (цифрами и прописью)__________ и _______________ листов.

_______________ ___________

_______________ ___________

«___» _______________ 2000_г.

МП


Приложение 1
к Акту об изготовлении
криптографических ключей

Форма регистрационной карточки открытого ключа шифрования

СКЗИ «Верба-О\OW» РЕГИСТРАЦИОННЫЙ номер 0000000
Регистрационная карточка открытого ключа шифрования
Корреспондент: ...
Ключ действующий
Серия: ......
Номер ключа: ....
Атрибуты
01: 30 30 30 33 30 30 39 35 - 81 A0 AD AA 20 2E 2E 2E
02: 2E 2E 2E 2E 2E 2E 2E 2е - 2E 2E 2E 2E 20 8A A4 2Е
03: 20 E3 E7 A0 E1 E2 AD 2е - AA A0 20 2E 2E 2E 2E 2E
04: 2E 2E 2E 2E 2E 2E 2E 2Е - 2E 2E 2E 20 94 2E 88 2E 2Е
05: 8E 2E 20 2E 2E 2E 2E 2E - 2E 2E 2E 2E 2E 2E 2E 2E
06: 2E 2E 2E 2E 2E 2E 2E 2E - 2E 2E 2E 2E 2E 2E 2E 2E
07: 2E 2E 2E 2E 2E 20 91 A5 - E0 A8 EF 2E 2E 2E 2E 2E
08: 2E 20 8A AB EE E7 2E 2E - 2E 2E 2E 2E 2E 2E 2E 2E
09: 2E 2E 30 37 2E 31 32 2E – 31 39 39 35 2C 5D 49 01
Открытый ключ
10: F7 57 F8 98 4A 08 D6 CE - 43 64 B0 9C C8 E9 3E 3C
11: 47 F9 AE 29 A3 38 63 64 – 3F 56 0C EE 63 DE 62 CE
12: 2A 34 45 B4 63 98 3A A7 - 2A 73 14 D8 DD F6 87 1D
13: 71 87 C2 1E 36 78 FD 49 – 18 10 95 61 05 2F 47 45
Хеш-функция
14: E4 8A BD 9A 5F 83 E2 55 - 81 11 B4 1B 81 A7 2F 8E
15: E4 8A BD 9A 5F 83 E2 55 - 47 F9 AE 29 A3 38 63 64
Дата формирования ключа: «____» _____________

Личная подпись           __________ «____» __________ 2000г.

Подпись удостоверяю __________ «____» __________ 2000г.
М.П.
Администратор ЦУКС __________ «____» __________ 2000г.
М.П.

Приложение 2
к Акту об изготовлении
криптографических ключей

Форма регистрационной карточки открытого ключа ЭЦП

СКЗИ «Верба-О\OW» РЕГИСТРАЦИОННЫЙ номер 0000000
Регистрационная карточка открытого ключа ЭЦП
Корреспондент: ...
Ключ действующий
Серия: ......
Номер ключа: ...
Личный код: ...
Атрибуты
01: 30 30 30 33 30 30 39 35 - 81 A0 AD AA 20 2E 2E 2E
02: 2E 2E 2E 2E 2E 2E 2E 2е - 2E 2E 2E 2E 20 8A A4 2Е
03: 20 E3 E7 A0 E1 E2 AD 2е - AA A0 20 2E 2E 2E 2E 2E
04: 2E 2E 2E 2E 2E 2E 2E 2Е - 2E 2E 2E 20 94 2E 88 2E 2Е
05: 8E 2E 20 2E 2E 2E 2E 2E - 2E 2E 2E 2E 2E 2E 2E 2E
06: 2E 2E 2E 2E 2E 2E 2E 2E - 2E 2E 2E 2E 2E 2E 2E 2E
07: 2E 2E 2E 2E 2E 20 91 A5 - E0 A8 EF 2E 2E 2E 2E 2E
08: 2E 20 8A AB EE E7 2E 2E - 2E 2E 2E 2E 2E 2E 2E 2E
09: 2E 2E 30 37 2E 31 32 2E - 31 39 39 35 2C 5D 49 01
Открытый ключ
10: F7 57 F8 98 4A 08 D6 CE - 43 64 B0 9C C8 E9 3E 3C
11: 47 F9 AE 29 A3 38 63 64 - 3F 56 0C EE 63 DE 62 CE
12: 2A 34 45 B4 63 98 3A A7 - 2A 73 14 D8 DD F6 87 1D
13: 71 87 C2 1E 36 78 FD 49 - 18 10 95 61 05 2F 47 45
Хеш-функция
14: E4 8A BD 9A 5F 83 E2 55 - 81 11 B4 1B 81 A7 2F 8E
15: E4 8A BD 9A 5F 83 E2 55 - 47 F9 AE 29 A3 38 63 64
Дата формирования ключа: «____» _____________

Личная подпись          _____________ «____» __________ 2000г.

Подпись удостоверяю _____________ «____» __________ 2000г.

М.П.

Администратор ЦУКС ____________ «____» __________ 2000г.

М.П.

Приложение 5
к Регламенту

АКТ
о готовности к эксплуатации программно-аппаратного комплекса,
защищенного СКЗИ

 г. __________________________

«___»________200_ г.

Настоящий акт составлен юридическим (физическим) лицом, далее именуемым абонентом системы,

_____________________________________________________________________________
                                                        (наименование организации)
_____________________________________________________________________________
                                (фамилия, имя, отчество ответственного должностного лица организации)

о том, что у абонента системы установлено следующее оборудование и программное обеспечение СКЗИ и проведены работы по пуску оборудования и программного обеспечения в эксплуатацию (Таблица 1).

Административно-технические данные по СКЗИ приведены в Таблице 1.

Таблица 1

N

СКЗИ (название)
____________________
Тип Зав. номер
(серийный номер)
Дата выпуска Кол-во
-1- -2- -3- -4- -5- -6-
1.1 Программное обеспечение        
           
1.2 Компьютер в комплекте        

Перечень документации

N Наименование  
-1- -2- -3-
1. Руководство абонента системы  
2. Руководство администратора  
3. Правила пользования СКЗИ  
4. Регламент поставки СКЗИ, ключей шифрования и подписи для обеспечения работы абонента системы в СЭД ПФР, защищенной СКЗИ «Верба-О\ОW» системе Пенсионного фонда Российской Федерации  

Таблица 2

Фактический адрес  
Адрес для корреспонденции  
Телефонный номер "горячей линии" (телефонный номер для экстренной связи)  
Наименование подразделения, где установлены средства криптографической защиты информации  
Реквизиты помещения, где установлен комплекс СКЗИ и хранятся носители ключевой информации  

Абонент системы обучен работе с СКЗИ, ознакомлен и получил все документы, указанные в настоящем акте и обязуется целиком и полностью без всяких оговорок их выполнять.

СКЗИ установлено в помещении, отвечающем Требованиям по размещению, специальному оборудованию, охране и режиму в помещениях, в которых размещены СКЗИ.

Программно-аппаратный комплекс с СКЗИ опечатан печатью (___________) и принят в эксплуатацию.

Настоящий акт составлен на (___________) листах.

  За абонента системы

_______________ _______________

«___» ___________ 2000г.

МП
Московский Либертариум, 1994-2020