|
||
Тамбовский центр тебе сертификатор: "Регламент регистрации и подключения юридических и физических лиц к системе электоронного документооборота Пенсионного фонда РФ"Пример использования криптосредств госорганизациями. 03.05.2000
РЕГЛАМЕНТ 1. ОБЩИЕ ПОЛОЖЕНИЯ 1.1. Регламент регистрации и подключения юридических и физических лиц к системе электронного документооборота Пенсионного фонда Российской Федерации (далее - Регламент) разработан в соответствии с требованиями законодательства Российской Федерации, Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ), Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России) и нормативных актов Пенсионного фонда Российской Федерации (ПФР). 1.2. Регламент предназначен для органов ПФР, юридических и физических лиц для организации обмена электронными документами между юридическими, физическими лицами и органами ПФР в системе электронного документооборота ПФР с использованием средств криптографической защиты информации. 1.3. Юридические и физические лица, участвующие в электронном документообороте ПФР с использованием средств криптографической защиты информации «Верба-О\ОW», являются конечными абонентами системы электронного документооборота ПФР и не имеют права на предоставление средств криптографической защиты информации и услуг в области шифрования третьим лицам. 2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ Абонент системы (АС) - юридическое или физическое лицо, включенное в систему электронного документооборота ПФР. Закрытый ключ - криптографический ключ, который хранится абонентом системы в тайне. Он используется для формирования электронной цифровой подписи и шифрования. Информационная безопасность (безопасность информации) - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п. Информационный обмен - обмен сведениями о лицах, предметах, фактах, событиях и процессах, независимо от формы их представления. Информация конфиденциального характера (конфиденциальная информация) - любая информация ограниченного доступа, не содержащая сведений, относящихся к государственной тайне. Ключ (криптографический ключ) - конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований. Ключевая информация - конкретное состояние некоторых параметров алгоритма криптографического преобразования данных и формирования электронной цифровой подписи. В данном случае термин «ключ» означает уникальный битовый шаблон. Компрометация ключа - утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. Криптографическая защита информации (зашифрование, расшифрование) - процесс преобразования открытой информации с целью сохранения ее в тайне от посторонних лиц при помощи некоторого алгоритма, называемого шифром. Для зашифрования информации сторонами используется алгоритм криптографического преобразования ГОСТ 28147-89, программно реализованный в сертифицированном ФАПСИ средстве криптографической защиты информации. Расшифрование является обратным процессом зашифрования. Орган ПФР - Исполнительная дирекция ПФР, Ревизионная комиссия ПФР, Информационный центр персонифицированного учета ПФР, региональные отделения ПФР, межрайонные и районные пункты ПФР, оснащенные средствами автоматизации для выполнения основных задач, стоящих перед ПФР. Открытый ключ - криптографический ключ, который связан с закрытым с помощью особого математического соотношения. Открытый ключ известен всем другим абонентам системы, он предназначен для проверки электронной цифровой подписи и расшифрования, позволяет определить автора подписи и достоверность электронного документа, но не позволяет вычислить закрытый ключ. Открытый ключ считается принадлежащим абоненту, если он был зарегистрирован (сертифицирован) установленным порядком. Проверка электронной цифровой подписи - процесс определения целостности, подлинности и авторства электронного документа, подписанного электронной цифровой подписью, заключающийся в проверке соотношения, связывающего хэш-функцию документа, подпись под этим документом и открытый ключ подписавшего документ абонента. Если проверяемое соотношение, полученное сертифицированными средствами криптографической защиты информации, оказывается выполненным, то подпись признается правильным, а сам документ - подлинным, в противном случае документ считается недействительной. Процедуры выработки и проверки электронной цифровой подписи, а также хэш-функции соответствуют алгоритмам, определенных ГОСТ Р34.10-94 и ГОСТ Р34.11-94. Сертификационный центр - юридическое лицо, имеющее лицензии ФАПСИ на изготовление и (или) поставку средств криптографической защиты информации, ключей шифрования и электронной цифровой подписи. Сертификация открытого ключа - подтверждение соответствия сертификационного центра на регистрационных карточках открытых ключей и внесение данных открытых ключей в справочники открытых ключей. Сертификат на средства криптографической защиты информации - документ, оформленный по правилам, действующим в Российской Федерации, удостоверяющий соответствие этих средств специальным требованиям и гарантирующий в течение определенного срока возможность использования данного средства в соответствии с заданными требованиями. Система электронного документооборота ПФР (СЭД ПФР) - обмен сведениями о лицах, предметах, фактах, событиях и процессах, представляемых в электронном виде с использованием вычислительной техники, телекоммуникационных систем и сертифицированных ФАПСИ средств криптографической защиты информации. Средства криптографической защиты информации (СКЗИ) - совокупность программных и технических средств, реализующих криптографические преобразования с исходной информацией и функцию выработки и проверки электронной цифровой подписи. Электронный документ – информация, представленная в форме набора состояний элементов электронной вычислительной техники, иных электронных средств обработки, хранения и передачи информации, могущая быть преобразованной в форму, пригодную для однозначного восприятия человеком, и имеющая атрибуты для идентификации документа. Электронная цифровая подпись (ЭЦП) - последовательность символов, полученная в результате криптографического преобразования исходной информации, которая позволяет подтверждать целостность и неизменность этой информации, а также ее авторство. Электронный документ оформлен надлежащим образом - электронный документ заполнен в соответствии с требованиями нормативных актов ПФР. Электронный документ принят - орган ПФР получил надлежащим образом оформленный электронный документ, его расшифровал, успешно проверил все необходимые для данного типа документа электронные цифровые подписи и принял его к исполнению. 3.
ПОРЯДОК РЕГИСТРАЦИИ И ПОДКЛЮЧЕНИЯ
К СИСТЕМЕ 3.1. Юридические, физические лица направляют на имя руководителя органа ПФР письменное заявление о подключении его к системе электронного документооборота ПФР. 3.2. Получив письменное заявление от юридического, физического лица на его подключение к системе электронного документооборота ПФР, орган ПФР направляет в его адрес следующий пакет документов:
3.3. Порядок действий юридического и физического лица:
Физическое лицо, как самостоятельный участник электронного документооборота ПФР является администратором информационной безопасности в одном лице. 3.4. Сертификационный центр в соответствии с договором производит изготовление продукции. Уполномоченные должностные лица сертификационного центра оформляют Акт об изготовлении криптографических ключей (приложение 4) в трех экземплярах. Два экземпляра направляются другой стороне, один остается в сертификационном центре. 3.5. Юридическое и физическое лицо получает продукцию в соответствии с договором. 3.6. Юридическое или физическое лицо оформляет Акт о готовности к работе в системе электронного документооборота Пенсионного фонда Российской Федерации и направляет своего администратора информационной безопасности либо прибывает самостоятельно в подразделение по защите информации органа ПФР для предварительной регистрации и инструктажа с комплектом документов, в состав которого входит:
В подразделении по защите информации органа ПФР с администратором информационной безопасности проводится обмен открытыми ключами шифрования и электронной цифровой подписи, паролями для организации системы оповещения о компрометации ключей по телефонной сети общего пользования, а также вносятся дополнения и изменения в справочники. 3.7. При соблюдении юридическим или физическим лицом всех вышеуказанных условий руководитель органа ПФР подписывает Соглашение об обмене электронными документами в системе электронного документооборота ПФР. После чего юридическое или физическое лицо становится абонентом системы электронного документооборота ПФР. Приложение 1 СОГЛАШЕНИЕ
________________________________________________в
лице руководителя ____________ _____________________________________, именуемая в дальнейшем «орган ПФР», с одной стороны и____________________________________
в лице ___________________________, действующего на основании _______________________________, именуемая в дальнейшем «абонент системы», с другой стороны, именуемые также «стороны», заключили настоящее Соглашение о нижеследующем: 1. ПРЕДМЕТ СОГЛАШЕНИЯ 1.1. Абонент системы и орган ПФР осуществляют обмен_______________________________ ____________________________________________ в
электронном виде по СЭД ПФР. 1.2. Стороны признают, что полученные ими электронные документы, заверенные электронной цифровой подписью уполномоченных лиц, юридически эквивалентны полученным документам на бумажных носителях, заверенных соответствующими подписями и оттиском печатей сторон. 1.3. Стороны признают, что использование в СЭД ПФР средств криптографической защиты информации, которые реализуют шифрование и электронную цифровую подпись, достаточно для обеспечения конфиденциальности информационного взаимодействия сторон, а также для подтверждения того, что:
1.4. Для работы в СЭД ПФР стороны руководствуются действующим законодательством Российской Федерации, нормативными актами ПФР. 2. ТЕХНИЧЕСКИЕ УСЛОВИЯ 2.1. Абонент системы за свой счет приобретает, устанавливает и обеспечивает работоспособность аппаратных, аппаратно-программных средств защиты информации от НСД и средств криптографической защиты информации, необходимых для подключения к СЭД ПФР. 2.2. Абонент системы оплачивает средства связи и каналы связи, необходимые для работы в СЭД ПФР. 2.3. Поставку абоненту системы средств криптографической защиты информации осуществляет ООО «ТехИнформКонсалтинг», ключей шифрования и электронной цифровой подписи осуществляет ОПФР по Тамбовской области. 3. ПОРЯДОК ОСУЩЕСТВЛЕНИЯ ОБМЕНА ЭЛЕКТРОННЫМИ ДОКУМЕНТАМИ 3.1. Каждая сторона имеет право в электронной форме передавать другой стороне в СЭД ПФР следующие электронные документы: абонент системы передает в орган ПФР документы в соответствии с Федеральным законом от 01.04.96 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования", a также любой документ, в соответствии с письменным соглашением сторон; абонент системы получает от органа ПФР документы в соответствии с Федеральным законом от 01.04.96 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования", а также любой документ, в соответствии с письменным соглашением сторон. В соответствии с требованиями законодательства Российской Федерации орган ПФР имеет право в одностороннем порядке изменять формы и перечень передаваемых документов. 3.2. В процессе осуществления информационного обмена сторона, получившая электронный документ, обязана:
3.3. Расшифрованный электронный документ, оформленный надлежащим образом, с успешно проверенными электронными цифровыми подписями, необходимыми для данного типа электронного документа, должен быть принят. Свидетельством того, что электронный документ принят, является получение одной из сторон оформленной надлежащим образом электронной квитанции о принятии электронного документа в обработку, либо того же самого электронного документа, подписанного электронной цифровой подписью принявшей стороны. 3.4 Структура имени файла отчета. RRNNNNNN.BBB RR - код
района в шестнадцатиричной системе
исчисления; 4. ПРАВА И ОБЯЗАННОСТИ СТОРОН 4.1. Орган ПФР принимает на себя следующие права и обязанности:
4.2. Абонент системы принимает на себя следующие права и обязанности:
Срок поддержания архивов определяется законодательством Российской Федерации, а в случае возникновения споров - до их разрешения. Стороны несут ответственность за целостность и достоверность своих электронных архивов. 4.3. Стороны обязуются при осуществлении передачи электронных документов по СЭД ПФР руководствоваться правилами и техническими требованиями, установленными действующим законодательством Российской Федерации и другими нормативными актами. 4.4. Сторона, для которой создалась невозможность исполнения обязательств по настоящему Соглашению, должна о наступлении и прекращении обстоятельств, препятствующих исполнению обязательств, немедленно извещать другую сторону, обмен электронными документами на время действия этих обстоятельств приостанавливается. 4.5. При возникновении споров, связанных с принятием или непринятием и (или) с исполнением или неисполнением электронного документа, стороны обязаны соблюдать порядок согласования разногласий, предусмотренный настоящим Соглашением. 5. ОТВЕТСТВЕННОСТЬ СТОРОН 5.1. Стороны несут ответственность за использование информации в соответствии с законодательством Российской Федерации. 5.2. Орган ПФР не несет ответственности за ущерб, возникший вследствие принятия электронных документов к исполнению со скомпрометированной электронной цифровой подписью абонента системы, в случае получения информации о компрометации электронной цифровой подписи после принятия электронного документа к исполнению. 5.3. Орган ПФР не несет ответственности за ущерб, возникший в результате:
5.4. Абонент системы несет ответственность за сохранность программного обеспечения системы, архивов открытых ключей электронной цифровой подписи и электронных документов, размещенных на своих компьютерах. 5.5. Если одна из сторон предъявляет другой стороне претензии по электронному документу при наличии подтверждения другой стороны о получении такого документа, а другая сторона не может представить архивную копию спорного электронного документа вследствие нарушения требований к хранению архива, которые оговорены в пункте 4.2. настоящего Соглашения, виновной признается сторона, не представившая архивную копию спорного документа. 6.
ПОРЯДОК СМЕНЫ КЛЮЧЕЙ ШИФРОВАНИЯ И
ЭЛЕКТРОННОЙ 6.1. Порядок выдачи, смены, уничтожения ключей, в том числе в случаях их компрометации, определяется органом ПФР. 6.2. Порядок обмена открытыми ключами сторон определяется органом ПФР. 7. ПОРЯДОК СОГЛАСОВАНИЯ РАЗНОГЛАСИЙ 7.1. Стороны на основе взаимного согласия принимают следующий порядок разрешения возможных споров по обязательствам, вытекающим из содержания электронного документа, и споров о наличии электронного документа:
7.2. Стороны обязуются принимать все возможные усилия для разрешения споров путем переговоров. Если в результате переговоров стороны не придут к согласию, спор выносится на рассмотрение суда. 8. СРОК ДЕЙСТВИЯ СОГЛАШЕНИЯ Настоящее Соглашение вступает в силу с момента его подписания. Изменения и дополнения в настоящее Соглашение могут вноситься только в письменном виде по взаимному согласию сторон. В случае нарушения одной из сторон обязательств, предусмотренных данным Соглашением, другая сторона вправе в одностороннем порядке расторгнуть настоящее Соглашение, уведомив об этом в письменном виде другую сторону. Настоящее Соглашение составляется в двух экземплярах, по одному для каждой стороны. 9. ЮРИДИЧЕСКИЕ АДРЕСА И РЕКВИЗИТЫ СТОРОН ОРГАН ПФР: Ответственный со стороны Пенсионного фонда Российской Федерации _______________ _____________________________________________________________________________ АБОНЕНТ СИСТЕМЫ: Ответственный со стороны абонента системы _____________________________________ _____________________________________________________________________________
Приложение 2
А
К Т ___________________________________
с _______________________________________ «_______» ________________ 200_ г. Комиссия
в составе председателя ___________
______________________ и членов ____ настоящий акт
о том, что помещение абонента
___________________________, размещение Комиссия отмечает, что инсталляция ПО вышеупомянутых изделий проведены в соответствии с ________________________ Вывод:
комиссия считает, что объект ____________ отвечает
требованиям _____________ Председатель: ____________________ ___________________ Члены
комиссии:
____________________ ___________________
____________________ ___________________
____________________ ___________________ Приложение 3 Требования Настоящие требования предъявляются к юридическим и физическим лицам, не имеющим собственных лицензий ФАПСИ и на которые распространяется действие лицензий ФАПСИ, выданных Пенсионному фонду Российской Федерации и (или) Сертификационному центру на право установки (инсталляции) и эксплуатации сертифицированных ФАПСИ шифровальных средств (средств криптографической защиты информации). Настоящие требования распространяются на средства криптографической защиты информации, предназначенные для защиты информации, не содержащей сведений, составляющих государственную тайну, при обеспечении безопасности информации по уровню «С». I. Требования по организационному обеспечению безопасности средств криптографической защиты информации 1. Монтаж, наладка и установка (инсталляция), ремонт и сервисное обслуживание сертифицированных ФАПСИ шифровальных средств могут осуществляться организациями, имеющими соответствующие лицензии ФАПСИ. 2. В организации руководством должны быть выделены должностные лица, ответственные за разработку и практическое осуществление мероприятий по обеспечению функционирования и безопасности средств криптографической защиты информации. 3. Вопросы обеспечения функционирования и безопасности средств криптографической защиты информации должны быть отражены в специально разработанных документах, утвержденных руководством организации, с учетом эксплуатационной документации на средства криптографической защиты информации. 4. В организации должны быть созданы условия, обеспечивающие сохранность конфиденциальной информации, доверенной организации юридическими и физическими лицами в соответствии с действующим законодательством. II. Требования по размещению, специальному оборудованию, охране и режиму в помещениях, в которых размещены средства криптографической защиты информации 1. Размещение, специальное оборудование, охрана и режим в помещениях, в которых размещены средства криптографической защиты информации (далее - помещения) должны обеспечивать безопасность информации, средств криптографической защиты информации, ключей шифрования и электронной цифровой подписи, сведение к минимуму возможности неконтролируемого доступа к средствам криптографической защиты информации, просмотра процедур работы посторонними лицами. 2. Порядок допуска в помещения определяется внутренней инструкцией, которая разрабатывается с учетом специфики и условий функционирования конкретной структуры организации. 3. При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п. окна помещений оборудуются металлическими решетками, ставнями, охранной сигнализацией или другими средствами, препятствующими несанкционированному доступу в помещения. Эти помещения должны иметь прочные входные двери, на которые устанавливаются надежные замки. 4. Для хранения ключей шифрования и электронной цифровой подписи, нормативной и эксплуатационной документации, инсталляционных дискет помещения обеспечиваются металлическими шкафами (хранилищами, сейфами), оборудованными внутренними замками с двумя экземплярами ключей. Дубликаты ключей от хранилищ и входных дверей должны храниться в сейфе ответственного лица, назначаемого руководством организации. 5. Устанавливаемый руководителем организации порядок охраны помещений должен предусматривать периодический контроль технического состояния средств охранной и пожарной сигнализации и соблюдения режима охраны. 6. Размещение и установка средств криптографической защиты информации осуществляется в соответствии с требованиями эксплуатационной документации на средства криптографической защиты информации. 7. Системные блоки ЭВМ с установленными средствами криптографической защиты информации должны быть оборудованы средствами контроля их вскрытия. III. Требования по обеспечению безопасности ключей шифрования и электронной цифровой подписи 1. Все поступающие для использования ключи шифрования и электронной цифровой подписи и инсталляционные дискеты должны браться в организации на поэкземплярный учет в выделенных для этих целей журналах. 2. Учет и хранение магнитных носителей ключевой информации и инсталляционных дискет, непосредственная работа с ними поручается руководством организации специально выделенным работникам организации. Эти работники несут персональную ответственность за сохранность ключей шифрования и электронной цифровой подписи и функционирование средств криптографической защиты информации. 3. Учет изготовленных для организации ключей шифрования и электронной цифровой подписи, регистрация их выдачи для работы, возврата от ответственных лиц и уничтожения ведется в организации. 4. Хранение ключей шифрования и электронной цифровой подписи, инсталляционных дискет допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, не предусмотренное правилами пользования средствами криптографической защиты информации применение. Наряду с этим должна быть предусмотрена возможность раздельного, безопасного хранения действующих и резервных ключей шифрования и электронной цифровой подписи (резервные ключи - предназначены для использования их в случае компрометации действующих ключей в соответствии с правилами пользования средствами криптографической защиты информации). 5. При пересылке ключей шифрования и электронной цифровой подписи организации должны быть обеспечены условия транспортировки, исключающие возможность физических повреждений и внешнего воздействия на записанную ключевую информацию. 6. В случае отсутствия у ответственного за средства криптографической защиты информации лица индивидуального хранилища ключи шифрования и электронной цифровой подписи по окончании рабочего дня должны сдаваться лицу, ответственному за их хранение. 7. Уполномоченными лицами периодически должен проводиться контроль сохранности входящего в состав средств криптографической защиты информации оборудования, а также всего используемого программного обеспечения для предотвращения внесения программно-аппаратных закладок и программ вирусов. IV. Требования к сотрудникам, осуществляющим эксплуатацию и установку (инсталляцию) средств криптографической защиты информации К работе со средствами криптографической защиты информации допускаются решением руководства организации только сотрудники, знающие правила его эксплуатации, владеющие практическими навыками работы на ПЭВМ, изучившие правила пользования, эксплуатационную документацию и прошедшие обучение работе со средствами криптографической защите информации. Руководитель организации или лицо, уполномоченное на руководство заявленными видами деятельности, должно иметь представление о возможных угрозах информации при ее обработке, передаче, хранении, методах и средствах защиты информации. Приложение 4 АКТ
Настоящий акт составлен уполномоченными должностными лицами __________________ _____________________________________________________________________________ ______________________________________________________________________________ Таблица 1
_______________ ___________ _______________ ___________ «___» _______________ 2000_г. МП В настоящем конверте хранится (хранятся) на дискетах открытый ключ (ключи) для проверки электронной цифровой подписи и открытый ключ (ключи) шифрования, справочники открытых ключей шифрования и ЭЦП, а также регистрационные карточки открытых ключей шифрования и ЭЦП в соответствии с приложениями 1 и 2 к настоящему Акту. _____________________________________________________________________________ Таблица 2
Всего в конверте запечатано _______ дискет (цифрами и прописью)__________ и _______________ листов. _______________ ___________ _______________ ___________ «___» _______________ 2000_г. МП Приложение 1 Форма регистрационной карточки открытого ключа шифрования
Приложение 2 Форма регистрационной карточки открытого ключа ЭЦП
Приложение 5 АКТ
Настоящий акт составлен юридическим (физическим) лицом, далее именуемым абонентом системы, _____________________________________________________________________________ о том, что у абонента системы установлено следующее оборудование и программное обеспечение СКЗИ и проведены работы по пуску оборудования и программного обеспечения в эксплуатацию (Таблица 1). Административно-технические данные по СКЗИ приведены в Таблице 1. Таблица 1
Таблица 2
Абонент системы обучен работе с СКЗИ, ознакомлен и получил все документы, указанные в настоящем акте и обязуется целиком и полностью без всяких оговорок их выполнять. СКЗИ установлено в помещении, отвечающем Требованиям по размещению, специальному оборудованию, охране и режиму в помещениях, в которых размещены СКЗИ. Программно-аппаратный комплекс с СКЗИ опечатан печатью (___________) и принят в эксплуатацию. Настоящий акт составлен на (___________) листах.
|
Московский Либертариум, 1994-2020 |