Регламент использования средств криптографической защиты информации в автоматизированной информационной системе обмена информацией по телекоммуникационным каналам



Скачать 451.27 Kb.
страница1/4
Дата08.11.2012
Размер451.27 Kb.
ТипРегламент
  1   2   3   4






РЕГЛАМЕНТ

использования средств криптографической защиты информации в автоматизированной информационной системе обмена информацией по телекоммуникационным каналам связи в виде юридически значимых электронных документов с использованием электронной цифровой подписи

Санкт-Петербург 2007

СОДЕРЖАНИЕ



1

РЕГЛАМЕНТ 1

использования средств криптографической защиты информации в автоматизированной информационной системе обмена информацией по телекоммуникационным каналам связи в виде юридически значимых электронных документов с использованием электронной цифровой подписи 1

___________________________________________________________________________________________________ 1

РЕГЛАМЕНТ ИСПОЛЬЗОВАНИЯ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ 1

Санкт-Петербург 2007 2

___________________________________________________________________________________________________ 22 2

РЕГЛАМЕНТ ИСПОЛЬЗОВАНИЯ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ 2

СОДЕРЖАНИЕ 3

1. ВВЕДЕНИЕ 11

1.1. Настоящий Регламент разработан на основании действующего законодательства Российской Федерации, а также организационно-методических документов ЗАО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР» и определяет: 11

Порядок организации криптографической защиты информации при обмене электронными документами в автоматизированной информационной системе обмена информацией по телекоммуникационным каналам связи в виде юридически значимых электронных документов с использованием электронной цифровой подписи (далее – Система); 11

Порядок регистрации и подключения пользователей к Системе; 11

Порядок действий при возникновении внештатных ситуаций, связанных с применением средств криптографической защиты информации (далее СКЗИ). 11

1.2. Организатором Системы является – ЗАО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР», имеющее в соответствии с законодательством Российской Федерации лицензии, дающие право осуществлять деятельность по разработке, обслуживанию и распространению средств, предназначенных для криптографической защиты конфиденциальной информации, в том числе и при обмене информацией по открытым каналам связи, а также выполнять функции Удостоверяющего центра. 11

1.3.
Для защиты информации при передаче ее по открытым каналам связи используются средства шифрования, а также средства электронной цифровой подписи (далее – ЭЦП), позволяющие идентифицировать владельца сертификата ключа подписи и установить отсутствие искажения информации. 11

1.4. Реализация средств ЭЦП и средств шифрования осуществляется посредством применения сертифицированных, в порядке, установленном законодательством Российской Федерации, средств криптографической защиты информации (СКЗИ). 11

2. ТЕРМИНЫ И СОКРАЩЕНИЯ, ИСПОЛЬЗУЕМЫЕ В РЕГЛАМЕНТЕ 11

Аутентификация информации - подтверждение подлинности и целостности информации, содержащейся в документе. Аутентификация может осуществляться как на основе структуры и содержания документа или его реквизитов, так и путем реализации криптографических алгоритмов преобразования информации. Доказательная аутентификация информации осуществляется анализом (экспертизой) подписей должностных лиц и печатей на бумажных документах или проверкой правильности ЭЦП. 11

Владелец сертификата ключа подписи - физическое лицо, на имя которого Организатором системы выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы). 11

Договор – договор, заключенный между пользователем Системы и Организатором Системы. Договор определяет состав, порядок исполнения и стоимость услуг, оказываемых пользователю Системы Организатором Системы. 11

Заявка пользователя Системы – Заявка пользователя Системы на изготовление сертификатов ключей подписей и поставку СКЗИ, необходимых для работы в Системе. 11

Закрытый (секретный) ключ электронной цифровой подписи – уникальная последовательность символов, известная владельцу сертификата ключа подписи. Закрытые ключи хранятся пользователями Системы в тайне. Закрытые ключи используются для формирования ЭЦП пользователя Системы и шифрования информации. 11

Ключевой носитель – отчуждаемый носитель (дискета, eToken, и т.п.), содержащий один или несколько криптографических ключей. 12

Компрометация ключа - утрата доверия к тому, что используемые закрытые ключи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся (включая, но, не ограничиваясь) следующие события: 12

утеря ключевых носителей; 12

утеря ключевых носителей с последующим обнаружением; 12

увольнение сотрудников, имевших доступ к ключевым носителям; 12

возникновение подозрений на утечку информации или ее искажение в Системе; 12

нарушение целостности печатей на сейфах с ключевыми носителями, если используется процедура опечатывания; 12

утеря ключей от сейфов (помещений) в момент нахождения в них ключевых носителей; 12

утеря ключей от сейфов (помещений) в момент нахождения в них ключевых носителей с последующим обнаружением; 12

доступ посторонних лиц к ключевой информации; 12

случаи, когда нельзя достоверно установить причину выхода из строя ключевых носителей (в том числе, когда не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника). 12

Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с действующим законодательством Российской Федерации, а также настоящим Регламентом и требующая защиты. 12

Конфликтная ситуация - ситуация, при которой у пользователей Системы возникает необходимость разрешить вопросы признания или непризнания авторства и/или подлинности электронных документов, обработанных средствами криптографической защиты информации. 12

Ключ (криптографический ключ) – конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразования. 12

Некорректный электронный документ - электронный документ, не прошедший процедуры проверки ЭЦП, имеющий искажения в тексте сообщения не позволяющие понять его смысл. 12

Несанкционированный доступ к информации (НСД) - доступ к информации, нарушающий установленные правила ее получения. 12

Организатор Системы – ЗАО «УДОСТОВЕРЯЮЩИЙ ЦЕНТР», предоставляющее услуги по созданию и поддержке защищенного юридически значимого электронного документооборота между пользователями Системы и имеющее, в соответствии с законодательством Российской Федерации лицензии, дающие право осуществлять деятельность по разработке, обслуживанию и распространению средств, предназначенных для криптографической защиты конфиденциальной информации, а также выполнять функции Удостоверяющего центра. 12

Открытый ключ электронной цифровой подписи - уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому пользователю Системы и предназначенная для подтверждения с использованием средств ЭЦП подлинности ЭЦП в электронном документе. Открытый ключ пользователя Системы является действующим на момент подписания, если он зарегистрирован (сертифицирован) и введен в действие, а также используется в соответствии со сведениями, указанными в сертификате ключа подписи. 12

Открытый ключ шифрования – криптографический ключ, предназначенный для шифрования разового (сеансового) ключа шифрования с целью его передачи адресату по открытым каналам связи. Открытые ключи шифрования доступны всем пользователям Системы. 12

Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством ЭЦП, с использованием сертификата ключа подписи, принадлежности ЭЦП в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной ЭЦП электронном документе. 13

Пользователь Системы – юридическое или физическое лицо, участник информационного обмена электронными документами, заключивший с организатором Системы договор, зарегистрированный в Системе и признающий данный Регламент. 13

Сертификат ключа подписи (сертификат открытого ключа) - документ на бумажном носителе или электронный документ с ЭЦП уполномоченного лица организатора Системы, которые включают в себя открытый ключ (ЭЦП и/или шифрования) и которые выдаются организатором Системы пользователю Системы для подтверждения подлинности открытого ключа и идентификации владельца сертификата ключа подписи. 13

СОС (Список отозванных сертификатов, Certificate Revocation List, CRL) – электронный документ с ЭЦП уполномоченного лица организатора Системы, включающий в себя список серийных номеров сертификатов открытых ключей подписи, которые на момент времени формирования списка отозванных сертификатов были отозваны или действие которых было приостановлено. 13

Средства криптографической защиты информации (СКЗИ) – средства вычислительной техники, осуществляющие криптографическое преобразование информации для обеспечения ее безопасности. 13

Средства электронной цифровой подписи – аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций – создание ЭЦП с использованием закрытого ключа ЭЦП, подтверждение подлинности ЭЦП с использованием открытого ключа ЭЦП, создание закрытых и открытых ключей ЭЦП. 13

Управление ключами - создание (генерация) ключей, их хранение, распространение, удаление (уничтожение), учет и применение, а также выдача и отзыв сертификатов ключей подписей в соответствии с политикой безопасности организатора Системы. 13

Целостность информации – способность автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения). 13

Электронный документ – документ, в котором информация представлена в электронно-цифровой форме. 13

Электронная цифровая подпись (ЭЦП) – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. 13

3. ОБЩИЕ ПОЛОЖЕНИЯ 13

3.1. Регламент начинает действовать в отношении пользователя Системы с момента заключения им договора c организатором Системы. При обмене электронными документами пользователи Системы должны руководствоваться положениями настоящего Регламента. 13

3.2. Обмен электронными документами по открытым каналам связи в Системе ведется только между зарегистрированными пользователями Системы, если иное не предусмотрено договором между пользователем и организатором Системы. 14

3.3. Используемые во взаимоотношениях между пользователями Системы электронные документы, заверенные ЭЦП, являются оригиналами, имеют юридическую силу, подлежат хранению в архиве юридически значимых документов и могут использоваться в качестве доказательств в суде, а также при рассмотрении споров в досудебном порядке. 14

Примечание: Если пользователь Системы с целью контроля самостоятельно или по согласованию с адресантом копирует документ, представленный в электронном виде по каналам связи, на бумажный носитель, то на первом листе бумажной копии следует отметить, что оригинал был отправлен в электронном виде, и указать реквизиты электронного документа-оригинала, заверив подписью уполномоченного лица пользователя Системы и печатью. 14

3.4. Пользователи Системы признают, что использование сертифицированных СКЗИ, достаточно для обеспечения конфиденциальности информационного взаимодействия пользователей Системы, а также подтверждения того, что электронный документ: 14

исходит от пользователя Системы, ЭЦП которого содержится в документе (подтверждение авторства документа); 14

не претерпел искажений при информационном взаимодействии (подтверждение целостности и подлинности документа). 14

3.5. Организатор Системы осуществляет работы по управлению ключами в соответствии с положениями настоящего Регламента, на основании Заявки пользователя и договора, заключенного с пользователем Системы. 14

3.6. В случае нарушения правил использования СКЗИ и/или возникновения конфликтных ситуаций, связанных с подтверждением авторства и/или подлинности электронных документов, заверенных ЭЦП, или иных конфликтных ситуаций, связанных с использованием ЭЦП, участники информационного обмена руководствуются Порядком разрешения конфликтных ситуаций, изложенным в разделе 14 настоящего Регламента. 14

4. ОБЩИЕ ВОПРОСЫ ОРГАНИЗАЦИИ СИСТЕМЫ 14

4.1. Пользователь Системы предоставляет организатору Системы право изготовить закрытые и открытые ключи ЭЦП и шифрования на автоматизированном рабочем месте уполномоченного лица организатора Системы 14

4.2. Организатор Системы предоставляет пользователю Системы возможность самостоятельного изготовления закрытых ключей ЭЦП и шифрования при условии использования им сертифицированных СКЗИ однотипных или совместимых с СКЗИ, используемыми организатором Системы. 14

4.3. Организатор Системы использует программные и технические средства генерации ключевой информации в неизменном виде по отношению к сертифицированному эталону. Организатор Системы гарантирует отсутствие привнесенных нерегламентированных процедур скрытого копирования индивидуальной секретной ключевой информации в используемых программных и технических средствах. 14

4.4. Организатор Системы изготавливает сертификаты ключей подписей пользователя Системы в электронном виде и вместе с ключевым носителем передает их ему. При изготовлении сертификата ключа подписи, организатор Системы оформляет два экземпляра сертификата ключа подписи в форме документов на бумажных носителях, которые заверяются собственноручными подписями владельца сертификата ключа подписи и уполномоченного лица организатора Системы, а также печатью организатора Системы. Один экземпляр сертификата ключа подписи на бумажном носителе выдается владельцу сертификата ключа подписи, второй – остается у организатора Системы. 14

4.5. Пользователь Системы получает доступ к реестру сертификатов ключей подписей пользователей Системы и списку отозванных сертификатов (реестр сертификатов и СОС публикуется на сайте организатора Системы в Интернете по адресу http://www.nwudc.ru). 15

Примечание: Организатор системы принимает все возможные меры, чтобы в кратчайшие сроки внести в СОС сертификаты ключей подписей недействительных (скомпрометированных) ключей. 15

4.6. Срок действия криптографических ключей пользователя Системы, составляет 1 (Один) год. Начало периода действия ключей пользователя Системы исчисляется с даты и времени начала действия соответствующих им сертификатов ключей подписей. 15

5. ФУНКЦИИ И ЗАДАЧИ ОРГАНИЗАТОРА СИСТЕМЫ 16

5.1. Организатор Системы предоставляет услуги Удостоверяющего центра (УЦ) всем пользователям Системы, а именно: 16

создает криптографические ключи по обращению пользователя Системы с гарантией сохранения в тайне закрытых ключей. Закрытый ключ передается владельцу сертификата ключа подписи на ключевом носителе; 16

изготавливает сертификаты ключей подписей; 16

выдает сертификаты ключей подписей в форме документа на бумажном носителе и в электронном виде; 16

обеспечивает уникальность открытых ключей в реестре сертификатов ключей подписей и архиве УЦ; 16

вносит сертификаты ключей подписей в реестр сертификатов ключей подписей не позднее даты начала их действия; 16

предоставляет пользователю Системы доступ к реестру сертификатов ключей подписей и СОС; 16

обеспечивает выпуск и обновление СОС с включением в него всех скомпрометированных сертификатов ключей подписей, с указанием даты и времени аннулирования сертификата ключа подписи. 16

5.2. Организатор Системы уведомляет пользователей Системы о фактах, которые стали ему известны и которые существенным образом могут сказаться на возможности дальнейшего использования СКЗИ и сертификата ключа подписи. 16

5.3. Организатор Системы обязан аннулировать сертификат ключа подписи: 16

по заявлению владельца сертификата ключа подписи в письменной форме; 16

если Организатору Системы стало достоверно известно о прекращении действия документа, на основании которого оформлен сертификат ключа подписи; 16

в иных случаях, установленных нормативными правовыми актами или соглашением сторон. 16

5.4. Организатор Системы обеспечивает хранение сертификата ключа подписи пользователя Системы в форме электронного документа после его аннулирования не менее трех лет. По истечении указанного срока хранения, сертификат ключа подписи исключается из реестра сертификатов ключей подписей и переводится в режим архивного хранения. Сертификат ключа подписи в форме документа на бумажном носителе хранится в порядке, установленном законодательством Российской Федерации об архивах и архивном деле. 16

5.5. Организатор Системы хранит в архиве все полученные сообщения участников информационного обмена, заверенные ЭЦП. 16

5.6. Организатор Системы участвует в работе Экспертной комиссии при рассмотрении спорных вопросов (конфликтных ситуаций). 16

5.7. Организатор Системы контролирует правила использования СКЗИ пользователями Системы. 16

6. ПРАВА И ОБЯЗАННОСТИ ПОЛЬЗОВАТЕЛЯ СИСТЕМЫ 16

6.1. Пользователь Системы обязан: 16

6.1.1. Предоставить достоверную информацию в объеме, определенном положениями настоящего Регламента и Договором; 16

6.1.2. Подготовить и содержать в рабочем состоянии ПЭВМ и программное обеспечение, предназначенные для работы в Системе в соответствии с эксплуатационной документацией на СКЗИ. Пользователю Системы рекомендуется не использовать средства разработки и отладки программ на ПЭВМ, на которой установлено СКЗИ; 16

6.1.3. Организовать режим функционирования рабочих мест таким образом, чтобы исключить возможность доступа к СКЗИ, несанкционированной модификации или использования СКЗИ лицами, не имеющими допуска к работе с СКЗИ, а также исключить возможность использования криптографических ключей не уполномоченными на то лицами; 17

6.1.4. Соблюдать установленную последовательность действий при обмене электронными документами и проверке их подлинности в соответствии с настоящим Регламентом, эксплуатационной документацией на СКЗИ и инструкциями по использованию СКЗИ. 17

6.1.5. Осуществлять архивирование электронных документов и хранить эти архивы в течение срока, установленного соответствующими законами и нормативными актами для хранения бумажных документов; 17

6.1.6. При разрешении конфликтных ситуаций, связанных с установлением подлинности и/или авторства спорного документа или иных конфликтных ситуаций, связанных с использованием ЭЦП, предоставлять экспертной комиссии, создаваемой и действующей в соответствии с разделом 13 настоящего Регламента, все документы и материалы, относящиеся к предмету конфликтной ситуации. 17

6.2. Пользователь Системы имеет право: 17

6.2.1. Не принимать к исполнению электронные документы, заверенные ЭЦП, если: 17

сертификат ключа подписи отправителя утратил силу (не действует, находится в СОС) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания; 17

Примечание: перед принятием решения по исполнению полученного электронного документа, в зависимости от его важности, Пользователь Системы самостоятельно определяет необходимость проверки нахождения сертификата ключа подписи отправителя в СОС. Актуальный список отозванных сертификатов ключей подписей, а также инструкция и программное обеспечение (утилита) для работы с ним опубликованы на сайте Организатора системы в Интернете по адресу http://www.nwudc.ru. 17

не подтверждена подлинность ЭЦП в электронном документе; 17

ЭЦП используется не в соответствии со сведениями, указанными в сертификате ключа подписи. 17

запрашивать подтверждение по полученным им электронным документам в случае возникновения сомнений; 17

6.2.2. Требовать от организатора Системы аннулирования своего сертификата ключа подписи в случае наступления событий, трактуемых как компрометация ключевой информации; 17

6.2.3. Требовать исполнения обязательств настоящего Регламента от других пользователей Системы по принятым ими электронным документам; 17

6.2.4. В случае возникновения конфликтной ситуации, связанной с установлением подлинности и/или авторства спорного документа, требовать разрешения указанных вопросов экспертной комиссией в соответствии с разделом 13 настоящего Регламента. 17

7. ПОРЯДОК ПОДКЛЮЧЕНИЯ (РЕГИСТРАЦИИ) ПОЛЬЗОВАТЕЛЕЙ 17

7.1. Пользователь Системы заключает договор с организатором Системы и производит оплату работ и услуг. 17

7.2. Пользователь Системы, представляет организатору Системы заявку пользователя Системы, содержащую: 17

данные на сотрудников, которым необходимо создать криптографические ключи и/или изготовить сертификаты ключей подписей; 18

данные на сотрудника, ответственного за СКЗИ; 18

7.3. Уполномоченное лицо организатора Системы согласует с пользователем Системы график выполнения работ. 18

7.4. В соответствии с согласованным графиком работ, владельцы сертификатов ключей подписей, указанные в заявке пользователя Системы, лично или их доверенные лица, прибывают в офис организатора Системы, где: 18

получают СКЗИ и изготовленные в их присутствии ключи и/или сертификаты ключей подписей; 18

подписывают акт о получении СКЗИ, криптографических ключей, сертификатов ключей подписей; 18

расписываются в сертификатах ключей подписей на бумажном носителе; 18

получают в электронном виде актуальный список отозванных сертификатов (СОС) и сертификат ключа подписи организатора Системы; 18

получают пароль для связи на случай компрометации ключей; 18

получают инструктаж по правилам работы с СКЗИ, криптографическими ключами и сертификатами ключей подписей. 18

8. ЗАМЕНА КРИПТОГРАФИЧЕСКИХ КЛЮЧЕЙ 18

8.1. Замена криптографических ключей пользователя Системы производится по инициативе пользователя, но не реже одного раза в год (отдельным решением могут быть установлены другие сроки) в следующем порядке: 18

пользователь Системы направляет организатору Системы заявление на замену ключей (рекомендуется за месяц до истечения срока действия сертификата старого ключа); 18

организатор Системы согласовывает с пользователем Системы время проведения работ; 18

пользователь Системы оплачивает работы по изготовлению и выдаче новых сертификатов ключей подписей; 18

работы по изготовлению новых ключей и выдаче сертификатов производит организатор Системы в соответствии с 7 разделом настоящего Регламента; 18

пользователь Системы проверяет работоспособность полученных новых ключей и сертификатов; 18

пользователь Системы принимает решение о сроках и порядке архивного хранения или об уничтожении старых ключей, так как все риски, связанные с несанкционированным использованием старых ключей, ложатся на пользователя Системы. 18

8.2. Факт уничтожения или сохранения старого ключа оформляется документом, который заверяется подписями владельца старого ключа, руководителя организации и печатью организации. Второй экземпляр данного документа передается организатору Системы. 18

8.3. Перед уничтожением старых ключей необходимо расшифровать все электронные документы, зашифрованные с их использованием, иначе в дальнейшем прочитать эти документы будет невозможно! 18

8.4. Пользователь Системы обеспечивает хранение расшифрованных документов в электронном виде в соответствии с требованиями, установленными законодательством и настоящим Регламентом. 18

8.5. Организатор Системы аннулирует сертификаты старых ключей. 18

9. ДЕЙСТВИЯ СТОРОН ПРИ КОМПРОМЕТАЦИИ КЛЮЧЕЙ 19

9.1. Организатор Системы при выдаче сертификата ключа подписи передает пользователю Системы пароль для экстренной связи в случае компрометации закрытых ключей. Пользователь Системы обеспечивает сохранение конфиденциальности пароля. 19

9.2. Пользователь Системы, в случае компрометации собственных криптографических ключей, обязан: 19

9.2.1. Немедленно информировать организатора Системы по телефонным каналам связи с использованием устного пароля о наступлении события, трактуемого как компрометация ключей; 19

9.2.2. Прекратить обмен электронными документами с использованием скомпрометированных ключей; 19

9.2.3. В течение одного рабочего дня с момента определения компрометации ключей документально оформить уведомление (заявление на аннулирование сертификата ключа подписи) и направить его организатору Системы. 19

9.3. Организатор Системы, получивший сообщение о компрометации ключей пользователя Системы, должен убедиться в достоверности сообщения о компрометации (запросить пароль или факсимильное сообщение, заверенное подписью и печатью пользователя Системы) и после этого обязан немедленно приостановить действие ключей. Аннулирование сертификата скомпрометированного ключа выполняется после получения письменного заявления пользователя Системы. 19

9.4. Пользователь Системы, допустивший компрометацию собственных криптографических ключей, несет все издержки, связанные с генерацией новых ключей, их сертификацией и вводом в действие. 19

10. КОНФИДЕНЦИАЛЬНОСТЬ ИНФОРМАЦИИ 19

10.1. Организатор Системы и пользователи Системы в процессе работы обязаны обеспечить сохранность полученной друг от друга конфиденциальной информации, в соответствии с действующим законодательством Российской Федерации. 19

10.2. Организатор Системы обязан не разглашать (не публиковать) информацию, полученную от Пользователей Системы, за исключением информации, содержащейся в сертификатах ключей подписей Пользователей Системы. 19

10.3. Порядок предоставления конфиденциальной информации налоговым, правоохранительным и судебным органам осуществляется в соответствии с действующим законодательством Российской Федерации. 19

11. ОТВЕТСТВЕННОСТЬ УЧАСТНИКОВ СИСТЕМЫ 19

11.1. Пользователь Системы несет ответственность за достоверность сведений, указанных им в заявке пользователя Системы, а также обязан сообщать обо всех изменениях этих сведений. 19

11.2. Пользователь Системы несет ответственность за сохранность и правильность эксплуатации СКЗИ и своих закрытых ключей. 19

11.3. В случае несвоевременного сообщения о факте компрометации ключей, пользователь Системы, допустивший компрометацию ключей, несет ответственность в полном объеме за ущерб, причиненный им другим пользователям Системы. 19

11.4. Организатор Системы не несет ответственности за последствия и убытки в случае нарушения пользователями Системы положений настоящего Регламента. 19

11.5. Организатор Системы не несёт ответственности перед владельцами сертификатов ключей подписей (ключей шифрования) и лицами, использующими сертификаты ключей подписей (ключей шифрования) для проверки подписи и шифрования сообщений, а также перед третьими лицами, за любые убытки, потери, иной ущерб, связанный с использованием сертификатов ключей подписей (ключа шифрования), независимо от суммы заключенных с использованием сертификатов ключей подписей (ключа шифрования) сделок и совершения ими иных действий, за исключением случаев нарушения организатором Системы обязательств, предусмотренных Регламентом и/или действующим законодательством Российской Федерации. 19

11.6. Претензии к организатору Системы ограничиваются указанием на несоответствие его действий настоящему Регламенту. 20

11.7. 3а неисполнение или ненадлежащее исполнение обязательств по настоящему Регламенту пользователи Системы несут ответственность в соответствии с договором и действующим законодательством Российской Федерации. 20

12. ВЗАИМОДЕЙСТВИЕ СТОРОН ПРИ НЕШТАТНЫХ СИТУАЦИЯХ 20

12.1. При возникновении нештатных ситуаций, таких как: выход из строя ключевого носителя, сбои и отказы в работе СКЗИ, сбои и отказы в работе средств электронной цифровой подписи и др., пользователь Системы обязан: 20

руководствоваться положениями и инструкциями эксплуатационной документации; 20

сообщить о возникшей ситуации организатору Системы; 20

выполнить указания организатора Системы, касающиеся выхода из данной внештатной ситуации. 20

13. ПОРЯДОК РАЗРЕШЕНИЯ КОНФЛИКТНЫХ СИТУАЦИЙ 20

13.1. Разрешая конфликтные ситуации при нарушении процедур криптографической защиты информации и/или установлении авторства и/или подлинности электронных документов, заверенных ЭЦП, пользователи Системы исходят из того, что: 20

в соответствии с действующим законодательством Российской Федерации, документ в электронном виде, заверенный ЭЦП, является документом, имеющим юридическую силу, аналогичным бумажному, снабженному подписью и печатью; 20

электронный документ порождает обязательства пользователя Системы перед другим пользователем Системы, если документ оформлен надлежащим образом, заверен ЭЦП и доставлен другому пользователю Системы. При этом ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи, а сертификат отправителя действует; 20

подтверждением того, что электронный документ пользователя Системы принят пользователем-получателем, является получение пользователем Системы или надлежащим образом оформленной электронной квитанции о принятии его документа, или получение того же самого документа, подписанного ЭЦП пользователя-получателя. 20

Пользователь Системы признает, что используемая в соответствии с настоящим Регламентом система защиты информации, которая обеспечивается ЭЦП и шифрованием, достаточна для защиты информации от несанкционированного доступа, подтверждения целостности, подлинности и авторства электронных документов, а также разрешения конфликтных ситуаций по ним; 20

математические свойства алгоритма ЭЦП, реализованного в соответствии со стандартами Российской Федерации ГОСТ Р34.10-94 (или ГОСТ Р34.10-2001) и ГОСТ Р34.11-94, свидетельствуют о невозможности подделки значения ЭЦП любым лицом, не обладающим закрытым криптографическим ключом ЭЦП. Пользователь Системы признает, что разбор конфликтной ситуации в отношении авторства, целостности и подлинности электронного документа заключается в доказательстве подписания конкретного электронного документа на конкретном ключе ЭЦП. 20

13.2. В соответствии с настоящим порядком подлежат разрешению конфликтные ситуации двух типов: 21

некорректность входящего электронного документа или ЭЦП (конфликтная ситуация типа А); 21

для корректного электронного документа непризнание отправителем электронного документа факта отправки документа, а также его целостности и подлинности (конфликтная ситуация типа Б). 21

13.2.1. Порядок разрешения конфликтных ситуаций типа А: 21

13.2.1.1. Принимающая Сторона по телефону (или иным образом) запрашивает у отправляющей Стороны информацию о документе, подлинность которого вызывает сомнения. При получении подтверждения об отправке указанного документа, запрашивает повторное оформление и отправку данного документа; 21

13.2.1.2. Результатом повторной обработки принимающей Стороной (проверка ЭЦП) полученного документа может быть: 21

А.1. Проверка ЭЦП, в повторно переданном документе, дала отрицательный результат. 21

В этом случае делается вывод о возможном нарушении действующего криптографического ключа, либо о неисправности программно-аппаратных средств одной из Сторон. 21

При этом необходимо: 21

проверить сертификаты открытых ключей 21

штатными средствами в соответствии с эксплуатационной документацией проверить целостность и неизменность программного обеспечения СКЗИ. Переустановить его в случае необходимости. 21

Если положительный результат не достигнут, то необходимо обратиться к Организатору Системы. 21

А.2. Повторная проверка дала положительный результат – электронный документ корректен, ЭЦП верна. 21

13.2.2. Порядок разрешения конфликтных ситуаций типа Б: 21

13.2.2.1. Если один из пользователей Системы приходит к выводу, что другой пользователь Системы ссылается на документ, исходящий от него, который им не отправлялся и/или его содержание изменено, этот пользователь Системы немедленно извещает организатора Системы о наличии такой конфликтной ситуации; 21

13.2.2.2. Организатор Системы формирует Экспертную (согласительную) комиссию для разрешения конфликтной ситуации, в состав которой входят представители организатора Системы и пользователи Системы, вовлеченные в конфликтную ситуацию. Дополнительно могут привлекаться авторитетные независимые специалисты в области криптографической защиты информации; 21

13.2.2.3. В ходе работы экспертной комиссии рассматриваются все документы и материалы, относящиеся к предмету разногласий, и выполняется процедура проверки ЭЦП документа. Экспертной комиссии должны быть представлены следующие данные: 21

электронный документ с ЭЦП, авторство которого оспаривается; 21

архивные копии этого электронного документа с ЭЦП, переданные пользователями Системы, вовлеченными в конфликтную ситуацию; 22

сертификаты ключей подписей, выданные организатором Системы; 22

дистрибутивы СКЗИ; 22

ключевые носители. 22

13.2.2.4. При необходимости экспертная комиссия имеет право провести экспертизу ПЭВМ пользователей Системы, вовлеченными в конфликтную ситуацию. 22

13.3. Экспертиза проводится на автоматизированном рабочем месте организатора Системы. 22

13.4. Экспертная комиссия подтверждает или опровергает авторство пользователя Системы для документа, вызвавшего данную конфликтную ситуацию. Решение экспертной комиссии оформляется в виде протокола. 22

14. ПРОЧИЕ УСЛОВИЯ 22

14.1. Изменения и дополнения в настоящий Регламент вносятся организатором Системы с обязательным уведомлением всех пользователей Системы. 22

14.2. Уведомления пользователей об изменениях и дополнениях Регламента производятся по адресам, указанным в реквизитах заключенных договоров на оказание услуг в рамках применения настоящего Регламента, с использованием доступных для этого средств связи: www.nwudc.ru, e-mail или почта. 22



  1   2   3   4

Похожие:

Регламент использования средств криптографической защиты информации в автоматизированной информационной системе обмена информацией по телекоммуникационным каналам  iconДоговор № поставки и сопровождения программного обеспечения
ПО) для организации арм системы электронного документооборота по телекоммуникационным каналам связи с применением средств криптографической...
Регламент использования средств криптографической защиты информации в автоматизированной информационной системе обмена информацией по телекоммуникационным каналам  iconПраВила обмена электронными документами по Системе дбо ас «Банк-Клиент» ( bss ) в кб «кредитимпэкс банк» (ооо) термины и определения
Банком для обмена Электронными документами с использованием средств криптографической защиты информации (скзи)
Регламент использования средств криптографической защиты информации в автоматизированной информационной системе обмена информацией по телекоммуникационным каналам  iconСистема сбора информации о внебиржевых сделках (ссвс)
Порядок использования средств криптографической защиты информации на клиентском рабочем месте
Регламент использования средств криптографической защиты информации в автоматизированной информационной системе обмена информацией по телекоммуникационным каналам  iconОбмена документами по телекоммуникационным каналам связи в системе электронного документооборота
Пфр (далее сэд пфр) по телекоммуникационным каналам связи (далее Технология) предназначена для организации защищенного юридически...
Регламент использования средств криптографической защиты информации в автоматизированной информационной системе обмена информацией по телекоммуникационным каналам  iconТиповые решения по организации обмена информацией в электронном виде по телекоммуникационным каналам между фнс россии и сторонними организациями
Данные, в которых содержится информация, подлежащая обмену, формируются в виде файла произвольного (с точки зрения системы обмена)...
Регламент использования средств криптографической защиты информации в автоматизированной информационной системе обмена информацией по телекоммуникационным каналам  iconСоглашение «О совместных действиях по организации информационного обмена по телекоммуникационным каналам связи» ипрошедшие тестирование
...
Регламент использования средств криптографической защиты информации в автоматизированной информационной системе обмена информацией по телекоммуникационным каналам  iconРазработка методов и схемных решений для обеспечения криптографической защиты данных в полиномиальной системе классов вычетов
Специальность: 05. 13. 19 Методы и системы защиты информации, информационная безопасность
Регламент использования средств криптографической защиты информации в автоматизированной информационной системе обмена информацией по телекоммуникационным каналам  iconПерспективы развития аппаратных средств защиты от несанкционированного доступа к информации
Таким образом, это привело к осознанию необхо­димости использования в системах защиты информации от нсд аппаратных средств со встроенными...
Регламент использования средств криптографической защиты информации в автоматизированной информационной системе обмена информацией по телекоммуникационным каналам  iconПрограмма дисциплины "информационная безопасность и защита информации" Рекомендуется Министерством образования РФ для направления подготовки
Целью дисциплины является формирование у обучаемых знаний в области теоретических основ информационной безопасности и навыков практического...
Регламент использования средств криптографической защиты информации в автоматизированной информационной системе обмена информацией по телекоммуникационным каналам  iconСредство Криптографической Защиты И
Данный документ является кратким руководством по установке и регистрации средства криптографической защиты информации (скзи) КриптоПро...
Разместите кнопку на своём сайте:
ru.convdocs.org


База данных защищена авторским правом ©ru.convdocs.org 2016
обратиться к администрации
ru.convdocs.org