Об утверждении Положения об организации

ЛеГрад

Законодательство Ленинградской области

Документ утратил силу
В соответствии с пунктом 3.1 распоряжения Администрации Санкт-Петербурга от 15.05.2002 N 751-ра "Об организации использования электронной цифровой подписи в электронных документах, хранимых, обрабатываемых и передаваемых в автоматизированных информационных и телекоммуникационных сетях и системах исполнительных органов государственной власти Санкт-Петербурга" и согласно статье 47 Устава Санкт-Петербурга:
1. Утвердить Положение об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте исполнительных органов государственной власти Санкт-Петербурга (далее - Положение).
2. Отделу информационной безопасности, противодействия техническим разведкам и развития системы защиты информации:
2.1. До 01.11.2002 провести инструктаж специалистов подразделений информатизации исполнительных органов государственной власти Санкт-Петербурга, ответственных за использование электронной цифровой подписи и шифрования информации, и внедрить требования Положения в электронный документооборот исполнительных органов государственной власти Санкт-Петербурга.
2.2. Довести настоящее распоряжение с Положением до всех исполнительных органов государственной власти Санкт-Петербурга, других организаций, включенных в Реестр сертификатов ключей подписей уполномоченных лиц исполнительных органов государственной власти Санкт-Петербурга.
3. Контроль за выполнением распоряжения оставляю за собой.

Председатель Комитета по информатизации и связи А.В.Спиридонов

УТВЕРЖДЕНО распоряжением Комитета по информатизации и связи от 24.07.2002 N 1-р

ПОЛОЖЕНИЕ ОБ ОРГАНИЗАЦИИ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ И ШИФРОВАНИЯ ИНФОРМАЦИИ В ЭЛЕКТРОННОМ ДОКУМЕНТООБОРОТЕ ИСПОЛНИТЕЛЬНЫХ ОРГАНОВ ГОСУДАРСТВЕННОЙ ВЛАСТИ САНКТ-ПЕТЕРБУРГА


1. Общие положения

1.1. Положение об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте исполнительных органов государственной власти Санкт-Петербурга (далее - Положение) разработано в соответствии с Федеральным законом "Об информации, информатизации и защите информации" и Федеральным законом "Об электронной цифровой подписи", во исполнение требований распоряжения Администрации Санкт-Петербурга от 15.05.2002 N 751-ра "Об организации использования электронной цифровой подписи в электронных документах, хранимых, обрабатываемых и передаваемых в автоматизированных информационных и телекоммуникационных сетях и системах исполнительных органов государственной власти Санкт-Петербурга" и определяет:
1.1.1. Порядок обеспечения правовых условий, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
1.1.2. Порядок организации выдачи сертификатов ключей подписей уполномоченным лицам исполнительных органов государственной власти Санкт-Петербурга (далее - ИОГВ СПб), использующих электронную цифровую подпись.
1.1.3. Порядок организации криптографической защиты информации при обмене электронными документами, подготовленными и передаваемыми Пользователями в системе электронного документооборота исполнительных органов государственной власти Санкт-Петербурга (далее - Система).
1.1.4. Процедуру подтверждения того, что электронный документ:
- исходит от Пользователя Системы (подтверждение авторства документа);
- не претерпел изменений при информационном взаимодействии (подтверждение целостности и подлинности документа).
1.2. Пользователи Системы осуществляют:
1.2.1. Обмен электронными документами по открытым каналам связи в рамках Системы и только между зарегистрированными участниками Системы.
1.2.2. Соблюдение установленной последовательности действий при обмене электронными документами и проверке их подлинности.
1.2.3. В соответствии с Порядком разрешения конфликтных ситуаций, возникающих в ходе осуществления электронного документооборота с использованием электронной цифровой подписи (далее - ЭЦП), согласно приложению 8.
1.2.4. Использование для защиты информации при подготовке и обработке документов в электронной форме сертифицированных органами Федерального агентства правительственной связи и информации (далее - ФАПСИ) средств криптографической защиты информации (далее - СКЗИ).
1.3. Схема ЭЦП, процессы формирования и проверки ЭЦП под заданным сообщением (документом), передаваемым по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения, определяются ГОСТ Р 34.10-2001 и Р 34.10-94 "Информационная технология. Криптографическая информация. Процессы формирования и проверки электронной цифровой подписи" и ГОСТ Р 34.11-94 "Информационная технология. Криптографическая информация. Функции кэширования".

2. Термины и сокращения, используемые в Положении

Авторство документа - принадлежность документа одному из участников (абонентов) системы электронного документооборота. Авторство документа определяется путем аутентификации содержащейся в нем информации.
Аутентификация информации - установление подлинности и целостности информации, содержащейся в документе. Аутентификация может осуществляться как на основе структуры и содержания документа или его реквизитов, так и путем реализации криптографических алгоритмов преобразования информации. Доказательная аутентификация информации осуществляется анализом (экспертизой) подписей должностных лиц и печатей на бумажных документах и проверкой правильности ЭЦП для электронных документов при использовании сертифицированных органами ФАПСИ средств криптографической защиты информации.
Владелец сертификата ключа - физическое лицо, на имя которого Организатором Системы выдан сертификат ключа и которое владеет соответствующим закрытым криптографическим ключом.
Внеплановая смена ключей - смена ключей в соответствии с документацией на СКЗИ, вызванная компрометацией ключей.
Зарегистрированный (сертифицированный) открытый ключ - открытый ключ, подписанный ЭЦП Организатора Системы и подтвержденный сертификатом открытого ключа.
Компрометация ключа - утрата доверия к тому, что используемые секретные ключи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся следующие ситуации:
- утрата ключевых дискет или иных носителей ключа;
- утрата ключевых дискет или иных носителей ключа с последующим обнаружением;
- увольнение сотрудников, имевших доступ к ключевой информации;
- возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;
- нарушение целостности печатей на сейфах с носителями ключевой информации если используется процедура опечатывания сейфов;
- утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;
- утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;
- доступ посторонних лиц к ключевой информации.
Конфиденциальность информации - субъективно определяемая характеристика информации, означающая необходимость введения ограничений на круг лиц, имеющих к ней доступ.
Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с действующим законодательством Российской Федерации и Санкт-Петербурга, нормативными актами Администрации и Правительства Санкт-Петербурга, а также настоящим Положением.
Конфликтная ситуация - ситуация, при которой у Пользователей Системы возникает необходимость разрешения вопросов признания или непризнания авторства и / или подлинности электронных документов, обработанных средствами криптографической защиты информации.
Корректный электронный документ - электронный документ, прошедший процедуру проверки ЭЦП с подтверждением ее правильности, а также документ, не имеющий искажений в тексте сообщения, не позволяющих понять его смысл.
Криптографическая защита - защита информации от ее несанкционированной модификации и доступа посторонних лиц при помощи алгоритмов криптографического преобразования.
Криптографический ключ (ключ) - параметр шифра или его значение, определяющее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.
Некорректный электронный документ - электронный документ, не прошедший процедуры проверки ЭЦП, а также документ, имеющий искажения в тексте сообщения, не позволяющие понять его смысл.
Несанкционированный доступ к информации - доступ к информации лиц, не имеющих на то полномочий.
Обработка информации - создание, хранение, передача, прием, преобразование и отображение информации.
Организатор Системы - выбранная на конкурсной основе организация, имеющая в соответствии с федеральными законами "О лицензировании отдельных видов деятельности" и "Об электронной цифровой подписи" лицензии ФАПСИ, дающие право осуществлять деятельность по обслуживанию шифровальных средств, предназначенных для криптографической защиты конфиденциальной информации, а также выполнять функции Удостоверяющего центра.
Открытый ключ ЭЦП - уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому Пользователю Системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе. Открытый ключ Пользователя является действующим на момент подписания, если он зарегистрирован (сертифицирован) и введен в действие.
Открытый ключ шифрования - криптографический ключ, предназначенный для шифрования разового (сеансового) ключа с целью его передачи адресату по открытым каналам связи. Открытые ключи шифрования могут быть известны всем Пользователям Системы.
Плановая смена ключей - смена ключей, не вызванная компрометацией ключей, в соответствии с эксплуатационной документацией на СКЗИ, с периодичностью, согласованной с Пользователем.
Структурное подразделение - отдел информационной безопасности, противодействия техническим разведкам и развития системы защиты информации Комитета по информатизации связи, исполняющего функции уполномоченного исполнительного органа государственной власти Санкт-Петербурга (далее - УИОГВ СПб), обеспечивающего правовое регулирование и порядок организации выдачи и отзыва сертификатов открытых ключей.
Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.
Пользователь Системы - участник информационного обмена электронными документами, зарегистрированный в Системе, признающий данное Положение.
Расшифрование - процесс преобразования шифрованной информации в открытую при помощи шифра.
Сертификат открытого ключа - документ на бумажном носителе или электронный документ с ЭЦП уполномоченного лица Удостоверяющего центра (Организатора Системы), который включает в себя открытый ключ (ЭЦП и / или шифрования) и который выдается Удостоверяющим центром (Организатором Системы) участнику информационной системы для подтверждения подлинности открытого ключа и идентификации владельца сертификата открытого ключа.
Секретные (закрытые) ключи - криптографические ключи, которые хранятся у Пользователя Системы в тайне. Секретные ключи используются для шифрования документов и формирования ЭЦП Пользователя.
СОС - список отозванных сертификатов.
Управление ключами - создание (генерация) ключей, их хранение, распространение, удаление (уничтожение), учет и применение в соответствии с настоящим Положением.
Шифрование - процесс преобразования открытой информации с целью сохранения ее в тайне от посторонних лиц при помощи некоторого алгоритма, называемого шифром. Для шифрования информации используется алгоритм криптографического преобразования ГОСТ 28147-89.
Шифр - совокупность обратимых преобразований множества возможных открытых данных на множество возможных шифрованных данных, осуществляемых по определенным правилам с применением ключей.
Электронный документ - документ, в котором информация представлена в электронно-цифровой форме. Электронный документ может создаваться на основе документа на бумажном носителе, на основе другого электронного документа либо порождаться в процессе информационного взаимодействия.
Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

3. Общие вопросы организации защиты информации

3.1. Организатор Системы осуществляет работы по управлению ключами на основании консолидированной заявки руководителя Структурного подразделения на поставку СКЗИ и выполнение работ по генерации и сертификации ключей (приложение 2) в соответствии с требованиями органов ФАПСИ.
3.2. Пользователь предоставляет Организатору Системы право вырабатывать секретные и открытые ключи ЭЦП и шифрования Пользователя на Автоматизированном рабочем месте Администратора Удостоверяющего центра (АРМ УЦ) в соответствии с лицензией органов ФАПСИ и эксплуатационной документацией на СКЗИ. АРМ УЦ расположен на территории Организатора Системы.
3.3. Организатор Системы предоставляет Пользователю возможность самостоятельной выработки секретных ключей ЭЦП и шифрования в его присутствии и под его непосредственным контролем с использованием технических средств, размещенных на территории Организатора Системы.
3.4. Организатор Системы изготавливает сертификаты криптографических ключей Пользователя в электронном виде и вместе с ключевым носителем передает их Пользователю. При изготовлении сертификатов ключей Организатор Системы оформляет два экземпляра сертификата в форме документов на бумажных носителях, которые заверяются собственноручными подписями владельца сертификата ключа и уполномоченного лица Организатора Системы, а также печатью Организатора Системы. Один экземпляр сертификата ключа выдается владельцу сертификата ключа, второй - остается у Организатора Системы.
3.5. Организатор Системы использует программные и технические средства генерации ключевой информации, соответствующие сертифицированным органами ФАПСИ эталонам. Организатор Системы гарантирует отсутствие привнесенных нерегламентированных процедур скрытого копирования индивидуальной секретной ключевой информации в используемых программных и технических средствах.
3.6. Пользователь получает доступ к серверу ИОГВ СПб, на котором хранятся выданные сертификаты Пользователей Системы и список отозванных сертификатов (СОС).
3.7. Периодичность и способ доставки обновлений СОС Организатором Системы на сервере ИОГВ СПб определяется договором.

Примечание. Организатор Системы принимает все возможные меры по доставке в кратчайшие сроки измененного СОС в случае его пополнения недействительными (скомпрометированными) ключами.

4. Порядок получения СКЗИ, ключей и сертификатов ЭЦП

4.1. Руководитель ИОГВ СПб представляет руководителю УИОГВ СПб заявку на подключение к Системе, содержащую:
- данные на сотрудника ИОГВ СПб, ответственного за подключение к Системе;
- список Пользователей, которым необходимо изготовить криптографические ключи ЭЦП;
- необходимое количество комплектов СКЗИ, которые будут установлены на компьютеры Пользователей, с указанием технических характеристик компьютеров, места расположения и ответственного лица.

Примечание. На одном рабочем месте, с установленным на нем СКЗИ, могут работать несколько Пользователей.

Форма заявки на подключение к Системе указана в приложении 1.
4.2. Руководитель УИОГВ СПб рассматривает полученную заявку и принимает решение о приобретении необходимого количества комплектов СКЗИ, включении в Реестр и подключении Пользователей ИОГВ СПб к Системе.
4.3. На основании решения руководителя УИОГВ СПб руководитель Структурного подразделения готовит и передает Организатору Системы консолидированную заявку (приложение 2) на поставку и установку СКЗИ и выполнение необходимых работ по генерации и сертификации ключей для Пользователей ИОГВ СПб.
4.4. Организатор Системы согласует с сотрудником ИОГВ СПб, ответственным за подключение к Системе, график работ.
4.5. В соответствии с согласованным графиком Пользователи ИОГВ СПб лично или их доверенные лица (при оформленной доверенности согласно приложению 3) получают у Организатора Системы СКЗИ изготовленные в их присутствии ключи и сертификаты ЭЦП. Пользователи расписываются в журнале о получении СКЗИ и ключей, а также в сертификате открытого ключа ЭЦП, оформленного согласно образцу (приложение 4).
4.6. Сотрудник Организатора Системы в согласованный с Пользователем срок производит все необходимые работы по установке и настройке СКЗИ на рабочем месте Пользователя, подключению его к Системе и обучению.
4.7. Сотрудник Организатора Системы и Пользователь подписывают акт приема передачи рабочего места Пользователя в эксплуатацию (приложение 5).
4.8. Организатор Системы сообщает руководителю Структурного подразделения о выполненных работах. Выполненные работы закрываются актом (приложение 6).

5. Порядок получения ключей шифрования

5.1. Ключи шифрования должностным лицам ИОГВ СПб выдаются на основании запроса руководителя ИОГВ СПб и по указанию руководителя УИОГВ СПб.
5.2. Порядок изготовления и получения ключей шифрования определяется дополнительным указанием руководителя УИОГВ СПб.

6. Функции и задачи Структурного подразделения

6.1. Обеспечивает правовое регулирование и организацию выдачи и отзыва криптографических ключей и сертификатов открытых ключей Пользователей Системы.
6.2. Ведет Реестр сертификатов ключей подписей уполномоченных лиц исполнительных органов государственной власти Санкт-Петербурга и дает указание Организатору Системы о выдаче Пользователям сертификатов ключей подписей.
6.3. Готовит предложения и проекты договоров УИОГВ СПб с Организатором Системы на комплексное обслуживание по защите информации и предоставление услуг Удостоверяющего центра всем Пользователям Системы.
6.4. Координирует и контролирует деятельность Удостоверяющего центра (Организатора Системы) по правильному и своевременному изготовлению, выдаче и приостановлению действия сертификатов ключей подписей и криптографических ключей Пользователям.
6.5. Организует и участвует в работе Экспертной комиссии при рассмотрении спорных вопросов (конфликтных ситуаций).
6.6. Осуществляет в соответствии с Положением об УИОГВ СПб контрольные функции и иные полномочия в области криптографической защиты информации и использования ЭЦП.

7. Обязанности Пользователя

7.1. Подготавливает и содержит в рабочем состоянии программно-технические средства в соответствии с эксплуатационной документацией на СКЗИ.
7.2. Обеспечивает надежное хранение секретных (закрытых) ключей шифрования и ЭЦП, исключает доступ к ним посторонних лиц.
7.3. Контролирует целостность и неизменность по отношению к полученному у Организатора Системы сертифицированному эталону программного обеспечения СКЗИ штатными средствами в соответствии с эксплуатационной документацией на СКЗИ.
7.4. При осуществлении деятельности по защите информации криптографическими средствами выполняет требования органов ФАПСИ по обеспечению безопасности информации при ее защите по уровню "С" (приложение 7).
7.5. При обработке электронных документов осуществляет их архивирование и хранит эти архивы в соответствии с требованиями, установленными действующим законодательством и нормативными актами для хранения документов на бумажных носителях.
7.6. Организует внутренний режим функционирования рабочих мест таким образом, чтобы исключить возможность физического доступа к СКЗИ, несанкционированной модификации или использования СКЗИ лицами, не имеющими допуска к работе с СКЗИ, а также исключает возможность использования ключевой информации не уполномоченными на то лицами.
7.7. При разрешении конфликтных ситуаций, связанных с установлением подлинности и / или авторства спорного документа, обязан предоставлять комиссии, создаваемой и действующей в соответствии с приложением 8, всю запрашиваемую ею информацию.
7.8. Участвует в плановой замене криптографических ключей Пользователя, производимой по инициативе Организатора Системы и / или Структурного подразделения не реже одного раза в два года (отдельным решением могут быть установлены другие сроки) в следующем порядке:
- замене подлежат все действующие ключи ЭЦП и шифрования Пользователя;
- за два месяца до замены ключей Организатор Системы и Структурное подразделение утверждают график проведения работ и через циркулярное письмо сообщают Пользователям о начале работ по плановой замене ключей;
- работы по генерации ключей и выдаче сертификатов производит Организатор Системы в соответствии с настоящим Положением;
- Пользователь после получения новых ключей и сертификатов проверяет их работоспособность;
- после этого Пользователь направляет Организатору Системы информационное письмо с уточнением даты и времени вывода из действия старых ключей и ввода в действие новых ключей.

Примечание. Все письма могут быть оформлены в электронном виде и подписаны на старых ключах.

- в соответствии с полученным информационным письмом в назначенный день Организатор Системы заносит сертификаты старых ключей в СОС и вводит в действие новые ключи. С этого момента Пользователь работает на новых ключах;
- старые ключи уничтожаются Пользователем самостоятельно путем физического уничтожения ключевых носителей с составлением Акта уничтожения криптографических ключей (приложение 10) и передачей его Организатору Системы.

8. Права Пользователя

8.1. Передавать по электронной почте другим зарегистрированным Пользователям Системы или получать от них подписанные ЭЦП и зашифрованные электронные документы.
8.2. Не принимать к исполнению электронные документы, заверенные ЭЦП, если:
- сертификат ключа подписи отправителя утратил силу (не действует, находится в СОС на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания);
- не подтверждена подлинность ЭЦП в электронном документе;
- ЭЦП используется не в соответствии со сведениями, указанными в сертификате ключа подписи.

Примечание. Перед принятием решения по исполнению полученного электронного документа Пользователь самостоятельно определяет необходимость дополнительной проверки нахождения сертификата ЭЦП отправителя в СОС, находящегося на сервере ИОГВ СПб, в зависимости от его важности.

8.3. Запрашивать подтверждение по переданным ему электронным документам другими пользователями в случае возникновения сомнений.
8.4. Требовать исполнения обязательств от Пользователей Системы по принятым ими электронным документам.
8.5. В случае возникновения конфликтной ситуации, связанной с установлением подлинности и / или авторства спорного документа, требовать разрешения указанных вопросов Экспертной комиссией установленным порядком.

9. Действия Сторон при компрометации ключей

9.1. Организатор Системы в момент генерации и сертификации ключей передает Пользователю пароль для экстренной связи в случае компрометации секретных ключей. Пользователь обеспечивает сохранение конфиденциальности пароля.
9.2. Пользователь в случае принятия решения о компрометации собственных криптографических ключей обязан немедленно информировать Структурное подразделение и Организатора Системы по телефонным каналам связи с использованием устного пароля или в виде электронного сообщения, подписанного скомпрометированным ключом, о наступлении события, трактуемого как компрометация.
9.3. Организатор Системы, получивший сообщение о компрометации ключей Пользователя, должен убедиться в достоверности сообщения о компрометации (запросить пароль или факсимильное сообщение, заверенное подписью и печатью руководителя ИОГВ СПб или Пользователя) и после этого обязан немедленно вывести из действия скомпрометированные ключи (занести их в СОС).
9.4. Пользователь, объявивший о компрометации собственных криптографических ключей, в течение одного рабочего дня документально оформляет официальное уведомление и направляет его Структурному подразделению и Организатору Системы.
9.5. Изготовление новых криптографических ключей и их сертификация взамен скомпрометированных производится Организатором Системы после проведения расследования причин компрометации и на основании решения, принятого руководителем УИОГВ СПб.
9.6. Пользователь, допустивший компрометацию собственных криптографических ключей, несет все издержки, связанные с генерацией новых ключей, их сертификацией и доставкой к месту эксплуатации.

10. Конфиденциальность информации

10.1. Структурное подразделение, Организатор Системы и Пользователи в процессе обмена электронными документами обязуются обеспечивать сохранность конфиденциальной информации, полученной друг от друга, в соответствии с действующим законодательством Российской Федерации.
10.2. Порядок предоставления конфиденциальной информации налоговым, правоохранительным и судебным органам осуществляется в соответствии с действующим законодательством Российской Федерации.

11. Ответственность участников Системы

11.1. За неисполнение или ненадлежащее исполнение обязательств по настоящему Положению участники Системы несут ответственность в соответствии с действующим законодательством Российской Федерации.
11.2. Пользователь несет ответственность за сохранность СКЗИ, секретных ключей шифрования и ЭЦП.
11.3. В случае если один из участников Системы допустил компрометацию секретных криптографических ключей и немедленно не уведомил об этом (в соответствии с разделом 9 настоящего Положения) Структурное подразделение и Организатора Системы, то всю ответственность за возможные при этом последствия несет допустивший компрометацию участник Системы.

12. Порядок взаимодействия Сторон при нештатных ситуациях, связанных с эксплуатацией СКЗИ

12.1. В случае нарушения правил использования СКЗИ и / или возникновения конфликтных ситуаций, связанных с подтверждением авторства и / или подлинности электронных документов, заверенных ЭЦП, Стороны руководствуются Порядком разрешения конфликтных ситуаций, возникающих в ходе осуществления электронного документооборота с использованием ЭЦП, изложенным в приложении 8, и Инструкцией по доказательству принадлежности ЭЦП при разборе конфликтных ситуаций, приведенной в приложении 9.

13. Приложения

Приложение 1. Заявка руководителя ИОГВ СПб на подключение Пользователей к Системе.
Приложение 2. Консолидированная заявка руководителя Структурного подразделения на поставку СКЗИ и выполнение работ по генерации и сертификации ключей.
Приложение 3. Доверенность.
Приложение 4. Образец сертификата открытого ключа.
Приложение 5. Акт приема-передачи рабочего места Пользователя в эксплуатацию.
Приложение 6. Акт о выполнении работ.
Приложение 7. Требования ФАПСИ по обеспечению безопасности информации при ее защите по уровню "С" (на уровне потребителя).
Приложение 8. Порядок разрешения конфликтных ситуаций, возникающих в ходе осуществления электронного документооборота с использованием ЭЦП.
Приложение 9. Инструкция по доказательству принадлежности ЭЦП при разборе конфликтных ситуаций.
Приложение 10. Акт уничтожения криптографических ключей.

Приложение 1 к Положению

                              ЗАЯВКА
               РУКОВОДИТЕЛЯ ИОГВ СПБ НА ПОДКЛЮЧЕНИЕ
                     ПОЛЬЗОВАТЕЛЕЙ К СИСТЕМЕ
                                            Руководителю УИОГВ СПб
                                                            Ф.И.О.
     1. Наименование ИОГВ СПб ____________________________________
     2. Адрес ИОГВ СПб ___________________________________________
     3. Сотрудник ИОГВ  СПб,  ответственный за  использование СКЗИ
и подключение к Системе:
     - Ф.И.О., должность _________________________________________
     - адрес (с указанием комнаты) _______________________________
     - телефон / факс ________________
     - e-mail ________________________
     4. Необходимое количество комплектов СКЗИ _______
     5. СКЗИ будут  установлены  на  рабочие  места  (персональные
компьютеры) следующих сотрудников:
        5.1. Ф.И.О., должность ___________________________________
        - адрес (с указанием комнаты) ____________________________
        - телефон / факс ________________
        - e-mail ________________________
        - тип компьютера, операционная система ___________________
        5.2. Ф.И.О., должность ___________________________________
        - адрес (с указанием комнаты) ____________________________
        - телефон / факс ________________
        - e-mail ________________________
        - тип компьютера, операционная система ___________________
     6. Список Пользователей (должностных лиц) ИОГВ  СПб,  которым
необходимо изготовить ЭЦП:
     6.1. Ф.И.О., должность ______________________________________
     - адрес (с указанием комнаты) _______________________________
     - телефон / факс ________________
     - e-mail ________________________
     6.2. Ф.И.О., должность ______________________________________
     - адрес (с указанием комнаты) _______________________________
     - телефон / факс ________________
     - e-mail ________________________
     Помещения, режим  эксплуатации  программного  обеспечения   и
персональных  компьютеров,  на  которые  будут  установлены  СКЗИ,
удовлетворяют   требованиям   органов   ФАПСИ    по    обеспечению
безопасности информации при ее защите по  уровню  "С"  (на  уровне
потребителя), изложенным в приложении 7 Положения.
     Руководитель ИОГВ СПб ________________________ (фамилия И.О.)
                                            "___" __________ 200__

Приложение 2 к Положению

                     КОНСОЛИДИРОВАННАЯ ЗАЯВКА
             РУКОВОДИТЕЛЯ СТРУКТУРНОГО ПОДРАЗДЕЛЕНИЯ
         НА ПОСТАВКУ СКЗИ И ВЫПОЛНЕНИЕ РАБОТ ПО ГЕНЕРАЦИИ
                      И СЕРТИФИКАЦИИ КЛЮЧЕЙ
                                 N ______ от "__" ________ 200_ г.
                                 Руководителю Организатора Системы
                                                            Ф.И.О.
     В соответствии с Договором прошу осуществить поставку СКЗИ  и
выполнить работы следующих ИОГВ СПб:
     1. Наименование ИОГВ СПб ____________________________________
     1.1. Адрес ИОГВ СПб _________________________________________
     1.2. Сотрудник ИОГВ СПб, ответственный за использование  СКЗИ
и подключение к Системе:
     - Ф.И.О., должность _________________________________________
     - адрес (с указанием комнаты) _______________________________
     - телефон / факс ________________
     - e-mail ________________________
     1.3. Необходимое количество комплектов СКЗИ ______
     1.4. СКЗИ   установить   на   рабочие   места   (персональные
компьютеры) следующих сотрудников:
     1.4.1. Ф.И.О., должность ____________________________________
          - адрес (с указанием комнаты) __________________________
          - телефон / факс_________________
          - e-mail ________________________
          - тип компьютера, операционная система _________________
     1.4.2. Ф.И.О., должность ____________________________________
          - адрес (с указанием комнаты) __________________________
          - телефон / факс ________________
          - e-mail ________________________
          - тип компьютера, операционная система _________________
     1.5. Список Пользователей (должностных лиц) ИОГВ СПб, которым
необходимо изготовить ЭЦП:
     1.5.1. Ф.И.О., должность ____________________________________
          - адрес (с указанием комнаты) __________________________
          - телефон / факс ________________
          - e-mail ________________________
     1.5.2. Ф.И.О., должность ____________________________________
          - адрес (с указанием комнаты) __________________________
          - телефон / факс ________________
          - e-mail ________________________
     2. Наименование ИОГВ СПб: ___________________________________
     2.1. Адрес ИОГВ СПб _________________________________________
     2.2. Сотрудник ИОГВ СПб, ответственный за использование  СКЗИ
и подключение к Системе:
     - Ф.И.О., должность _________________________________________
     - адрес (с указанием комнаты) _______________________________
     - телефон / факс ________________
     - e-mail ________________________
     2.3. Необходимое количество комплектов СКЗИ ________
     2.4. СКЗИ   установить   на   рабочие   места   (персональные
компьютеры) следующих сотрудников:
     2.4.1. Ф.И.О., должность ____________________________________
     - адрес (с указанием комнаты) _______________________________
     - телефон / факс ________________
     - e-mail ________________________
     - тип компьютера, операционная система ______________________
     2.4.2. Ф.И.О., должность ____________________________________
     - адрес (с указанием комнаты) _______________________________
     - телефон / факс ________________
     - e-mail ________________________
     - тип компьютера, операционная система ______________________
     2.5. Список Пользователей (должностных лиц) ИОГВ СПб, которым
необходимо изготовить ЭЦП:
     2.5.1. Ф.И.О., должность ____________________________________
     - адрес (с указанием комнаты) _______________________________
     - телефон / факс ________________
     - e-mail ________________________
     2.5.2. Ф.И.О., должность ____________________________________
     - адрес (с указанием комнаты) _______________________________
     - телефон / факс ________________
     - e-mail ________________________
     3. Наименование ИОГВ СПб: ___________________________________
     3.1. Адрес ИОГВ СПб _________________________________________
     3.2. Сотрудник ИОГВ СПб, ответственный за использование  СКЗИ
и подключение к Системе:
     3.3. Ф.И.О., должность ______________________________________
     - адрес (с указанием комнаты) _______________________________
     - телефон / факс ________________
     - e-mail ________________________
     3.4. Необходимое количество комплектов СКЗИ _____
     3.5. СКЗИ   установить   на   рабочие   места   (персональные
компьютеры) следующих сотрудников:
     3.5.1. Ф.И.О., должность ____________________________________
     - адрес (с указанием комнаты) _______________________________
     - телефон / факс ________________
     - e-mail ________________________
     - тип компьютера, операционная система ______________________
     3.5.2. Ф.И.О., должность ____________________________________
     - адрес (с указанием комнаты) _______________________________
     - телефон / факс ________________
     - e-mail ________________________
     - тип компьютера, операционная система ______________________
     3.6. Список Пользователей (должностных лиц) ИОГВ СПб, которым
необходимо изготовить ЭЦП:
     3.6.1. Ф.И.О., должность ____________________________________
     - адрес (с указанием комнаты) _______________________________
     - телефон / факс ________________
     - e-mail ________________________
     3.6.2. Ф.И.О., должность ____________________________________
     - адрес (с указанием комнаты) _______________________________
     - телефон / факс ________________
     - e-mail ________________________
     Помещения, режим  эксплуатации  программного  обеспечения   и
персональных  компьютеров,  на  которые  будут  установлены  СКЗИ,
удовлетворяют   требованиям   органов   ФАПСИ    по    обеспечению
безопасности информации при ее защите по  уровню  "С"  (на  уровне
потребителя), изложенным в приложении 7 Положения.
     Руководитель
     структурного подразделения ___________________ (фамилия И.О.)
     М.П.
                                            "___" __________ 200__

Приложение 3 к Положению

                           ДОВЕРЕННОСТЬ
                            N ________
     Я, (Ф.И.О.).
     - Должность
     - Паспортные данные:
        - серия
        - номер
        - орган, выдавший паспорт
        - дата выдачи.
     - Номер телефона
     Доверяю (Ф.И.О.).
     - Должность
     - Паспортные данные:
        - серия
        - номер
        - орган, выдавший паспорт
        - дата выдачи.
     - Номер телефона
     ВЫПОЛНИТЬ СЛЕДУЮЩЕЕ:
     - получить СКЗИ в количестве ___ экз.;
     - вместо меня присутствовать при изготовлении моего  ключа  и
сертификата электронной цифровой подписи;
     - получить ключевые носители с моей ЭЦП;
     - получить сертификат моей ЭЦП;
     - расписываться за меня в журналах Организатора Системы.
     Срок действия полномочий доверенности _______________
       _________________ (подпись)
           (Ф.И.О.)
       _________________ (подпись)
           (Ф.И.О.)
     УДОСТОВЕРЯЮ: Руководитель ИОГВ СПб ___________ (фамилия И.О.)
     М.П.
                                          "___" ____________ 200__

Приложение 4 к Положению

          ОБРАЗЕЦ БЛАНКА СЕРТИФИКАТА ОТКРЫТОГО КЛЮЧА ЭЦП
                  СЕРТИФИКАТ ОТКРЫТОГО КЛЮЧА ЭЦП
Сведения о сертификате:
     Этот сертификат:
        Подтверждает удаленному  компьютеру  идентификацию  вашего
компьютера
        Защищает сообщения электронной почты
     Кому выдан:
        Иванов Андрей Петрович
     Кем выдан:
     Удостоверяющий центр
     Действителен с 29 мая 2002 года 12:39:43 по 29 мая 2004  года
12:49:43
Версия: 3(0х2)
Серийный номер: 0956 DFF7 0000 0000 0099
Алгоритм подписи:
     Название: ГОСТ Р 34.11/34.10-94
     Идентификатор: 1.2.643.2.2.4
     Параметры: 05 00
        Издатель сертификата: CN = Удостоверяющий центр, O =  UdC,
L = Санкт-Петербург, C = RU.
        E = cert@udc.spb.ru
Срок действия:
     Действителен с: 29 мая 2002 года 12:39:43
     Действителен по: 29 мая 2004 года 12:49:43
Владелец  сертификата:  CN  =  Иванов  Андрей   Петрович,   OU   =
Техническая поддержка, O = Комитет по XXX,
E = support@xxx.spb.ru
Открытый ключ:
     Алгоритм открытого ключа:
        Название: ГОСТ Р 34.10-94
        Идентификатор: 1.2.643.2.2.20
        Параметры: 30 12 06 07 2a 85 03 02 02 20 02 06 07 2a 85 03
02 02 le 01
     Значение: 0481 80A6 F4E9 B202 5804 1CB3 E34E B302  9BA6  A5A8
7F4D BD52 8020 9727 B71F  09EB  A415  5998  3334  FE31  D3BA  8A4F
C552 6CE1 F27F 3254 OA62 271F A24B 1570 F356 006C 823B  4AEE  6145
4404 29FE 6CF4 76B4 E99E B1A2 9160 64D2 B782 6E90 AFD5  88B7  FFE6
E565 B1F9 3C31 11D1 C3CC 5C4F 1F74 D011 D090 EDE2 3046  1D8E  COA4
C472 D03E FCED D961 27
Расширения сертификата X.509
     1. Расширение 2.5.29.15 (критическое)
        Название: Key Usage
        Значение: Digital    Signature,    Non-Repudiation,    Key
Encipherment, Data Encipherment (f0)
     2. Расширение 2.5.29.37
        Название: Enhanced Key Usage
        Значение: Secure    Email    (1.3.6.1.5.5.7.3.4)    Client
Authentication (1.3.6.1.5.5.7.3.2)
     3. Расширение 2.5.29.14
        Название: Subject Key Identifier
        Значение: 43 82 f9 aa 5d a3 d6 15 le 66 42 f7 id 87 fe  dl
84 cO 15 dl
     4. Расширение 2.5.29.35
        Название: Authority Key Identifier
        Значение: KeylD=35 d5 3e 11 8b 91 a8 Id d6 el 71 el be  cb
c8 fc f8 74 3a 20 Certificate Issuer: Directory Address:
        CN = Удостоверяющий центр, 0 = UdC L = Санкт-Петербург,  C
= RU, E = cert@udc.spb.ru Certificate
        SerialNumber = 06 85 de 6e f6 e4 ed aO 4e d3 c6 b7  8f  ff
46 ed
     5. Расширение 2.5.29.31
        Название: CRL Distribution Points
        Значение: [1]CRL  Distribution  Point  Distribution  Point
Name: Full Name: URL=http://cert@udc.spb.ru/certcrl.crl
Подпись Удостоверяющего центра:
     Алгоритм подписи:
        Название: ГОСТ Р 34.11/34.10-94
        Идентификатор: 1.2.643.2.2.4
        Параметры: 05 00
     Значение: CA40 CD68 5E44 2895 1D56 1CFB 1754 7766  20A1  2C34
C948 9FA6 C042 5CC6 C3A4 835E E8E5 ОC5A B50B 6367 2AE5  ED4A  75F6
BC9D 1E07 C268 3F2C 216B 8BBB C297 D6D8 A844
     Подпись владельца сертификата _________________ (Иванов А.П.)
     Администратор информационной безопасности
     Удостоверяющего центра ________________________ (Петров Б.П.)
                                           "___" _________ 2002 г.
     М.П.

Приложение 5 к Положению

УТВЕРЖДАЮ:                                              УТВЕРЖДАЮ:
Руководитель ИОГВ СПб            Руководитель Организатора Системы
__________ (фамилия И.О.)               ___________ (фамилия И.О.)
"__" __________ 200_ г.                   "___" __________ 200_ г.
М.П.                                      М.П.
                               АКТ
           ПРИЕМА-ПЕРЕДАЧИ РАБОЧЕГО МЕСТА ПОЛЬЗОВАТЕЛЯ
                          В ЭКСПЛУАТАЦИЮ
"__" __________ 200_ года                       г. Санкт-Петербург
     Настоящий акт составлен
__________________________________________________________________
                     (наименование ИОГВ СПб)
__________________________________________________________________
    (должность, фамилия, имя, отчество Пользователя ИОГВ СПб)
и представителем:
__________________________________________________________________
     (фамилия, имя, отчество сотрудника Организатора системы)
о том, что Организатор Системы, выполнил следующие работы:
     1. Установил  СКЗИ,  рег.  N____________  на  рабочее   место
Пользователя,
     2. Выполнил необходимые настройки  и  осуществил  подключение
Пользователя к Системе,
     3. Провел обучение Пользователя правилам работы с ЭЦП и СКЗИ.
     Пользователь ознакомлен  с  Требованиями  органов  ФАПСИ   по
обеспечению безопасности информации при ее защите  по  уровню  "С"
(на уровне потребителя) и при работе с криптографическими  ключами
и СКЗИ будет выполнять эти требования.
Пользователь ИОГВ СПБ               Сотрудник Организатора Системы
____________ (фамилия И.О.)            ____________ (фамилия И.О.)
"__" __________ 200__                        "__" __________ 200__

Приложение 6 к Положению

УТВЕРЖДАЮ:
Руководитель Структурного
подразделения
__________ (фамилия И.О.)
"__" ___________ 200_ г.
УТВЕРЖДАЮ: Руководитель Организатора Системы ____________ (фамилия И.О.) "__" ___________ 200_ г.
М.П.
М.П.

АКТ О ВЫПОЛНЕНИИ РАБОТ

"__" ___________ 200_ года
г. Санкт-Петербург

Настоящий акт составлен о том, что в соответствии с Договором и консолидированной заявкой N __ от "__" _______ 200_ г. на поставку СКЗИ и выполнение работ по генерации и сертификации ключей

Организатор Системы выполнил следующее:

1. В ИОГВ СПб 1
1.1. Осуществил поставку и установил _ комплектов СКЗИ на рабочие места Пользователя,
1.2. Изготовил __ ключей и сертификатов ЭЦП,
1.3. Выполнил необходимые настройки и осуществил подключение Пользователей к Системе,
1.4. Провел обучение Пользователей правилам работы с ЭЦП и СКЗИ,
1.5. Внес сертификаты ЭЦП новых Пользователей в реестр сертификатов,
1.6. _______

2. В ИОГВ СПб 2
2.1. Осуществил поставку и установил _ комплектов СКЗИ на рабочие места Пользователя,
2.2. Изготовил __ ключей и сертификатов ЭЦП,
2.3. Выполнил необходимые настройки и осуществил подключение Пользователей к Системе,
2.4. Провел обучение Пользователей правилам работы с ЭЦП и СКЗИ,
2.5. Внес сертификаты ЭЦП новых Пользователей в реестр сертификатов,
2.6. ________.
Пользователи ознакомлены с Требованиями ФАПСИ по обеспечению безопасности информации при ее защите по уровню "С" (на уровне потребителя) и при работе с криптографическими ключами и СКЗИ.
Все работы выполнены в согласованные сроки и в полном объеме.

Ответственный сотрудник
Структурного подразделения
_____________ (фамилия И.О.)
"___" ___________ 200__
Ответственный сотрудник Организатора Системы _____________ (фамилия И.О.) "___" ___________ 200__

Приложение 7 к Положению

ТРЕБОВАНИЯ ФАПСИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ПРИ ЕЕ ЗАЩИТЕ ПО УРОВНЮ "С" (НА УРОВНЕ ПОТРЕБИТЕЛЯ)

Защита информации по уровню "С" означает применение процедур электронной цифровой подписи и кэширования сертифицированных органами ФАПСИ средств криптографической защиты информации, реализующих алгоритмы ГОСТ Р 34.11-94, ГОСТ Р 34.10-94 и ГОСТ 28147-89.

1. Требования по организационному обеспечению эксплуатации СКЗИ

1.1. В организации выделяются (определяются) должностные лица, ответственные за обеспечение безопасности информации и эксплуатацию СКЗИ.
1.2. В организации разрабатываются нормативные документы, регламентирующие вопросы безопасности информации и эксплуатацию СКЗИ.
1.3. К работе со СКЗИ допускаются сотрудники, имеющие навыки работы на персональном компьютере, ознакомленные с правилами эксплуатации СКЗИ.

2. Требования по размещению СКЗИ и режиму охраны

2.1. Помещения, в которых размещаются программно-технические средства с встроенными в них СКЗИ, являются режимными и должны обеспечивать конфиденциальность проводимых работ.
2.2. Размещение режимных помещений и их оборудование должны исключать возможность бесконтрольного проникновения в них посторонних лиц и обеспечивать сохранность находящихся в этих помещениях конфиденциальных документов и технических средств.
2.3. Размещение оборудования, технических средств, предназначенных для обработки конфиденциальной информации, должно соответствовать требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности.
2.4. Входные двери режимных помещений должны быть оборудованы замками, обеспечивающими надежное закрытие помещений в нерабочее время.
2.5. Окна и двери должны быть оборудованы охранной сигнализацией, связанной с пультом централизованного наблюдения за сигнализацией.
2.6. Размещение технических средств в режимном помещении должно исключать возможность визуального просмотра конфиденциальных документов и экранов мониторов, на которых она отражается, через окна.
2.7. В режимные помещения допускаются руководство абонента, сотрудники подразделения безопасности и исполнители, имеющие прямое отношение к обработке, передаче и приему конфиденциальных документов.
2.8. Системные блоки ЭВМ со СКЗИ оборудуются средствами контроля вскрытия.
2.9. Ремонт и / или последующее использование системных блоков осуществляется после удаления с них программного обеспечения СКЗИ (возможно согласование с Организатором Системы).

3. Требовании по обеспечению безопасности ключевой информации

3.1. Носители секретных ключей ЭЦП, шифрования и инсталляционные дискеты с ПО СКЗИ в организации берутся на поэкземплярный учет в выделенных для этих целей журналах.
3.2. Учет и хранение секретных ключей поручается руководством организации специально выделенным сотрудникам.
3.3. Для хранения носителей секретных ключей ЭЦП и шифрования выделяется сейф или иное хранилище, обеспечивающее сохранность ключевой информации.
3.4. Хранение ключей и инсталляционных дискет с ПО СКЗИ допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, не предусмотренное правилами пользования СКЗИ, применение.
3.5. Рабочие (актуальные) и резервные ключи хранятся раздельно, с обеспечением условия невозможности их одновременной компрометации.
3.6. При транспортировке носителей секретной ключевой информации обеспечиваются условия, обеспечивающие защиту от физических повреждений и внешнего воздействия на записанную ключевую информацию.

Примечание. Требования по размещению СКЗИ определяются условиями лицензирования органами ФАПСИ, правилами эксплуатации сертифицированных СКЗИ и могут уточняться при подготовке Пользователя к включению в Систему.

Приложение 8 к Положению

ПОРЯДОК РАЗРЕШЕНИЯ КОНФЛИКТНЫХ СИТУАЦИЙ, ВОЗНИКАЮЩИХ В ХОДЕ ОСУЩЕСТВЛЕНИЯ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА С ИСПОЛЬЗОВАНИЕМ ЭЦП


1. Общие положения

1.1. Разрешая конфликтные ситуации при нарушении процедур криптографической защиты информации и / или установлении авторства и / или подлинности электронных документов, заверенных ЭЦП, пользователи Системы исходят из того, что:
- в соответствии с действующим законодательством, документ в электронном виде, заверенный ЭЦП, является документом, имеющим юридическую силу, аналогичную документу, исполненному на бумажном носителе и снабженному подписью и печатью;
- электронный документ порождает обязательства одного Пользователя перед другим Пользователем Системы, если документ оформлен надлежащим образом, заверен ЭЦП и доставлен другому Пользователю. При этом ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи, а сертификат ЭЦП отправителя действует;
- подтверждением того, что электронный документ Пользователя принят Пользователем-получателем, является получение Пользователем надлежащим образом оформленной электронной квитанции о принятии его документа или получение того же самого документа, подписанного ЭЦП Пользователя-получателя;
- Пользователь признает, что используемая в соответствии с настоящим Положением система защиты информации, которая обеспечивает ЭЦП и шифрование, достаточна для защиты информации от несанкционированного доступа, подтверждения целостности, подлинности и авторства электронных документов, а также разрешения конфликтных ситуаций по ним;
- математические свойства алгоритма ЭЦП, реализованного в соответствии со стандартами Российской Федерации ГОСТ Р 34.10-94 (или ГОСТ Р 34.10-2001) и ГОСТ Р 34.11-94, свидетельствуют о невозможности подделки значения ЭЦП любым лицом, не обладающим закрытым криптографическим ключом ЭЦП. Пользователь признает, что разбор конфликтной ситуации в отношении авторства, целостности и подлинности электронного документа заключается в доказательстве подписания конкретного электронного документа на конкретном ключе ЭЦП.
1.2. В соответствии с настоящим порядком подлежат разрешению конфликтные ситуации двух типов:
- некорректность входящего электронного документа или ЭЦП (конфликтная ситуация типа 1);
- для корректного электронного документа непризнание отправителем электронного документа факта отправки документа, а также его целостности и подлинности (конфликтная ситуация 2).

2. Порядок разрешения конфликтных ситуаций типа 1

Действия пользователей в данной ситуации заключаются в следующем.
Принимающая Сторона по телефону (или иным образом) запрашивает у отправляющей Стороны информацию о документе, подлинность которого вызывает сомнения. При получении подтверждения об отправке указанного документа запрашивает повторное оформление и отправку данного документа.
Результатом повторной обработки принимающей Стороной (проверка ЭЦП) полученного документа может быть:
2.1. Повторная проверка дала отрицательный результат. ЭЦП документа неверна.
В этом случае делается вывод о возможном нарушении действующего криптографического ключа либо о неисправности программно-аппаратных средств одной из Сторон.
При этом необходимо:
- проверить сертификаты открытых ключей;
- штатными средствами в соответствии с эксплуатационной документацией проверить целостность и неизменность программного обеспечения СКЗИ и переустановить его в случае необходимости.
Если положительный результат не достигнут, необходимо обратиться к Организатору Системы.
2.2. Повторная проверка дала положительный результат. ЭЦП документа верна.

3. Порядок разрешения конфликтных ситуаций типа 2

3.1. В случае если один из Пользователей приходит к выводу, что другой Пользователь ссылается на документ, исходящий от него, который им не отправлялся и / или его содержание изменено, этот Пользователь немедленно извещает Структурное подразделение и Организатора Системы о наличии конфликтной ситуации для проведения служебного расследования.
3.2. При проведении служебного расследования формируется Экспертная (согласительная) комиссия для разрешения конфликтной ситуации, в состав которой входят представители Структурного подразделения, Организатора Системы и Пользователи, вовлеченные в конфликтную ситуацию.
3.3. В ходе служебного расследования рассматриваются документы, в том числе электронные, относящиеся к предмету разногласий, и выполняется процедура проверки ЭЦП документа, являющегося предметом разбирательства, в соответствии с Инструкцией, приведенной в приложении 9 к настоящему Положению. При этом могут быть использованы следующие эталонные данные:
- данные архива оригиналов принятых / отправленных документов;
- сертификаты ЭЦП с открытыми криптографическими ключами, выданные Удостоверяющим Центром;
- дистрибутивы СКЗИ;
- ключевые носители.

4. Компрометация ключа и отзыв сертификата

Компрометацией ключа считается утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. К событиям, связанным с компрометацией ключей, относятся, включая, но не ограничиваясь, следующее:
1. Потеря ключевых носителей.
2. Потеря ключевых носителей с их последующим обнаружением.
3. Увольнение сотрудников, имевших доступ к ключевой информации.
4. Нарушение правил хранения и уничтожения (после окончания срока действия) секретного ключа.
5. Возникновение подозрений на утечку информации или ее искажение в Системе.
6. Нарушение печати на сейфе с ключевыми носителями.
7. Случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника).
Различают два вида компрометации секретного ключа: явную и неявную. Первые четыре события должны трактоваться как явная компрометация ключей. Три следующих события требуют специального рассмотрения в каждом конкретном случае.
По факту компрометации ключей должно быть проведено служебное расследование. Выведенные из действия скомпрометированные ключевые носители после проведения служебного расследования уничтожаются, о чем делается запись в "Журнале пользователей Системы" и составляется акт (приложение 10).

5. Действия Пользователя при компрометации ключа

При компрометации ключа Пользователь должен немедленно прекратить связь по сети с другими Пользователями.
Пользователь (или администратор безопасности) должен немедленно известить Структурное подразделение и Организатора Системы о компрометации ключа.
Информация о компрометации может передаваться по телефону с использованием пароля, полученного Пользователем у Организатора Системы, или в виде электронного сообщения, подписанного ЭЦП пользователя.
После компрометации ключей Пользователь должен повторно провести процедуру регистрации, получения служебных ключей и формирования новых рабочих ключей.

Приложение 9 к Положению

ИНСТРУКЦИЯ ПО ДОКАЗАТЕЛЬСТВУ ПРИНАДЛЕЖНОСТИ ЭЦП ПРИ РАЗБОРЕ КОНФЛИКТНЫХ СИТУАЦИЙ


Для проведения разбора конфликтной ситуации необходимо иметь:
- Заверенный Удостоверяющим центром (УЦ) сертификат открытого ключа ЭЦП Пользователя, подписавшего документ, подлинность или авторство которого оспаривается.
- Файл, содержащий текст документа и ЭЦП его автора, в отношении которого возникает конфликтная ситуация.
Для разбора конфликтной ситуации необходимо выполнить следующие действия:
- Произвести операцию проверки подписи электронного документа, авторство подписи которого оспаривается на рабочем месте Администратора УЦ.
- Распечатать протокол проверки подписи.
- Распечатать сертификат открытого ключа ЭЦП из базы данных (реестра) Удостоверяющего Центра.
- Сравнить сертификат открытого ключа ЭЦП, представленного Пользователем, и распечатанный сертификат открытого ключа ЭЦП из базы данных Удостоверяющего Центра.
Авторство подписи под документом считается установленным, если совпадают открытые ключи ЭЦП представленного Пользователем сертификата и сертификат открытого ключа ЭЦП из базы данных Удостоверяющего Центра, а также наличие в протоколе проверки подписи Пользователя записи "Подпись верна".

Приложение 10 к Положению

                               АКТ
               УНИЧТОЖЕНИЯ КРИПТОГРАФИЧЕСКИХ КЛЮЧЕЙ
     Настоящий акт  составлен  о  том,  что  физически  уничтожены
ключевые носители (дискеты), содержащие криптографические ключи:
N Серийный номер ключа              Владелец ключа
1. _______________________________________________________________
2. _______________________________________________________________
3. _______________________________________________________________
4. _______________________________________________________________
     Копии ключевых носителей в количестве _____ экз. уничтожены.
     Сертификаты ключей переданы на архивное хранение.
     Владелец ключа _______________________________ (фамилия И.О.)
     Руководитель ИОГВ СПб ________________________ (фамилия И.О.)
     "___" ___________ 200_ г.
     М.П.