Add to collection(s) Add to saved
  1. No category

Утверждаю Генеральный директор ООО «Кордон

advertisement 
Утверждаю
Генеральный директор
ООО «Кордон»
___________А.Е. Панченко
РЕГЛАМЕНТ
использования средств криптографической защиты информации при обмене электронными документами в
автоматизированной информационной системе передачи и приема бухгалтерской отчетности и налоговых деклараций,
поступающих от налогоплательщиков в электронном виде по каналам связи.
В настоящем Регламенте под Пользователем понимается Заказчик, а под Специализированным оператором связи
понимается Исполнитель по настоящему Договору.
1.Общие положения
1.1. Настоящий Регламент определяет:
1.1.1. Порядок организации криптографической защиты информации при обмене электронными документами в
автоматизированной информационной системе передачи и приема бухгалтерской отчетности и налоговых
деклараций, поступающих от налогоплательщиков в электронном виде по каналам связи (далее – Система).
1.1.2. Порядок подключения Пользователей к Системе.
1.1.3. Порядок обмена информацией между Участниками Системы;
1.2. Регламент - публичный, общедоступный документ, обязательный для исполнения всеми участниками Системы.
1.3. Пользователи Системы осуществляют обмен электронными документами в соответствии с настоящим Регламентом
только между зарегистрированными участниками Системы по открытым каналам связи.
1.4. Пользователи соблюдают установленную последовательность действий при обмене электронными документами и
проверке их подлинности.
1.5. Действия участников электронного документооборота при возникновении конфликтных ситуаций
регламентируются Порядком разрешения конфликтных ситуаций (пункт 11 настоящего Регламента).
1.6. Пользователи используют для защиты информации сертифицированные, в порядке установленном
законодательством Российской Федерации, средства криптографической защиты информации (далее – СКЗИ).
1.7. Используемые во взаимоотношениях между Пользователями электронные документы, заверенные электронной
цифровой подписью (далее – ЭЦП), являются оригиналами, имеют равную юридическую силу с документами на
бумажном носителе, имеющими соответствующие подписи и печати (независимо от того существуют такие документы
на бумажном носителе или нет). И могут использоваться в качестве доказательств в суде, а также при рассмотрении
споров в досудебном порядке.
1.8. Пользователь признает, что использование в Системе сертифицированных СКЗИ, которые реализуют ЭЦП и
шифрование, достаточно для обеспечения конфиденциальности информационного взаимодействия пользователей, а
также подтверждения того, что электронный документ:
-исходит от Пользователя (подтверждение авторства документа);
-не претерпел изменений при информационном взаимодействии Пользователя в рамках Системы(подтверждение
целостности и подлинности документа).
1.9. Регламент начинает действовать в отношении Пользователя с момента заключения им Договора c Исполнителем.
2. Термины и сокращения, используемые в регламенте
Владелец сертификата ключа - физическое лицо, на имя которого Исполнителем выдан сертификат ключа и которое
владеет соответствующим закрытым криптографическим ключом.
Договор – Договор, заключенный между Пользователем и Исполнителем. Договор определяет состав, порядок
исполнения и стоимость услуг, оказываемых Пользователю Исполнителем.
Заявка – Заявка Пользователя (налогоплательщика) на подключение к Системе передачи и приема бухгалтерской
отчетности и налоговых деклараций, поступающих от налогоплательщиков в электронном виде по каналам связи
Закрытые (секретные) ключи - криптографические ключи, которые хранятся Пользователями Системы в тайне.
Закрытые ключи используются для формирования ЭЦП Пользователя и шифрования.
Пользователь – юридическое или физическое лицо, участник информационного обмена электронными документами,
заключивший с Исполнителем Договор, зарегистрированный в Системе и признающий данный Регламент.
Ключевой носитель – отчуждаемый носитель (дискета, Token, и т.п.), содержащий один или несколько ключей.
Компрометация ключа - утрата доверия к тому, что используемые закрытые ключи недоступны посторонним лицам. К
событиям, связанным с компрометацией ключей, относятся, включая, но, не ограничиваясь, следующие:
утрата ключевых носителей;
утрата ключевых носителей ключа с последующим обнаружением;
увольнение сотрудников, имевших доступ к ключевым носителям;
возникновение подозрений на утечку информации или ее искажение в Системе;
нарушение целостности печатей на сейфах с ключевыми носителями, если используется процедура опечатывания;
утрата ключей от сейфов (помещений) в момент нахождения в них ключевых носителей;
утрата ключей от сейфов (помещений) в момент нахождения в них ключевых носителей с последующим
обнаружением;
доступ посторонних лиц к ключевой информации;
случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе, когда ключевой
носитель вышел из строя и не опровергнута возможность того что, данный факт произошел в результате
несанкционированных действий злоумышленника).
Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с действующим
законодательством РФ, а также настоящим Регламентом.
Конфликтная ситуация - ситуация, при которой у пользователей Системы возникает необходимость разрешить
вопросы признания или непризнания авторства и/или подлинности электронных документов, обработанных средствами
криптографической защиты информации.
Криптографический ключ (ключ) - параметр шифра или его значение, определяющее выбор одного преобразования
из совокупности всевозможных для данного алгоритма преобразований.
Некорректный электронный документ - электронный документ, не прошедший процедуры проверки ЭЦП, имеющий
искажения в тексте сообщения, не позволяющие понять его смысл, или или содержащий реквизиты отправителя, не
соответствующие реквизитам, закрепленным за владельцем СКП, подписью которого заверен документ.
Несанкционированный доступ (НСД) к информации - доступ к информации лиц, не имеющих на то полномочий.
Обработка информации – создание, хранение, передача, прием, преобразование и отображение информации.
Система информационного обмена электронными документами с ЭЦП по телекоммуникационным каналам
связи(далее - Система) - совокупность программных и аппаратных средств, обеспечивающих представление
налоговой и бухгалтерской отчетности и информационных услуг в электронном виде по телекоммуникационным
каналам связи, принадлежащая Участникам Системы, а также совокупность нормативных и организационнометодических документов, регламентирующих взаимоотношения Участников Системы.
Участники
Системы - налоговые органы, налогоплательщики и Исполнитель, осуществляющие обмен
электронными документами с ЭЦП в Системе.
Исполнитель (Специализированный оператор связи) – ООО «Кордон», имеющее в соответствии с
законодательством Российской Федерации лицензии, дающие право осуществлять деятельность по обслуживанию
средств, предназначенных для криптографической защиты конфиденциальной информации, а также выполнять функции
Удостоверяющего центра.
Открытый ключ ЭЦП (Открытый ключ подписи) - уникальная последовательность символов, соответствующая
закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и
предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности
электронной цифровой подписи в электронном документе. Открытый ключ Пользователя является действующим на
момент подписания, если он зарегистрирован (сертифицирован), введен в действие и не включен в список отозванных
сертификатов (СОС).
Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат
проверки соответствующим сертифицированным средством ЭЦП с использованием сертификата ключа подписи
принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и
отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.
Средства криптографической защиты информации(СКЗИ) — сертифицированные в порядке, установленном
законодательством Российской Федерации, аппаратные и (или) программные средства, обеспечивающие шифрование,
контроль целостности и применение ЭЦП при обмене электронными документами в Системе и совместимые с СКЗИ,
используемыми в системе ФНС России.
Средства ЭЦП — сертифицированные в порядке, установленном законодательством Российской Федерации,
аппаратные и(или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций:
- создание ЭЦП в электронном документе с использованием закрытого ключа ЭЦП;
- подтверждение с использованием открытого ключа ЭЦП подлинности ЭЦП в электронном документе;
- создание закрытых и открытых ключей ЭЦП.
Электронный документ (ЭД) с ЭЦП - документ, в котором информация представлена в электронно-цифровой форме
и содержащий ЭЦП.
Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного
электронного документа от подделки, полученный в результате криптографического преобразования информации с
использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а
также установить отсутствие искажения информации в электронном документе.
Сертификат ключа подписи(СКП) - документ на бумажном носителе или электронный документ с ЭЦП
уполномоченного лица удостоверяющего центра (Исполнителя), которые включают в себя открытый ключ (ЭЦП и/или
шифрования) и которые выдаются удостоверяющим центром (Исполнителем) участнику информационной системы для
подтверждения подлинности ЭЦП и идентификации владельца сертификата открытого ключа.
СОС (Список отозванных сертификатов, Certificate Revocation List, CRL) – список отозванных сертификатов.
Управление ключами - создание (генерация) ключей, их хранение, распространение, удаление (уничтожение), учет и
применение, а также выдача и отзыв сертификатов открытых ключей в соответствии с политикой безопасности
Удостоверяющего центра.
Удостоверяющий центр (УЦ) – ООО «Кордон», выполняющая функции, предусмотренные Федеральным законом от
10.01.2002 № 1-ФЗ «Об электронной цифровой подписи».
Доверенный удостоверяющий центр — УЦ ООО «Кордон», прошедший аккредитацию в сети доверенных УЦ в
соответствии с Приказом ФНС России от 13.06.2006 N САЭ-3-27/346@ "Об организации сети доверенных
удостоверяющих центров".
3. Общие вопросы организации защиты информации
3.1. Исполнитель осуществляет работы по управлению ключами в соответствии с положениями настоящего Регламента,
на основании Договора и Заявки Пользователя.
3.2. Пользователь предоставляет Исполнителю право изготовить закрытые и открытые ключи ЭЦП и шифрования
Пользователя на Автоматизированном рабочем месте Администратора Удостоверяющего центра (АРМ УЦ). АРМ УЦ
расположен на территории Исполнителя.
3.3. Исполнитель предоставляет Пользователю возможность самостоятельной выработки закрытых ключей ЭЦП и
шифрования в присутствии Исполнителя и под его непосредственным контролем с использованием технических средств
размещенных на территории Исполнителя.
3.4. Исполнитель изготавливает закрытый и соответствующий ему открытый ключ ЭЦП Пользователя в электронном
виде и вместе с ключевым носителем передает их ему. Также Исполнитель оформляет изготовленные СКП в форме
документов на бумажных носителях в двух экземплярах, которые заверяются собственноручными подписями владельца
сертификата ключа подписи и уполномоченного лица Исполнителя, а также печатью Исполнителя. Один экземпляр
сертификата ключа на бумажном носителе выдается владельцу сертификата ключа, второй – остается у Исполнителя.
3.5. Исполнитель использует программные и технические средства генерации ключевой информации в неизменном виде
по отношению к сертифицированному эталону. Исполнитель гарантирует отсутствие привнесенных не
регламентированных процедур скрытого копирования индивидуальной секретной ключевой информации в
используемых программных и технических средствах.
3.6. Пользователь получает доступ к реестру сертификатов других участников Системы и списку отозванных
сертификатов (реестр сертификатов и СОС публикуется на сайте Исполнителя в Интернете по адресу: http://kordon-
nalog.ru/ ).
Примечание: Исполнитель принимает все возможные меры чтобы в кратчайшие сроки внести в СОС сертификаты
недействительных (скомпрометированных) ключей.
3.7. Срок действия ключей ЭЦП Пользователя Системы составляет 1(один) год. Начало периода действия ключей
Пользователя Системы исчисляется с даты и времени начала действия соответствующих им сертификатов ключей
подписи.
3.8 Участники Системы обязаны обеспечить сохранность полученной в рамках Системы конфиденциальной
информации в соответствии с действующим законодательством Российской Федерации.
4. Порядок подключения Пользователей к Системе
4.1. Для осуществления информационного обмена в рамках системы Пользователю необходимо:
4.1.1.ознакомиться с настоящим Регламентом и Регламентом обмена электронными документами с ЭЦП по
телекоммуникационным каналам связи в унифицированной системе приема, хранения и первичной обработки
налоговых деклараций и бухгалтерской отчетности, утвержденным приказом ФНС России от 12.12.2006 №САЭ-313/848@;
4.1.2.подать в налоговый орган Заявление о присоединении к Системе(Приложение 1 к Регламенту);
4.1.3.заполнить и заверить печатью налогового органа Заявку (если Пользователь сдает отчетность в нескольких
налоговых инспекциях, Заявки необходимо заверить в каждой из них) на подключение к Системе(Приложение 2 к
Регламенту);
4.1.4.заключить Договор с Исполнителем и произвести оплату;
4.1.5.получить СКП в Доверенном УЦ, предоставив:
-заверенную налоговым органом Заявку на подключение к Системе(Приложение 2 к Регламенту);
-данные на сотрудника Пользователя, ответственного за СКЗИ и Систему;
-информацию о технических характеристиках компьютеров, на которые будет установлено СКЗИ;
-доверенность по специальной форме (Приложение 3 к Регламенту) от имени каждого сотрудника организации,
которому необходимо изготовить СКП(если СКП получает другое лицо);
-документ, удостоверяющий личность лица, получающего ЭЦП и СКП.
4.2.сотрудники Пользователя (указанные в Заявке в качестве владельцев сертификатов ключей подписи) лично или их
доверенные лица прибывают в УЦ:
4.2.1.получают СКЗИ и изготовленные в их присутствии ключи и сертификаты,
4.2.2.расписываются в журнале (или составляют акт) о получении:
-СКЗИ;
-криптографических ключей;
-сертификатов ключей подписи.
4.2.3.расписываются в бумажных копиях сертификатов ключей подписи;
4.2.4.получают сертификат УЦ,
4.2.5.получают актуальный список отозванных сертификатов (СОС),
4.2.6.получают пароль для связи на случай компрометации ключей,
4.2.7.проходят инструктаж по правилам работы с СКЗИ, криптографическими ключами и сертификатами ключей.
5. Функции и задачи Исполнителя
5.1. Исполнитель предоставляет услуги Удостоверяющего центра (УЦ) всем Пользователям Системы, а именно:
создает закрытый ключ и соответствующий ему открытый ключ ЭЦП по обращению Пользователя с гарантией
сохранения в тайне закрытых ключей. Закрытый ключ передается владельцу сертификата ключа подписи на
ключевом носителе;
изготавливает сертификаты ключей подписи на основании надлежащим образом оформленной Заявки и всех
необходимых документов;
выдает сертификаты ключа подписи в форме документа на бумажном носителе и в электронном виде;
обеспечивает уникальность открытых ключей в реестре сертификатов ключей и архиве УЦ;
вносит сертификаты ключей подписи в реестр сертификатов ключей подписей не позднее даты начала их действия;
предоставляет Пользователю доступ к реестру сертификатов ключей подписи и списку отозванных сертификатов;
обеспечивает выпуск и обновление списка отозванных сертификатов с включением в него всех сертификатов
скомпрометированных ключей подписи, с указанием даты и времени аннулирования сертификата ключа подписи.
5.2. Исполнитель уведомляет Пользователей о фактах, которые стали ему известны и которые существенным образом
могут сказаться на возможности дальнейшего использования СКЗИ и сертификата ключа подписи.
5.3. Исполнитель обязан аннулировать сертификат ключа:
по заявлению в письменной форме владельца сертификата ключа подписи;
если Исполнителю стало достоверно известно о прекращении действия документа, на основании которого
оформлен сертификат ключа.
5.4. Исполнитель обеспечивает хранение сертификата ключа подписи Пользователя в форме электронного документа
после аннулирования сертификата ключа не менее трех лет. По истечении указанного срока хранения, сертификат
ключа подписи исключается из реестра сертификатов ключей подписей и переводится в режим архивного хранения.
Сертификат ключа подписи в форме документа на бумажном носителе хранится в порядке, установленном
законодательством Российской Федерации об архивах и архивном деле.
5.5. Исполнитель участвует в работе Экспертной комиссии при рассмотрении спорных вопросов (конфликтных
ситуаций).
6. Права и обязанности Пользователя
6.1 Соблюдать положения настоящего Регламента;
6.2. Пользователь обязан предоставить достоверную регистрационную и идентифицирующую его информацию в
объеме, определенном положениями настоящего Регламента и Договором.
6.3. Пользователь, в соответствии с Договором, лицензионным соглашением и эксплуатационной документацией на
СКЗИ, подготавливает и содержит в рабочем состоянии ПЭВМ и программное обеспечение, предназначенные для
работы в Системе.
Пользователю рекомендуется не использовать средств разработки и отладки программ на ПЭВМ, на которой
установлено СКЗИ.
6.4. Пользователь обязан организовать режим функционирования рабочих мест таким образом, чтобы исключить
возможность доступа к СКЗИ, несанкционированной модификации или использования СКЗИ лицами, не имеющими
допуска к работе с СКЗИ, а также исключить возможность использования криптографических ключей не
уполномоченными на то лицами.
6.5. Пользователь обязан при обработке электронных документов осуществлять их архивирование и хранить эти архивы
в течение срока, установленного соответствующими законами и нормативными актами, для хранения бумажных
документов.
6.6. Пользователь обязан при разрешении конфликтных ситуаций, связанных с установлением подлинности и/или
авторства спорного документа или иных конфликтных ситуаций связанных с использованием ЭЦП, предоставлять
Экспертной комиссии, создаваемой и действующей в соответствии с Приложением №3 к настоящему Регламенту, все
документы и материалы, относящиеся к предмету конфликтной ситуации.
6.7. Замена криптографических ключей Пользователя производится по инициативе Пользователя, но не реже одного
раза в год (отдельным решением могут быть установлены другие сроки) в следующем порядке:
Пользователь направляет Исполнителю заявление на замену ключей (рекомендуется за месяц до истечения срока
действия сертификата старого ключа);
Исполнитель согласовывает с Пользователем время проведения работ;
Пользователь оплачивает работы по изготовлению и выдаче новых сертификатов ключей подписи;
работы по изготовлению новых ключей и выдаче сертификатов производит Исполнитель в соответствии с
разделом 4 настоящего Регламента;
Пользователь после получения новых ключей и сертификатов проверяет их работоспособность;
старые ключи уничтожаются Пользователем самостоятельно путем физического уничтожения (или
форматирования) ключевых носителей. Пользователь может не уничтожать старые ключи, обеспечив их надежное
хранение (их недоступность для посторонних лиц) – при этом все риски, связанные с несанкционированным
использованием старых ключей, ложатся на Пользователя. Факт уничтожения или сохранения старого ключа
оформляется документом, который заверяется подписями владельца старого ключа, руководителя организации и
печатью организации. 2-й экземпляр данного документа передается Исполнителю.
Примечание: перед уничтожением старых ключей необходимо расшифровать все документы, зашифрованные с их
использованием, иначе в дальнейшем использовать эти документы будет невозможно!
6.8. Пользователь не имеет право:
принимать к исполнению электронные документы, заверенные ЭЦП, если:
сертификат ключа подписи отправителя утратил силу (не действует, находится в СОС) на момент проверки или на
момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
Примечание: перед принятием решения по исполнению полученного электронного документа, в зависимости от его
важности, Пользователь самостоятельно определяет необходимость проверки нахождения сертификата ЭЦП
отправителя в СОС.
не подтверждена подлинность ЭЦП в электронном документе;
ЭЦП используется не в соответствии со сведениями, указанными в сертификате ключа подписи;
6.9. Запрашивать подтверждение по полученным им электронным документам в случае возникновения сомнений.
6.10. Требовать от Исполнителя аннулирования своего сертификата открытого ключа в случае наступления событий,
трактуемых как компрометация ключевой информации, а также в случае изменений сведений, указанных в СКП, либо в
случае прекращения действия документа, на основании, которого он оформлен.
6.11. Требовать исполнения обязательств от других участников Системы по принятым ими электронным документам;
6.12. В случае возникновения конфликтной ситуации, связанной с установлением подлинности и/или авторства
спорного документа, требовать разрешения указанных вопросов Экспертной комиссией в соответствии с согласованным
порядком.
7. Действия Сторон при компрометации ключей
7.1. Исполнитель в момент генерации и сертификации ключей подписи передает Пользователю пароль для экстренной
связи в случае компрометации закрытых ключей. Пользователь обеспечивает сохранение конфиденциальности пароля.
7.2. Пользователь в случае принятия решения о компрометации собственных криптографических ключей, обязан
немедленно информировать Исполнителя по телефонным каналам связи с использованием устного пароля или в виде
электронного сообщения, подписанного скомпрометированным ключом, о наступлении события, трактуемого как
компрометация.
7.3. При компрометации ключа, Пользователь должен прекратить обмен электронными документами с другими
пользователями.
7.4. Исполнитель, получивший сообщение о компрометации ключей Пользователя, должен убедиться в достоверности
сообщения о компрометации (запросить пароль или факсимильное сообщение, заверенное подписью и печатью
Пользователя) и после этого обязан немедленно аннулировать скомпрометированные ключи (занести их сертификаты в
СОС).
7.5. Пользователь, объявивший о компрометации собственных криптографических ключей, в течение одного рабочего
дня документально оформляет уведомление и направляет его Исполнителю.
7.6. Пользователь, допустивший компрометацию собственных криптографических ключей, несет все издержки,
связанные с генерацией новых ключей, их сертификацией и вводом в действие.
8. Конфиденциальность информации
8.1 Исполнитель и Пользователи в процессе работы в Системе обязаны обеспечить сохранность конфиденциальной
информации, полученной друг от друга в соответствии с действующим законодательством Российской Федерации.
8.2. Организатор системы обязан не разглашать (публиковать) информацию полученную от Пользователей, за
исключением регистрационной информации включенной в изготовленные сертификаты Пользователей.
8.3. Порядок предоставления конфиденциальной информации налоговым, правоохранительным и судебным органам
осуществляется в соответствии с действующим законодательством Российской Федерации.
9. Ответственность участников Системы
9.1. Пользователь несет ответственность за достоверность сведений, указанных им в Заявке (Приложение б/н к
настоящему Договору), а также при внесении изменений в указанные сведения.
9.2. Пользователь несет ответственность за сохранность и правильность эксплуатации СКЗИ и своих закрытых ключей
шифрования и ЭЦП.
9.3. В случае несвоевременного сообщения о факте компрометации ключей Пользователь, допустивший компрометацию
ключей, несет ответственность в полном объеме за ущерб, причиненный им другим пользователям Системы.
9.4. Исполнитель не несет ответственности в случае нарушения пользователями Системы положений настоящего
Регламента.
9.5. Исполнитель не несёт ответственности перед владельцами сертификатов ключей подписи (ключей шифрования) и
лицами, использующими сертификаты ключей подписи (ключа шифрования) для проверки подписи и шифрования
сообщений, а также перед третьими лицами за любые убытки, потери, иной ущерб, связанный с использованием
сертификатов ключей подписи (ключа шифрования), независимо от суммы заключенных с использованием
сертификатов ключей подписи (ключа шифрования) сделок и совершения ими иных действий, за исключением случаев
нарушения Исполнителем обязательств, предусмотренных Регламентом и/или действующим законодательством
Российской Федерации.
9.6. Претензии к Исполнителю ограничиваются указанием на несоответствие его действий настоящему Регламенту.
9.7. 3а неисполнение или ненадлежащее исполнение обязательств по настоящему Регламенту участники Системы несут
ответственность в соответствии с Договором и действующим законодательством Российской Федерации.
9.8 Участники Системы освобождаются от ответственности за частичное или полное неисполнение условий Регламента
в случае, если такое неисполнение явилось следствием непреодолимой силы, то есть чрезвычайных и неотвратимых
обстоятельств, не зависящих от воли Участников, в том числе: принятия органами государственной власти, ФНС
России, УФНС, законодательных и нормативных актов, распоряжений, приказов, препятствующих исполнению условий
по настоящему Регламенту.
9.9 Участник, ссылающийся на обстоятельства непреодолимой силы, обязан незамедлительно(не позднее чем в 5дневный срок с момента наступления) известить другую сторону о наступлении этих обстоятельств. Извещение должно
содержать данные о характере обстоятельств и оценку их влияния на возможность исполнения Участником своих
обязательств. Несвоевременное извещение Участником о наступлении обстоятельств, освобождающих его от
ответственности, влечет за собой утрату права для этого Участника ссылаться на эти обстоятельства.
10. Порядок взаимодействия Сторон при нештатных ситуациях, связанных с эксплуатацией СКЗИ
10.1. При возникновении нештатных ситуаций, таких, как выход из строя ключевого носителя, сбои и отказы в работе
СКЗИ, сбои и отказы в работе средств ЭЦП и др., Пользователь обязан:
- руководствоваться положениями и инструкциями эксплуатационной документации;
- сообщить о возникшей ситуации Исполнителю;
- выполнить указания Исполнителя, касающиеся выхода из данной внештатной ситуации.
11. Порядок разрешения конфликтных ситуаций, возникающих при информационном обмене в рамках Системы
11.1. Разрешая конфликтные ситуации при нарушении процедур криптографической защиты информации и/или
установлении авторства и/или подлинности электронных документов, заверенных ЭЦП, Участники Системы исходят из
того, что:
- в соответствии с действующим законодательством документ в электронном виде, заверенный ЭЦП, является
документом, имеющим юридическую силу, аналогичным бумажному, снабженному подписью и печатью;
- подтверждением даты представления электронного документа является получение отправителем подтверждения
отправки электронного документа;
- используемая в соответствии с настоящим Регламентом система защиты информации, которая обеспечивается ЭЦП и
шифрованием, достаточна для защиты информации от несанкционированного доступа, подтверждения целостности,
подлинности и авторства электронных документов, а также для разрешения конфликтных ситуаций по ним;
- Математические свойства алгоритма ЭЦП, реализованного в соответствии со стандартами Российской Федерации
ГОСТ Р34.10-2001 (или ГОСТ Р34.10-94) и ГОСТ Р34.11-94, свидетельствуют о невозможности подделки значения
ЭЦП любым лицом, не обладающим закрытым криптографическим ключом ЭЦП.
11.2. Участник Системы признает, что разбор конфликтной ситуации в отношении авторства, целостности и
подлинности электронного документа заключается в доказательстве подписания конкретного электронного документа
на конкретном ключе ЭЦП.
11.3. В соответствии с настоящим порядком подлежат разрешению конфликтные ситуации двух типов:
- некорректность входящего электронного документа или ЭЦП(конфликтная ситуация типа 1);
- для корректного электронного документа непризнание отправителем электронного документа факта отправки
документа, а также его целостности и подлинности (конфликтная ситуация типа 2).
Порядок разрешения конфликтных ситуаций (тип 1)
Действия сторон в данной ситуации заключаются в следующем:
- Принимающая сторона по телефону (или иным образом) запрашивает у отправляющей стороны информацию о
документе, подлинность которого вызывает сомнения. При получении подтверждения об отправке указанного
документа запрашивает повторное оформление и отправку данного документа.
- Результатом повторной обработки принимающей стороной полученного документа может быть:
1.1. Проверка ЭЦП в повторно переданном документе дала отрицательный результат. В этом случае делается
вывод о возможном нарушении действующего криптографического ключа либо о неисправности программноаппаратных средств одной из сторон. При этом необходимо:
- проверить сертификаты открытых ключей;
штатными
средствами в соответствии с эксплуатационной документацией проверить целостность и
неизменность программного обеспечения СКЗИ. Переустановить его в случае необходимости. Если положительный
результат не достигнут, необходимо обратиться к Исполнителю.
1.2. Повторная проверка дала положительный результат - электронный документ корректен, ЭЦП верна.
Порядок разрешения конфликтных ситуаций (тип 2)
Если одна из сторон приходит к выводу, что другая сторона ссылается на документ, который не отправлялся и/или
на измененный по содержанию документ, эта сторона немедленно извещает Исполнителя о наличии такой конфликтной
ситуации.
Исполнитель формирует Экспертную (согласительную) комиссию для разрешения конфликтной ситуации, в состав
которой входят представители Исполнителя и Участники, вовлеченные в конфликтную ситуацию. Дополнительно
могут привлекаться авторитетные независимые специалисты в области криптографической защиты информации.
В ходе работы Экспертной комиссии рассматриваются все документы и материалы, относящиеся к предмету
разногласий, и выполняется процедура проверки ЭЦП документа. Экспертной комиссии должны быть представлены
следующие данные:
- электронный документ с ЭЦП, авторство которого оспаривается;
- архивные копии этого электронного документа с ЭЦП,
переданные Участниками, вовлеченными в конфликтную ситуацию;
- сертификаты ключей подписи;
- дистрибутивы СКЗИ;
- ключевые носители.
При необходимости Экспертная комиссия имеет право провести экспертизу ПЭВМ Участников, вовлеченных в
конфликтную ситуацию.
Экспертиза проводится на Автоматизированном рабочем месте Исполнителя.
Экспертная комиссия подтверждает или опровергает авторство Участника для документа, вызвавшего данную
конфликтную ситуацию.
Решение Экспертной комиссии оформляется в виде Протокола.
12. Инструкция по доказательству принадлежности ЭЦП при разборе конфликтных ситуаций
Для проведения разбора конфликтной ситуации необходимы:
Заверенный Удостоверяющим Центром (УЦ) сертификат открытого ключа ЭЦП Пользователя, подписавшего
документ, подлинность или авторство которого оспаривается;
Файл, содержащий текст документа и ЭЦП его автора, в отношении которого возникает конфликтная ситуация.
Для разбора конфликтной ситуации необходимо выполнить следующие действия:
Произвести операцию проверки подписи электронного документа, авторство подписи которого оспаривается на
рабочем месте Администратора УЦ;
Распечатать протокол проверки подписи;
Распечатать сертификат открытого ключа ЭЦП из базы данных (реестра) Удостоверяющего Центра;
Сравнить сертификат открытого ключа ЭЦП представленного Стороной и распечатанный сертификат открытого
ключа ЭЦП из базы данных Удостоверяющего Центра;
Авторство подписи под документом считается установленным, если совпадают открытые ключи ЭЦП представленного
Стороной сертификата и сертификат открытого ключа ЭЦП из базы данных Удостоверяющего Центра, и в протоколе
проверки подписи Пользователя сформирована запись “Подпись верна”.
Related documents
Заявление на замену ключей в системе Клиент-Банк - ЭКСИ-Банк
Заявление на замену ключей в системе Клиент-Банк - ЭКСИ-Банк
Памятка пользователю Удостоверяющего центра InfoTrust
Памятка пользователю Удостоверяющего центра InfoTrust
Особенности правового регулирования электронного
Особенности правового регулирования электронного
2. Что такое информационная сфера?
2. Что такое информационная сфера?
Хотя письмо и было направлено на имя директора, штраф
Хотя письмо и было направлено на имя директора, штраф
Download
advertisement