Утверждаю Генеральный директор ООО «Кордон» ___________А.Е. Панченко РЕГЛАМЕНТ использования средств криптографической защиты информации при обмене электронными документами в автоматизированной информационной системе передачи и приема бухгалтерской отчетности и налоговых деклараций, поступающих от налогоплательщиков в электронном виде по каналам связи. В настоящем Регламенте под Пользователем понимается Заказчик, а под Специализированным оператором связи понимается Исполнитель по настоящему Договору. 1.Общие положения 1.1. Настоящий Регламент определяет: 1.1.1. Порядок организации криптографической защиты информации при обмене электронными документами в автоматизированной информационной системе передачи и приема бухгалтерской отчетности и налоговых деклараций, поступающих от налогоплательщиков в электронном виде по каналам связи (далее – Система). 1.1.2. Порядок подключения Пользователей к Системе. 1.1.3. Порядок обмена информацией между Участниками Системы; 1.2. Регламент - публичный, общедоступный документ, обязательный для исполнения всеми участниками Системы. 1.3. Пользователи Системы осуществляют обмен электронными документами в соответствии с настоящим Регламентом только между зарегистрированными участниками Системы по открытым каналам связи. 1.4. Пользователи соблюдают установленную последовательность действий при обмене электронными документами и проверке их подлинности. 1.5. Действия участников электронного документооборота при возникновении конфликтных ситуаций регламентируются Порядком разрешения конфликтных ситуаций (пункт 11 настоящего Регламента). 1.6. Пользователи используют для защиты информации сертифицированные, в порядке установленном законодательством Российской Федерации, средства криптографической защиты информации (далее – СКЗИ). 1.7. Используемые во взаимоотношениях между Пользователями электронные документы, заверенные электронной цифровой подписью (далее – ЭЦП), являются оригиналами, имеют равную юридическую силу с документами на бумажном носителе, имеющими соответствующие подписи и печати (независимо от того существуют такие документы на бумажном носителе или нет). И могут использоваться в качестве доказательств в суде, а также при рассмотрении споров в досудебном порядке. 1.8. Пользователь признает, что использование в Системе сертифицированных СКЗИ, которые реализуют ЭЦП и шифрование, достаточно для обеспечения конфиденциальности информационного взаимодействия пользователей, а также подтверждения того, что электронный документ: -исходит от Пользователя (подтверждение авторства документа); -не претерпел изменений при информационном взаимодействии Пользователя в рамках Системы(подтверждение целостности и подлинности документа). 1.9. Регламент начинает действовать в отношении Пользователя с момента заключения им Договора c Исполнителем. 2. Термины и сокращения, используемые в регламенте Владелец сертификата ключа - физическое лицо, на имя которого Исполнителем выдан сертификат ключа и которое владеет соответствующим закрытым криптографическим ключом. Договор – Договор, заключенный между Пользователем и Исполнителем. Договор определяет состав, порядок исполнения и стоимость услуг, оказываемых Пользователю Исполнителем. Заявка – Заявка Пользователя (налогоплательщика) на подключение к Системе передачи и приема бухгалтерской отчетности и налоговых деклараций, поступающих от налогоплательщиков в электронном виде по каналам связи Закрытые (секретные) ключи - криптографические ключи, которые хранятся Пользователями Системы в тайне. Закрытые ключи используются для формирования ЭЦП Пользователя и шифрования. Пользователь – юридическое или физическое лицо, участник информационного обмена электронными документами, заключивший с Исполнителем Договор, зарегистрированный в Системе и признающий данный Регламент. Ключевой носитель – отчуждаемый носитель (дискета, Token, и т.п.), содержащий один или несколько ключей. Компрометация ключа - утрата доверия к тому, что используемые закрытые ключи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся, включая, но, не ограничиваясь, следующие: утрата ключевых носителей; утрата ключевых носителей ключа с последующим обнаружением; увольнение сотрудников, имевших доступ к ключевым носителям; возникновение подозрений на утечку информации или ее искажение в Системе; нарушение целостности печатей на сейфах с ключевыми носителями, если используется процедура опечатывания; утрата ключей от сейфов (помещений) в момент нахождения в них ключевых носителей; утрата ключей от сейфов (помещений) в момент нахождения в них ключевых носителей с последующим обнаружением; доступ посторонних лиц к ключевой информации; случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе, когда ключевой носитель вышел из строя и не опровергнута возможность того что, данный факт произошел в результате несанкционированных действий злоумышленника). Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с действующим законодательством РФ, а также настоящим Регламентом. Конфликтная ситуация - ситуация, при которой у пользователей Системы возникает необходимость разрешить вопросы признания или непризнания авторства и/или подлинности электронных документов, обработанных средствами криптографической защиты информации. Криптографический ключ (ключ) - параметр шифра или его значение, определяющее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований. Некорректный электронный документ - электронный документ, не прошедший процедуры проверки ЭЦП, имеющий искажения в тексте сообщения, не позволяющие понять его смысл, или или содержащий реквизиты отправителя, не соответствующие реквизитам, закрепленным за владельцем СКП, подписью которого заверен документ. Несанкционированный доступ (НСД) к информации - доступ к информации лиц, не имеющих на то полномочий. Обработка информации – создание, хранение, передача, прием, преобразование и отображение информации. Система информационного обмена электронными документами с ЭЦП по телекоммуникационным каналам связи(далее - Система) - совокупность программных и аппаратных средств, обеспечивающих представление налоговой и бухгалтерской отчетности и информационных услуг в электронном виде по телекоммуникационным каналам связи, принадлежащая Участникам Системы, а также совокупность нормативных и организационнометодических документов, регламентирующих взаимоотношения Участников Системы. Участники Системы - налоговые органы, налогоплательщики и Исполнитель, осуществляющие обмен электронными документами с ЭЦП в Системе. Исполнитель (Специализированный оператор связи) – ООО «Кордон», имеющее в соответствии с законодательством Российской Федерации лицензии, дающие право осуществлять деятельность по обслуживанию средств, предназначенных для криптографической защиты конфиденциальной информации, а также выполнять функции Удостоверяющего центра. Открытый ключ ЭЦП (Открытый ключ подписи) - уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе. Открытый ключ Пользователя является действующим на момент подписания, если он зарегистрирован (сертифицирован), введен в действие и не включен в список отозванных сертификатов (СОС). Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством ЭЦП с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе. Средства криптографической защиты информации(СКЗИ) — сертифицированные в порядке, установленном законодательством Российской Федерации, аппаратные и (или) программные средства, обеспечивающие шифрование, контроль целостности и применение ЭЦП при обмене электронными документами в Системе и совместимые с СКЗИ, используемыми в системе ФНС России. Средства ЭЦП — сертифицированные в порядке, установленном законодательством Российской Федерации, аппаратные и(или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций: - создание ЭЦП в электронном документе с использованием закрытого ключа ЭЦП; - подтверждение с использованием открытого ключа ЭЦП подлинности ЭЦП в электронном документе; - создание закрытых и открытых ключей ЭЦП. Электронный документ (ЭД) с ЭЦП - документ, в котором информация представлена в электронно-цифровой форме и содержащий ЭЦП. Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Сертификат ключа подписи(СКП) - документ на бумажном носителе или электронный документ с ЭЦП уполномоченного лица удостоверяющего центра (Исполнителя), которые включают в себя открытый ключ (ЭЦП и/или шифрования) и которые выдаются удостоверяющим центром (Исполнителем) участнику информационной системы для подтверждения подлинности ЭЦП и идентификации владельца сертификата открытого ключа. СОС (Список отозванных сертификатов, Certificate Revocation List, CRL) – список отозванных сертификатов. Управление ключами - создание (генерация) ключей, их хранение, распространение, удаление (уничтожение), учет и применение, а также выдача и отзыв сертификатов открытых ключей в соответствии с политикой безопасности Удостоверяющего центра. Удостоверяющий центр (УЦ) – ООО «Кордон», выполняющая функции, предусмотренные Федеральным законом от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи». Доверенный удостоверяющий центр — УЦ ООО «Кордон», прошедший аккредитацию в сети доверенных УЦ в соответствии с Приказом ФНС России от 13.06.2006 N САЭ-3-27/346@ "Об организации сети доверенных удостоверяющих центров". 3. Общие вопросы организации защиты информации 3.1. Исполнитель осуществляет работы по управлению ключами в соответствии с положениями настоящего Регламента, на основании Договора и Заявки Пользователя. 3.2. Пользователь предоставляет Исполнителю право изготовить закрытые и открытые ключи ЭЦП и шифрования Пользователя на Автоматизированном рабочем месте Администратора Удостоверяющего центра (АРМ УЦ). АРМ УЦ расположен на территории Исполнителя. 3.3. Исполнитель предоставляет Пользователю возможность самостоятельной выработки закрытых ключей ЭЦП и шифрования в присутствии Исполнителя и под его непосредственным контролем с использованием технических средств размещенных на территории Исполнителя. 3.4. Исполнитель изготавливает закрытый и соответствующий ему открытый ключ ЭЦП Пользователя в электронном виде и вместе с ключевым носителем передает их ему. Также Исполнитель оформляет изготовленные СКП в форме документов на бумажных носителях в двух экземплярах, которые заверяются собственноручными подписями владельца сертификата ключа подписи и уполномоченного лица Исполнителя, а также печатью Исполнителя. Один экземпляр сертификата ключа на бумажном носителе выдается владельцу сертификата ключа, второй – остается у Исполнителя. 3.5. Исполнитель использует программные и технические средства генерации ключевой информации в неизменном виде по отношению к сертифицированному эталону. Исполнитель гарантирует отсутствие привнесенных не регламентированных процедур скрытого копирования индивидуальной секретной ключевой информации в используемых программных и технических средствах. 3.6. Пользователь получает доступ к реестру сертификатов других участников Системы и списку отозванных сертификатов (реестр сертификатов и СОС публикуется на сайте Исполнителя в Интернете по адресу: http://kordon- nalog.ru/ ). Примечание: Исполнитель принимает все возможные меры чтобы в кратчайшие сроки внести в СОС сертификаты недействительных (скомпрометированных) ключей. 3.7. Срок действия ключей ЭЦП Пользователя Системы составляет 1(один) год. Начало периода действия ключей Пользователя Системы исчисляется с даты и времени начала действия соответствующих им сертификатов ключей подписи. 3.8 Участники Системы обязаны обеспечить сохранность полученной в рамках Системы конфиденциальной информации в соответствии с действующим законодательством Российской Федерации. 4. Порядок подключения Пользователей к Системе 4.1. Для осуществления информационного обмена в рамках системы Пользователю необходимо: 4.1.1.ознакомиться с настоящим Регламентом и Регламентом обмена электронными документами с ЭЦП по телекоммуникационным каналам связи в унифицированной системе приема, хранения и первичной обработки налоговых деклараций и бухгалтерской отчетности, утвержденным приказом ФНС России от 12.12.2006 №САЭ-313/848@; 4.1.2.подать в налоговый орган Заявление о присоединении к Системе(Приложение 1 к Регламенту); 4.1.3.заполнить и заверить печатью налогового органа Заявку (если Пользователь сдает отчетность в нескольких налоговых инспекциях, Заявки необходимо заверить в каждой из них) на подключение к Системе(Приложение 2 к Регламенту); 4.1.4.заключить Договор с Исполнителем и произвести оплату; 4.1.5.получить СКП в Доверенном УЦ, предоставив: -заверенную налоговым органом Заявку на подключение к Системе(Приложение 2 к Регламенту); -данные на сотрудника Пользователя, ответственного за СКЗИ и Систему; -информацию о технических характеристиках компьютеров, на которые будет установлено СКЗИ; -доверенность по специальной форме (Приложение 3 к Регламенту) от имени каждого сотрудника организации, которому необходимо изготовить СКП(если СКП получает другое лицо); -документ, удостоверяющий личность лица, получающего ЭЦП и СКП. 4.2.сотрудники Пользователя (указанные в Заявке в качестве владельцев сертификатов ключей подписи) лично или их доверенные лица прибывают в УЦ: 4.2.1.получают СКЗИ и изготовленные в их присутствии ключи и сертификаты, 4.2.2.расписываются в журнале (или составляют акт) о получении: -СКЗИ; -криптографических ключей; -сертификатов ключей подписи. 4.2.3.расписываются в бумажных копиях сертификатов ключей подписи; 4.2.4.получают сертификат УЦ, 4.2.5.получают актуальный список отозванных сертификатов (СОС), 4.2.6.получают пароль для связи на случай компрометации ключей, 4.2.7.проходят инструктаж по правилам работы с СКЗИ, криптографическими ключами и сертификатами ключей. 5. Функции и задачи Исполнителя 5.1. Исполнитель предоставляет услуги Удостоверяющего центра (УЦ) всем Пользователям Системы, а именно: создает закрытый ключ и соответствующий ему открытый ключ ЭЦП по обращению Пользователя с гарантией сохранения в тайне закрытых ключей. Закрытый ключ передается владельцу сертификата ключа подписи на ключевом носителе; изготавливает сертификаты ключей подписи на основании надлежащим образом оформленной Заявки и всех необходимых документов; выдает сертификаты ключа подписи в форме документа на бумажном носителе и в электронном виде; обеспечивает уникальность открытых ключей в реестре сертификатов ключей и архиве УЦ; вносит сертификаты ключей подписи в реестр сертификатов ключей подписей не позднее даты начала их действия; предоставляет Пользователю доступ к реестру сертификатов ключей подписи и списку отозванных сертификатов; обеспечивает выпуск и обновление списка отозванных сертификатов с включением в него всех сертификатов скомпрометированных ключей подписи, с указанием даты и времени аннулирования сертификата ключа подписи. 5.2. Исполнитель уведомляет Пользователей о фактах, которые стали ему известны и которые существенным образом могут сказаться на возможности дальнейшего использования СКЗИ и сертификата ключа подписи. 5.3. Исполнитель обязан аннулировать сертификат ключа: по заявлению в письменной форме владельца сертификата ключа подписи; если Исполнителю стало достоверно известно о прекращении действия документа, на основании которого оформлен сертификат ключа. 5.4. Исполнитель обеспечивает хранение сертификата ключа подписи Пользователя в форме электронного документа после аннулирования сертификата ключа не менее трех лет. По истечении указанного срока хранения, сертификат ключа подписи исключается из реестра сертификатов ключей подписей и переводится в режим архивного хранения. Сертификат ключа подписи в форме документа на бумажном носителе хранится в порядке, установленном законодательством Российской Федерации об архивах и архивном деле. 5.5. Исполнитель участвует в работе Экспертной комиссии при рассмотрении спорных вопросов (конфликтных ситуаций). 6. Права и обязанности Пользователя 6.1 Соблюдать положения настоящего Регламента; 6.2. Пользователь обязан предоставить достоверную регистрационную и идентифицирующую его информацию в объеме, определенном положениями настоящего Регламента и Договором. 6.3. Пользователь, в соответствии с Договором, лицензионным соглашением и эксплуатационной документацией на СКЗИ, подготавливает и содержит в рабочем состоянии ПЭВМ и программное обеспечение, предназначенные для работы в Системе. Пользователю рекомендуется не использовать средств разработки и отладки программ на ПЭВМ, на которой установлено СКЗИ. 6.4. Пользователь обязан организовать режим функционирования рабочих мест таким образом, чтобы исключить возможность доступа к СКЗИ, несанкционированной модификации или использования СКЗИ лицами, не имеющими допуска к работе с СКЗИ, а также исключить возможность использования криптографических ключей не уполномоченными на то лицами. 6.5. Пользователь обязан при обработке электронных документов осуществлять их архивирование и хранить эти архивы в течение срока, установленного соответствующими законами и нормативными актами, для хранения бумажных документов. 6.6. Пользователь обязан при разрешении конфликтных ситуаций, связанных с установлением подлинности и/или авторства спорного документа или иных конфликтных ситуаций связанных с использованием ЭЦП, предоставлять Экспертной комиссии, создаваемой и действующей в соответствии с Приложением №3 к настоящему Регламенту, все документы и материалы, относящиеся к предмету конфликтной ситуации. 6.7. Замена криптографических ключей Пользователя производится по инициативе Пользователя, но не реже одного раза в год (отдельным решением могут быть установлены другие сроки) в следующем порядке: Пользователь направляет Исполнителю заявление на замену ключей (рекомендуется за месяц до истечения срока действия сертификата старого ключа); Исполнитель согласовывает с Пользователем время проведения работ; Пользователь оплачивает работы по изготовлению и выдаче новых сертификатов ключей подписи; работы по изготовлению новых ключей и выдаче сертификатов производит Исполнитель в соответствии с разделом 4 настоящего Регламента; Пользователь после получения новых ключей и сертификатов проверяет их работоспособность; старые ключи уничтожаются Пользователем самостоятельно путем физического уничтожения (или форматирования) ключевых носителей. Пользователь может не уничтожать старые ключи, обеспечив их надежное хранение (их недоступность для посторонних лиц) – при этом все риски, связанные с несанкционированным использованием старых ключей, ложатся на Пользователя. Факт уничтожения или сохранения старого ключа оформляется документом, который заверяется подписями владельца старого ключа, руководителя организации и печатью организации. 2-й экземпляр данного документа передается Исполнителю. Примечание: перед уничтожением старых ключей необходимо расшифровать все документы, зашифрованные с их использованием, иначе в дальнейшем использовать эти документы будет невозможно! 6.8. Пользователь не имеет право: принимать к исполнению электронные документы, заверенные ЭЦП, если: сертификат ключа подписи отправителя утратил силу (не действует, находится в СОС) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания; Примечание: перед принятием решения по исполнению полученного электронного документа, в зависимости от его важности, Пользователь самостоятельно определяет необходимость проверки нахождения сертификата ЭЦП отправителя в СОС. не подтверждена подлинность ЭЦП в электронном документе; ЭЦП используется не в соответствии со сведениями, указанными в сертификате ключа подписи; 6.9. Запрашивать подтверждение по полученным им электронным документам в случае возникновения сомнений. 6.10. Требовать от Исполнителя аннулирования своего сертификата открытого ключа в случае наступления событий, трактуемых как компрометация ключевой информации, а также в случае изменений сведений, указанных в СКП, либо в случае прекращения действия документа, на основании, которого он оформлен. 6.11. Требовать исполнения обязательств от других участников Системы по принятым ими электронным документам; 6.12. В случае возникновения конфликтной ситуации, связанной с установлением подлинности и/или авторства спорного документа, требовать разрешения указанных вопросов Экспертной комиссией в соответствии с согласованным порядком. 7. Действия Сторон при компрометации ключей 7.1. Исполнитель в момент генерации и сертификации ключей подписи передает Пользователю пароль для экстренной связи в случае компрометации закрытых ключей. Пользователь обеспечивает сохранение конфиденциальности пароля. 7.2. Пользователь в случае принятия решения о компрометации собственных криптографических ключей, обязан немедленно информировать Исполнителя по телефонным каналам связи с использованием устного пароля или в виде электронного сообщения, подписанного скомпрометированным ключом, о наступлении события, трактуемого как компрометация. 7.3. При компрометации ключа, Пользователь должен прекратить обмен электронными документами с другими пользователями. 7.4. Исполнитель, получивший сообщение о компрометации ключей Пользователя, должен убедиться в достоверности сообщения о компрометации (запросить пароль или факсимильное сообщение, заверенное подписью и печатью Пользователя) и после этого обязан немедленно аннулировать скомпрометированные ключи (занести их сертификаты в СОС). 7.5. Пользователь, объявивший о компрометации собственных криптографических ключей, в течение одного рабочего дня документально оформляет уведомление и направляет его Исполнителю. 7.6. Пользователь, допустивший компрометацию собственных криптографических ключей, несет все издержки, связанные с генерацией новых ключей, их сертификацией и вводом в действие. 8. Конфиденциальность информации 8.1 Исполнитель и Пользователи в процессе работы в Системе обязаны обеспечить сохранность конфиденциальной информации, полученной друг от друга в соответствии с действующим законодательством Российской Федерации. 8.2. Организатор системы обязан не разглашать (публиковать) информацию полученную от Пользователей, за исключением регистрационной информации включенной в изготовленные сертификаты Пользователей. 8.3. Порядок предоставления конфиденциальной информации налоговым, правоохранительным и судебным органам осуществляется в соответствии с действующим законодательством Российской Федерации. 9. Ответственность участников Системы 9.1. Пользователь несет ответственность за достоверность сведений, указанных им в Заявке (Приложение б/н к настоящему Договору), а также при внесении изменений в указанные сведения. 9.2. Пользователь несет ответственность за сохранность и правильность эксплуатации СКЗИ и своих закрытых ключей шифрования и ЭЦП. 9.3. В случае несвоевременного сообщения о факте компрометации ключей Пользователь, допустивший компрометацию ключей, несет ответственность в полном объеме за ущерб, причиненный им другим пользователям Системы. 9.4. Исполнитель не несет ответственности в случае нарушения пользователями Системы положений настоящего Регламента. 9.5. Исполнитель не несёт ответственности перед владельцами сертификатов ключей подписи (ключей шифрования) и лицами, использующими сертификаты ключей подписи (ключа шифрования) для проверки подписи и шифрования сообщений, а также перед третьими лицами за любые убытки, потери, иной ущерб, связанный с использованием сертификатов ключей подписи (ключа шифрования), независимо от суммы заключенных с использованием сертификатов ключей подписи (ключа шифрования) сделок и совершения ими иных действий, за исключением случаев нарушения Исполнителем обязательств, предусмотренных Регламентом и/или действующим законодательством Российской Федерации. 9.6. Претензии к Исполнителю ограничиваются указанием на несоответствие его действий настоящему Регламенту. 9.7. 3а неисполнение или ненадлежащее исполнение обязательств по настоящему Регламенту участники Системы несут ответственность в соответствии с Договором и действующим законодательством Российской Федерации. 9.8 Участники Системы освобождаются от ответственности за частичное или полное неисполнение условий Регламента в случае, если такое неисполнение явилось следствием непреодолимой силы, то есть чрезвычайных и неотвратимых обстоятельств, не зависящих от воли Участников, в том числе: принятия органами государственной власти, ФНС России, УФНС, законодательных и нормативных актов, распоряжений, приказов, препятствующих исполнению условий по настоящему Регламенту. 9.9 Участник, ссылающийся на обстоятельства непреодолимой силы, обязан незамедлительно(не позднее чем в 5дневный срок с момента наступления) известить другую сторону о наступлении этих обстоятельств. Извещение должно содержать данные о характере обстоятельств и оценку их влияния на возможность исполнения Участником своих обязательств. Несвоевременное извещение Участником о наступлении обстоятельств, освобождающих его от ответственности, влечет за собой утрату права для этого Участника ссылаться на эти обстоятельства. 10. Порядок взаимодействия Сторон при нештатных ситуациях, связанных с эксплуатацией СКЗИ 10.1. При возникновении нештатных ситуаций, таких, как выход из строя ключевого носителя, сбои и отказы в работе СКЗИ, сбои и отказы в работе средств ЭЦП и др., Пользователь обязан: - руководствоваться положениями и инструкциями эксплуатационной документации; - сообщить о возникшей ситуации Исполнителю; - выполнить указания Исполнителя, касающиеся выхода из данной внештатной ситуации. 11. Порядок разрешения конфликтных ситуаций, возникающих при информационном обмене в рамках Системы 11.1. Разрешая конфликтные ситуации при нарушении процедур криптографической защиты информации и/или установлении авторства и/или подлинности электронных документов, заверенных ЭЦП, Участники Системы исходят из того, что: - в соответствии с действующим законодательством документ в электронном виде, заверенный ЭЦП, является документом, имеющим юридическую силу, аналогичным бумажному, снабженному подписью и печатью; - подтверждением даты представления электронного документа является получение отправителем подтверждения отправки электронного документа; - используемая в соответствии с настоящим Регламентом система защиты информации, которая обеспечивается ЭЦП и шифрованием, достаточна для защиты информации от несанкционированного доступа, подтверждения целостности, подлинности и авторства электронных документов, а также для разрешения конфликтных ситуаций по ним; - Математические свойства алгоритма ЭЦП, реализованного в соответствии со стандартами Российской Федерации ГОСТ Р34.10-2001 (или ГОСТ Р34.10-94) и ГОСТ Р34.11-94, свидетельствуют о невозможности подделки значения ЭЦП любым лицом, не обладающим закрытым криптографическим ключом ЭЦП. 11.2. Участник Системы признает, что разбор конфликтной ситуации в отношении авторства, целостности и подлинности электронного документа заключается в доказательстве подписания конкретного электронного документа на конкретном ключе ЭЦП. 11.3. В соответствии с настоящим порядком подлежат разрешению конфликтные ситуации двух типов: - некорректность входящего электронного документа или ЭЦП(конфликтная ситуация типа 1); - для корректного электронного документа непризнание отправителем электронного документа факта отправки документа, а также его целостности и подлинности (конфликтная ситуация типа 2). Порядок разрешения конфликтных ситуаций (тип 1) Действия сторон в данной ситуации заключаются в следующем: - Принимающая сторона по телефону (или иным образом) запрашивает у отправляющей стороны информацию о документе, подлинность которого вызывает сомнения. При получении подтверждения об отправке указанного документа запрашивает повторное оформление и отправку данного документа. - Результатом повторной обработки принимающей стороной полученного документа может быть: 1.1. Проверка ЭЦП в повторно переданном документе дала отрицательный результат. В этом случае делается вывод о возможном нарушении действующего криптографического ключа либо о неисправности программноаппаратных средств одной из сторон. При этом необходимо: - проверить сертификаты открытых ключей; штатными средствами в соответствии с эксплуатационной документацией проверить целостность и неизменность программного обеспечения СКЗИ. Переустановить его в случае необходимости. Если положительный результат не достигнут, необходимо обратиться к Исполнителю. 1.2. Повторная проверка дала положительный результат - электронный документ корректен, ЭЦП верна. Порядок разрешения конфликтных ситуаций (тип 2) Если одна из сторон приходит к выводу, что другая сторона ссылается на документ, который не отправлялся и/или на измененный по содержанию документ, эта сторона немедленно извещает Исполнителя о наличии такой конфликтной ситуации. Исполнитель формирует Экспертную (согласительную) комиссию для разрешения конфликтной ситуации, в состав которой входят представители Исполнителя и Участники, вовлеченные в конфликтную ситуацию. Дополнительно могут привлекаться авторитетные независимые специалисты в области криптографической защиты информации. В ходе работы Экспертной комиссии рассматриваются все документы и материалы, относящиеся к предмету разногласий, и выполняется процедура проверки ЭЦП документа. Экспертной комиссии должны быть представлены следующие данные: - электронный документ с ЭЦП, авторство которого оспаривается; - архивные копии этого электронного документа с ЭЦП, переданные Участниками, вовлеченными в конфликтную ситуацию; - сертификаты ключей подписи; - дистрибутивы СКЗИ; - ключевые носители. При необходимости Экспертная комиссия имеет право провести экспертизу ПЭВМ Участников, вовлеченных в конфликтную ситуацию. Экспертиза проводится на Автоматизированном рабочем месте Исполнителя. Экспертная комиссия подтверждает или опровергает авторство Участника для документа, вызвавшего данную конфликтную ситуацию. Решение Экспертной комиссии оформляется в виде Протокола. 12. Инструкция по доказательству принадлежности ЭЦП при разборе конфликтных ситуаций Для проведения разбора конфликтной ситуации необходимы: Заверенный Удостоверяющим Центром (УЦ) сертификат открытого ключа ЭЦП Пользователя, подписавшего документ, подлинность или авторство которого оспаривается; Файл, содержащий текст документа и ЭЦП его автора, в отношении которого возникает конфликтная ситуация. Для разбора конфликтной ситуации необходимо выполнить следующие действия: Произвести операцию проверки подписи электронного документа, авторство подписи которого оспаривается на рабочем месте Администратора УЦ; Распечатать протокол проверки подписи; Распечатать сертификат открытого ключа ЭЦП из базы данных (реестра) Удостоверяющего Центра; Сравнить сертификат открытого ключа ЭЦП представленного Стороной и распечатанный сертификат открытого ключа ЭЦП из базы данных Удостоверяющего Центра; Авторство подписи под документом считается установленным, если совпадают открытые ключи ЭЦП представленного Стороной сертификата и сертификат открытого ключа ЭЦП из базы данных Удостоверяющего Центра, и в протоколе проверки подписи Пользователя сформирована запись “Подпись верна”.