АДМИНИСТРАЦИЯ ЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА

ПОСТАНОВЛЕНИЕ

от 03 апреля 2008 года N 146-А

Об утверждении Положения об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте Ямало-Ненецкого автономного округа

____________________________________________________________________
Утратило силу на основании
постановления Правительства Ямало-Ненецкого автономного округа
от 18 сентября 2017 года N 991-П
____________________________________________________________________

В целях обеспечения функционирования инфраструктуры открытых ключей, а также с целью обеспечения правовых условий использования электронной цифровой подписи в системе юридически значимого защищённого электронного документооборота органов исполнительной власти Ямало-Ненецкого автономного округа Администрация Ямало-Ненецкого автономного округа постановляет:

1. Утвердить прилагаемое Положение об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте Ямало-Ненецкого автономного округа.

2. Возложить на департамент информационных технологий и связи Ямало-Ненецкого автономного округа функции уполномоченного органа в области использования электронной цифровой подписи в информационных системах органов исполнительной власти Ямало-Ненецкого автономного округа.

3. Возложить на государственное учреждение "Ресурсы Ямала" функции уполномоченного регионального удостоверяющего центра Ямало-Ненецкого автономного округа в области использования электронной цифровой подписи в информационных системах органов исполнительной власти Ямало-Ненецкого автономного округа.

4. Контроль за исполнением настоящего постановления возложить на заместителя Губернатора Ямало-Ненецкого автономного округа Кима А.М.

Губернатор

Ямало-Ненецкого автономного округа Ю.В. Неёлов

от 3 апреля 2008 г. N 146-А

Утверждено
постановлением Администрации
Ямало-Ненецкого автономного округа

ПОЛОЖЕНИЕ об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте Ямало-Ненецкого автономного округа

I. Общие положения

1.1. Положение об организации использования электронной цифровой подписи (далее - ЭЦП) и шифрования информации в электронном документообороте Ямало-Ненецкого автономного округа (далее - Положение) разработано в соответствии с федеральными законами от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 10 января 2002 года N 1-ФЗ "Об электронной цифровой подписи", во исполнение постановления Губернатора Ямало-Ненецкого автономного округа от 9 марта 2004 года N 71 "О создании Ямало-Ненецкого регионального удостоверяющего центра" и определяет:

порядок обеспечения правовых, организационных и технических условий, при соблюдении которых ЭЦП под электронным документом признаётся равнозначной собственноручной подписи в документе на бумажном носителе;

порядок предоставления уполномоченным должностным лицам органов исполнительной власти Ямало-Ненецкого автономного округа (далее - автономный округ), органов местного самоуправления, государственных и муниципальных учреждений и организаций автономного округа, должностным лицам иных организаций, включённых в систему юридически значимого защищённого электронного документооборота автономного округа (далее - СЮЗЗЭД ЯНАО или Система), независимо от их организационно-правовой формы, услуг по изготовлению ключей ЭЦП и сертификатов ключей подписи, а также дополнительных услуг, связанных с управлением сертификатами ключей подписи;

порядок организации криптографической защиты информации с использованием технологий ЭЦП и шифрования при обмене электронными документами, подготовленными и передаваемыми Пользователями в Системе;

процедуру подтверждения того, что электронный документ, полученный из Системы:

исходит от Пользователя Системы (подтверждение авторства документа);

не претерпел изменений после его подписания в процессе обработки, хранения и передачи информации (подтверждение целостности и подлинности документа);

порядок изготовления юридически значимых копий электронного документа на бумажном носителе.

1.2. Безопасность информации, циркулирующей в Системе, обеспечивается реализацией комплекса правовых, организационных, технических и иных мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования информации и т.п.

Предотвращение несанкционированного доступа к техническим средствам Системы достигается применением средств защиты информации, сертифицированных Государственной технической комиссией при Президенте Российской Федерации или Федеральной службой технического и экспортного контроля.

В качестве средства защиты при передаче электронных документов по общедоступным каналам связи в Системе используется их шифрование на индивидуальных ключах Пользователя.

Обеспечение подлинности информации и придание электронному документу юридической силы достигается за счёт использования в Системе ЭЦП, сформированной на индивидуальном ключе ЭЦП Пользователя, которая обеспечивает защиту содержания документа от искажения и аутентификацию лица, подписавшего документ.

Применяемые в Системе средства шифрования и ЭЦП (средства криптографической защиты информации) должны быть сертифицированы Федеральным агентством правительственной связи информации при Президенте Российской Федерации (ФАПСИ) или Федеральной службой безопасности Российской Федерации.

1.3. Информационная безопасность и юридическая значимость электронного документооборота в Системе обеспечивается соответствием принятых в системе процедур оформления взаимоотношений между всеми участниками Системы, включая Региональный удостоверяющий центр ЯНАО (РУЦ ЯНАО), создания, подписания, хранения и передачи электронных документов, подтверждения подлинности ЭЦП и разрешения конфликтов между всеми участниками, а также предусмотренных в системе правовых, организационных и технических мер защиты информации требованиям:

Гражданского кодекса Российской Федерации;

федеральных законов от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и от 10 января 2002 года N 1-ФЗ "Об электронной цифровой подписи";

постановлений Правительства Российской Федерации от 29 декабря 2007 года N 957 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами", от 31 августа 2006 года N 532 "О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации";

руководящего документа Государственной технической комиссии при Президенте Российской Федерации "Средства вычислительной техники. Защита средств вычислительной техники и автоматизированных систем от несанкционированного доступа";

Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утверждённого приказом ФСБ РФ от 9 февраля 2005 года N 66 и зарегистрированного в Министерстве юстиции Российской Федерации 3 марта 2005 года N 6382;

Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, объявленной приказом Федерального агентства правительственной связи при Президенте Российской Федерации от 13 июня 2001 года N 152 и зарегистрированного в Министерстве юстиции Российской Федерации 6 августа 2001 года N 2848.

Юридическая значимость, качество, надёжность и соответствие действующему законодательству Российской Федерации предоставляемых РУЦ ЯНАО с помощью СЮЗЗЭД ЯНАО услуг, используемых аппаратно-программных средств, оборудования и технологий, гарантируются соответствием требований действующих нормативных и правовых актов, государственных стандартов, а также наличием необходимых аттестатов, сертификатов и лицензий на их применение, выданных в установленном порядке.

1.4. Действие настоящего Положения распространяется на органы исполнительной власти автономного округа, органы местного самоуправления, государственных и муниципальных учреждений и организаций автономного округа, должностных лиц иных организаций, включённых в СЮЗЗЭД ЯНАО, независимо от их организационно-правовой формы, а также организации, чьё участие в документообороте с указанными органами регламентировано нормативно-правовыми актами.

II. Основные понятия

Абонентский пункт Участника Системы - комплекс аппаратно-программных средств, обеспечивающих Участнику (Пользователю) возможность ввода-вывода, передачи, обработки, контроля, защиты и идентификации конфиденциальной информации и персональных данных, циркулирующей в СЮЗЗЭД ЯНАО.

Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Авторство электронного документа - принадлежность корректной электронной цифровой подписи данного документа конкретному Пользователю СЮЗЗЭД ЯНАО.

Администратор безопасности (Абонентского пункта) - полномочное лицо, ответственное за обеспечение информационной безопасности в СЮЗЗЭД ЯНАО (Абонентском пункте Участника СЮЗЗЭД ЯНАО).

Аутентификация информации - установление подлинности информации исключительно на основе внутренней структуры самой информации, установление того факта, что полученная получателем информация была передана подписавшим е` законным отправителем и при этом не была искажена. Доказательная аутентификация информации осуществляется анализом (экспертизой) подписей должностных лиц и печатей на бумажных документах и проверкой правильности ЭЦП для электронных документов.

Безопасность информации - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита данных от утечки, утраты, несанкционированного уничтожения, искажения, подделки (модификации), копирования, блокирования и т.п.

Владелец сертификата ключа - физическое лицо, на имя которого РУЦ ЯНАО выдан сертификат ключа подписи и которое владеет соответствующим закрытым криптографическим ключом.

Внеплановая смена ключей - смена ключей в соответствии с документацией на СКЗИ, вызванная компрометацией ключей.

Документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими её идентифицировать.

Зашифровывание (шифрование) данных - процесс преобразования открытых данных в зашифрованные при помощи шифра.

Имитозащита - защита системы шифрованной связи от навязывания ложных данных.

Имитовставка - отрезок информации фиксированной длины, полученной по определённому правилу из открытых данных и ключа.

Индивидуальный закрытый ключ ЭЦП Пользователя - имеющийся только у Пользователя СЮЗЗЭД ЯНАО и хранящийся в тайне криптографический ключ, который используется им для формирования электронной цифровой подписи электронных документов. Закрытый ключ электронной цифровой подписи представляет собой уникальную последовательность символов, известную только владельцу сертификата ключа подписи, которая предназначена для создания в электронных документах электронной цифровой подписи с использованием средств ЭЦП.

Индивидуальный открытый ключ ЭЦП Пользователя - зарегистрированный и подписанный (сертифицированный) установленным порядком РУЦ ЯНАО, не являющийся закрытым и известный всем другим Пользователям СЮЗЗЭД ЯНАО криптографический ключ, однозначно связанный с индивидуальным закрытым ключом для формирования ЭЦП и предназначенный для подтверждения с использованием средств ЭЦП подлинности электронной цифровой подписи Пользователя под документом, позволяющей идентифицировать автора подписи и определить достоверность и целостность электронного документа, но не допускающей вычисления индивидуального закрытого ключа ЭЦП Пользователя.

Инсталляционные дискеты \ CD СКЗИ - лицензионно чистые носители информации (магнитные дискеты 3,5\" и/или CD), содержащие программы, реализующие сертифицированные средства криптографической защиты информации.

Криптографическая защита - защита данных при помощи криптографического преобразования данных.

Криптографическое преобразование - преобразование данных с использованием шифрования и (или) выработки имитовставки.

Компрометация ключа (ключевой информации) - факт (или подозрение на факт) раскрытия закрытой ключевой информации; - утрата доверия к тому, что используемые ключи обеспечивают подлинность, защищённость и безопасность информации.

Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Конфиденциальность информации - субъективно приписываемое информации свойство (характеристика), указывающее на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемое способностью системы сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на право доступа к ней.

Конфликтная ситуация - ситуация, при которой у Пользователей Системы возникает необходимость разрешения вопросов признания или непризнания авторства и/или подлинности электронных документов, обработанных средствами криптографической защиты информации.

Контроль доступа (управление доступом) - процесс ограничения доступа к ресурсам системы только разрешённым субъектам или объектам.

Корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определённый её владельцем или соглашением участников этой информационной системы.

Корректный электронный документ - электронный документ, прошедший процедуру проверки ЭЦП с подтверждением её правильности, а также документ, не имеющий искажений в тексте сообщения, не позволяющих понять его смысл.

Ключ (Криптографический ключ) - конкретное закрытое состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.

Некорректный электронный документ - электронный документ, не прошедший процедуры проверки ЭЦП, а также документ, имеющий в тексте сообщения искажения, не позволяющие понять его смысл.

Несанкционированный доступ к информации (НСД) - доступ к информации, нарушающий в результате случайных или преднамеренных действий Пользователей или других субъектов (с использованием штатных аппаратных, аппаратно-программных, программных средств автоматизированной системы) установленные правила разграничения доступа.

Носитель ключевой информации - физическое устройство (дискета, е- Token, смарт-карта и т.д.), содержащее ключи для выполнения криптографических процедур шифрования и расшифровывания, формирования электронной цифровой подписи абонента, а также необходимую служебную информацию.

Пароль - закрытая информация аутентификации, обычно представляющая собой строку знаков, которой должен обладать Пользователь для доступа к защищаемым данным и/или техническим средствам.

Плановая смена ключей - смена ключей с установленной в СЮЗЗЭД ЯНАО периодичностью, не вызванная компрометацией ключей.

Подлинник (оригинал) электронного документа - компьютерный файл, содержащий текст документа и подлинную электронную цифровую подпись, по крайней мере, одного из Пользователей СЮЗЗЭД ЯНАО.

Распечатка электронного документа на бумажном носителе - распечатка на бумажном носителе подлинника электронного документа, выполненная в соответствии с установленным в СЮЗЗЭД ЯНАО порядком, с реквизитами (фамилия, имя, отчество, должность и т.п.) всех Пользователей, подписавших электронный документ, заверенная их подписями, а со стороны РУЦ ЯНАО заверенная личной подписью уполномоченного лица государственного учреждения "Ресурсы Ямала" (далее - ГУ "Ресурсы Ямала") и печатью ГУ "Ресурсы Ямала".

Уполномоченное лицо - начальник отдела "РУЦ ЯНАО" ГУ "Ресурсы Ямала" либо лицо, его замещающее.

Подписание электронного документа (формирование электронной цифровой подписи) - процесс вычисления в соответствии с заданным алгоритмом по электронному документу и индивидуальному закрытому ключу Пользователя, предназначенному для формирования ЭЦП и имеющемуся лишь у автора, цифровой последовательности, называемой электронной цифровой подписью данного лица под данным электронным цифровым документом.

Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.

Расшифровывание данных - процесс преобразования зашифрованных данных в открытые при помощи шифра.

Реестр действующих сертификатов ключей подписей Пользователей - файл, доступный установленным порядком Пользователям СЮЗЗЭД ЯНАО, содержащий действующие на данный момент времени сертификаты ключей подписей со всеми их реквизитами и подписанный действующей электронной цифровой подписью должностного лица РУЦ ЯНАО.