ПРАВИТЕЛЬСТВО РЕСПУБЛИКИ САХА (ЯКУТИЯ)
ПОСТАНОВЛЕНИЕ
от 6 ноября 2006 года N 490
Об Удостоверяющем центре Республики Саха (Якутия) и о мерах по применению средств электронной подписи в органах исполнительной власти Республики Саха (Якутия)
____________________________________________________________________
Утратило силу на основании
постановления Правительства Республики Саха (Якутия)
от 1 ноября 2024 года N 528
____________________________________________________________________
В соответствии с федеральными законами от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и от 10 января 2002 года N 1-ФЗ "Об электронной цифровой подписи", Указом Президента Российской Федерации от 12 мая 2004 года N 611 "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена" (с изменениями, внесенными Указом Президента Российской Федерации от 22 марта 2005 года N 329), в целях обеспечения информационной безопасности при осуществлении обмена информацией в электронном виде посредством информационных систем, сетей и сетей связи, включая международную ассоциацию сетей Интернет, Правительство Республики Саха (Якутия)
постановляет:
1. Утвердить Регламент по применению средств электронной подписи в органах исполнительной власти Республики Саха (Якутия) согласно приложению к настоящему постановлению.
2. Функции Удостоверяющего центра органов исполнительной власти Республики Саха (Якутия) в области использования электронной подписи возложить на государственное учреждение Национальное агентство "Информационный центр при Президенте Республики Саха (Якутия)"
3. Органам исполнительной власти Республики Саха (Якутия), а также юридическим лицам, участвующим в информационном обмене с органами исполнительной власти Республики Саха (Якутия), в срок до 1 июля 2007 года организовать внедрение системы электронного информационного обмена с использованием сертифицированных средств защиты информации и электронной подписи, обеспечивающих ее целостность и доступность, в том числе криптографических для подтверждения достоверности информации.
4. Финансирование работ по изготовлению сертификатов ключей электронных подписей, организации закупок сертифицированных средств защиты информации и носителей ключей подписей осуществить:
для уполномоченных лиц государственных учреждений Республики Саха (Якутия) за счет бюджетных ассигнований, выделяемых на содержание этих учреждений;
для уполномоченных лиц иных учреждений и организаций за счет собственных средств этих учреждений и организаций.
5. Опубликовать настоящее постановление в республиканских газетах "Саха сирэ" и "Якутия".
6. Контроль исполнения настоящего постановления возложить на заместителя Председателя Правительства Республики Саха (Якутия) А.Н.Алексеева.
Председатель Правительства
Республики Саха (Якутия)
Е.Борисов
УТВЕРЖДЕН
постановлением Правительства
Республики Саха (Якутия)
от 6 ноября 2006 года N 490
РЕГЛАМЕНТ
по применению средств электронной подписи в системе электронного информационного обмена органов исполнительной власти Республики Саха (Якутия)
I. Введение
Настоящий Регламент по применению средств электронной подписи в системе электронного информационного обмена (Система) органов исполнительной власти Республики Саха (Якутия), (Организаторы), разработан в соответствии с требованиями законодательства Российской Федерации, нормативных правовых актов Российской Федерации, осуществляющих правовое регулирование отношений в области использования электронной подписи (ЭП), а также учредительных и иных документов Организаторов и определяет общий порядок осуществления организационно-технических мероприятий по использованию средств ЭП в информационной системе органов исполнительной власти Республики Саха (Якутия).
Регламент, при подключении к Системе, может применяться территориальными органами федеральных органов исполнительной власти, органами местного самоуправления, организациями, финансируемыми из республиканского бюджета Республики Саха (Якутия), а также учреждениями, организациями, юридическими лицами (иные организации), участвующими в электронном информационном обмене с органами исполнительной власти Республики Саха (Якутия).
Органы исполнительной власти Республики Саха (Якутия) и иные организации (Участники), участвующие в Системе, являются Организаторами и Участниками (Стороны) и не имеют права на предоставление средств криптографической защиты информации и услуг в области шифрования информации третьим лицам.
Функции Удостоверяющего центра в рамках Системы выполняются Удостоверяющим Центром Республики Саха (Якутия) - структурным подразделением Государственного учреждения Национального агентства "Информационный центр при Президенте Республики Саха (Якутия)" (УЦ РС(Я)).
Участники Системы при передаче информации по каналам связи обязаны в соответствии с действующим в сфере защиты информации законодательством Российской Федерации использовать сертифицированные средства криптографической защиты информации (СКЗИ) и ЭЦП, а также средства защиты информации (СЗИ), позволяющие идентифицировать владельца сертификата ключа ЭП и устанавливать отсутствие ее искажения.
Используемые во взаимоотношениях между Участниками электронные документы (ЭД), заверенные ЭП, являются оригиналами, имеют юридическую силу, подлежат хранению в хранилище юридически значимых электронных документов и могут использоваться в качестве доказательств в суде, а также при рассмотрении споров в досудебном порядке.
Участник признает, что использование в Системе сертифицированных СКЗИ, обеспечивающих применение ЭП и шифрование информации, является необходимым условием обеспечения конфиденциальности информационного взаимодействия Участников, а также подтверждения того, что информация, представленная в электронно-цифровой форме (ЭИ), заверенная ЭП:
исходит от Участника (подтверждение авторства документа);
не претерпела изменений при информационном взаимодействии Участника (подтверждение целостности и подлинности документа).
Регламент начинает действовать в отношении Участника с момента заключения им Договора c УЦ РС(Я).
II. Термины и определения
Абонент (владелец сертификата ключа подписи) - уполномоченное лицо Участника, на имя которого Удостоверяющим центром издан сертификат ключа подписи, и которое владеет соответствующим закрытым ключом ЭП, позволяющим присваивать свою электронную подпись электронной информации, в том числе электронному документу (подписывать ЭД).
Автоматизированное рабочее место Системы (АРМ) - комплекс программных и аппаратных средств, используемых Участниками для электронного информационного обмена, в том числе в виде юридически значимыми ЭД.
Администратор АРМ - уполномоченное лицо, назначенное Участником для организации взаимодействия с Организатором и Участниками по обеспечению надежной и бесперебойной эксплуатации программно-технических средств АРМ.
Администратор ИБ - уполномоченное лицо, назначенное Участником для осуществления политики ИБ, обеспечения защиты информации и взаимодействия с УЦ РС(Я), Организатором и Участниками по вопросам ИБ.
Аутентификация информации - подтверждение подлинности и целостности информации, содержащейся в документе. Доказательная аутентификация информации осуществляется анализом (экспертизой) подписей должностных лиц и печатей на бумажных документах или проверкой правильности ЭП.
Договор - договор, заключаемый с удостоверяющим центром, в соответствии с которым он предоставляет услуги по изданию и обслуживанию сертификатов ключей ЭП.
Закрытый (криптографический) ключ ЭП - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в ЭИ, в т.ч. в ЭД, ЭП с использованием средств ЭП. Закрытый ключ хранится на ключевом носителе.
Запрос на сертификат - сообщение, содержащее необходимую информацию для получения сертификата.
Запрос на отзыв сертификата - сообщение, содержащее необходимую информацию для отзыва сертификата.
Информационная безопасность (ИБ) - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п.
Ключевой носитель - отчуждаемый электронный носитель (Сертифицированный электронный USB ключ, сертифицированная смарт-карта и т.п.).
Компрометация ключа - утрата доверия к тому, что используемые секретные ключи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся, включая, но, не ограничиваясь, следующие:
утрата ключевых носителей;
утрата ключевых носителей с последующим обнаружением;
увольнение сотрудников, имевших доступ к ключевым носителям;
возникновение подозрений на утечку информации или ее искажение в Системе;
нарушение целостности печатей на сейфах с ключевыми носителями, если используется процедура опечатывания;
утрата ключей от сейфов (помещений) в момент нахождения в них ключевых носителей;
утрата ключей от сейфов (помещений) в момент нахождения в них ключевых носителей с последующим обнаружением;
доступ посторонних лиц к информации на ключевом носителе, в том числе к пин-коду;
случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе, когда ключевой носитель вышел из строя и не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника).
Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с действующим законодательством РФ.
Конфликтная ситуация - ситуация, при которой у участников Системы возникает необходимость разрешить вопросы признания или непризнания авторства и/или подлинности ЭД, обработанных СКЗИ.
Корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.
Несанкционированный доступ (НСД) к информации - доступ к информации, нарушающий установленные правила ее получения.
Организатор информационного обмена (Организатор) - юридическое лицо, в том числе имеющее Систему, заключившее Договор с УЦ, организующее подключение к Системе Участников, на основании ранее заключенных соглашений об обмене информацией между ними.
Открытый ключ ЭП - уникальная последовательность символов, соответствующая закрытому ключу, доступная любому Участнику информационной системы и предназначенная для подтверждения подлинности ЭП. Принадлежность открытого ключа ЭП Участнику Системы подтверждается ее Сертификатом.
Подтверждение подлинности ЭП - положительный результат проверки ЭП ее принадлежности владельцу сертификата ключа подписи (идентификация) и отсутствия искажений в подписанной с применением данной ЭП электронной информации, в том числе в электронном документе.
Регламент - документ, содержащий описание процедур и действий, которые Организатор и Участник используют в системе электронного информационного обмена с применением средств ЭП.
Сертификат ключа подписи (Сертификат) - документ на бумажном носителе или электронный документ с электронной подписью уполномоченного лица УЦ, включающий в себя открытый ключ ЭП, издаваемый соответствующим УЦ для подтверждения подлинности ЭП и идентификации владельца ее сертификата (выдается владельцу).
Система электронного информационного обмена (Система) - совокупность программных средств и технического оборудования, обеспечивающая процесс электронного обмена информацией, в том числе в виде юридически значимых ЭД в рамках корпоративной информационной системы Организатора и Участника.
СОС (Список отозванных сертификатов, Certificate Revocation List, CRL) - список отозванных сертификатов.
Средства защиты информации от несанкционированного доступа (СЗИ от НСД) - программное, техническое или программно-техническое средство, направленное на предотвращение или существенное затруднение от НСД.
Средства криптографической защиты информации (СКЗИ) - совокупность программно-технических средств, осуществляющий криптографическое преобразование информации для обеспечения ее безопасности.
Средства ЭП - аппаратные и (или) программные средства, предназначенные для создания ЭП с использованием закрытого ключа, подтверждения с использованием открытого ключа ЭП ее подлинности, создания закрытых и открытых ключей ЭП.
Удостоверяющий центр (УЦ) - юридическое лицо, выполняющее функции, предусмотренные N 1-ФЗ от 10 января 2002 года "Об электронной цифровой подписи".
Уполномоченное лицо УЦ - сотрудник УЦ, наделенный правом заверения Сертификатов, изданных УЦ.
Участник Системы (Участник) - юридическое или физическое лицо, заключивший с УЦ Договор, признающий данный Регламент и включенный в систему электронного информационного обмена.
Электронный документ (далее - ЭД) - документ, в котором информация представлена в электронно-цифровой форме, заверенная ЭП, является оригиналом, имеет юридическую силу, подлежит хранению в хранилище юридически значимых электронных документов и может использоваться в качестве доказательств в суде, а также при рассмотрении споров в досудебном порядке.
Электронная информация (ЭИ) - совокупность сведений, показателей, данных, требуемых для описания того или иного явления или процесса, представленная в электронно-цифровой форме, в том числе ЭД.
Электронная цифровая подпись (далее - ЭП) - реквизит ЭД, предназначенный для защиты данного ЭД от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в ЭД. В соответствии с ФЗ-1 "Об ЭЦП" признается аналогом собственноручной подписи.
III. Основные положения
3.1. Электронный информационный обмен между Организатором и Участниками регулируется следующими документами:
настоящим Регламентом;
соглашениями об обмене информацией, заключаемыми между Организатором и Участниками (далее - Соглашение);
договором с УЦ РС(Я);
технической документацией к АРМ Участника, включая документацию на СКЗИ;
действующими нормативными правовыми актами Российской Федерации и Республики Саха (Якутия).
3.2. Участники при регулировании отношений, возникающих при эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, руководствуются Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, а также нормативными правовыми актами, устанавливающими режим защиты, хранения и использования информации ограниченного распространения (доступа).
3.3. УЦ осуществляет работы по управлению ключами в соответствии с Федеральным законом РФ "Об электронной цифровой подписи", положениями настоящего Регламента и на основании Договора между УЦ и Участником.
