Администрация Санкт-Петербурга
КОМИТЕТ ПО ИНФОРМАТИЗАЦИИ И СВЯЗИ
РАСПОРЯЖЕНИЕ
от 24 июля 2002 года N 1-р
Об утверждении Положения об организации использования
электронной цифровой подписи и шифрования информации
в электронном документообороте исполнительных органов
государственной власти Санкт-Петербурга
____________________________________________________________________
Утратило силу с 21 июля 2006 года на основании
распоряжения Комитета по информатизации и связи Санкт-Петербурга
от 21 июля 2006 года N 11-р
(опубликовано не было)
____________________________________________________________________
В соответствии с пунктом 3.1 распоряжения Администрации Санкт-Петербурга от 15.05.2002 N 751-ра "Об организации использования электронной цифровой подписи в электронных документах, хранимых, обрабатываемых и передаваемых в автоматизированных информационных и телекоммуникационных сетях и системах исполнительных органов государственной власти Санкт-Петербурга" и согласно статье 47 Устава Санкт-Петербурга:
1. Утвердить Положение об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте исполнительных органов государственной власти Санкт-Петербурга (далее - Положение).
2. Отделу информационной безопасности, противодействия техническим разведкам и развития системы защиты информации:
2.1. До 01.11.2002 провести инструктаж специалистов подразделений информатизации исполнительных органов государственной власти Санкт-Петербурга, ответственных за использование электронной цифровой подписи и шифрования информации, и внедрить требования Положения в электронный документооборот исполнительных органов государственной власти Санкт-Петербурга.
2.2. Довести настоящее распоряжение с Положением до всех исполнительных органов государственной власти Санкт-Петербурга, других организаций, включенных в Реестр сертификатов ключей подписей уполномоченных лиц исполнительных органов государственной власти Санкт-Петербурга.
3. Контроль за выполнением распоряжения оставляю за собой.
Председатель Комитета
А.В.Спиридонов
Внесен в Реестр
нормативных правовых актов
Санкт-Петербурга
27 сентября 2002 года
Регистрационный N 1044
УТВЕРЖДЕНО
распоряжением Комитета
по информатизации и связи
от 24.07.2002 N 1-р
Положение
об организации использования электронной цифровой подписи и
шифрования информации в электронном документообороте
исполнительных органов государственной власти Санкт-Петербурга
1. Общие положения
1.1. Положение об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте исполнительных органов государственной власти Санкт-Петербурга (далее - Положение) разработано в соответствии с Федеральным законом "Об информации, информатизации и защите информации" и Федеральным законом "Об электронной цифровой подписи", во исполнение требований распоряжения Администрации Санкт-Петербурга от 15.05.2002 N 751-ра "Об организации использования электронной цифровой подписи в электронных документах, хранимых, обрабатываемых и передаваемых в автоматизированных информационных и телекоммуникационных сетях и системах исполнительных органов государственной власти Санкт-Петербурга" и определяет:
1.1.1. Порядок обеспечения правовых условий, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
1.1.2. Порядок организации выдачи сертификатов ключей подписей уполномоченным лицам исполнительных органов государственной власти Санкт-Петербурга (далее - ИОГВ СПб), использующих электронную цифровую подпись.
1.1.3. Порядок организации криптографической защиты информации при обмене электронными документами, подготовленными и передаваемыми Пользователями в системе электронного документооборота исполнительных органов государственной власти Санкт-Петербурга (далее - Система).
1.1.4. Процедуру подтверждения того, что электронный документ:
- исходит от Пользователя Системы (подтверждение авторства документа);
- не претерпел изменений при информационном взаимодействии (подтверждение целостности и подлинности документа).
1.2. Пользователи Системы осуществляют:
1.2.1. Обмен электронными документами по открытым каналам связи в рамках Системы и только между зарегистрированными участниками Системы.
1.2.2. Соблюдение установленной последовательности действий при обмене электронными документами и проверке их подлинности.
1.2.3. В соответствии с Порядком разрешения конфликтных ситуаций, возникающих в ходе осуществления электронного документооборота с использованием электронной цифровой подписи (далее - ЭЦП), согласно приложению 8.
1.2.4. Использование для защиты информации при подготовке и обработке документов в электронной форме сертифицированных органами Федерального агентства правительственной связи и информации (далее - ФАПСИ) средств криптографической защиты информации (далее - СКЗИ).
1.3. Схема ЭЦП, процессы формирования и проверки ЭЦП под заданным сообщением (документом), передаваемым по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения, определяются ГОСТ Р 34.10-2001 и Р 34.10-94 "Информационная технология. Криптографическая информация. Процессы формирования и проверки электронной цифровой подписи" и ГОСТ Р 34.11-94 "Информационная технология. Криптографическая информация. Функции хеширования".
2. Термины и сокращения, используемые в Положении
Авторство документа - принадлежность документа одному из участников (абонентов) системы электронного документооборота. Авторство документа определяется путем аутентификации содержащейся в нем информации.
Аутентификация информации - установление подлинности и целостности информации, содержащейся в документе. Аутентификация может осуществляться как на основе структуры и содержания документа или его реквизитов, так и путем реализации криптографических алгоритмов преобразования информации. Доказательная аутентификация информации осуществляется анализом (экспертизой) подписей должностных лиц и печатей на бумажных документах и проверкой правильности ЭЦП для электронных документов при использовании сертифицированных органами ФАПСИ средств криптографической защиты информации.
Владелец сертификата ключа - физическое лицо, на имя которого Организатором Системы выдан сертификат ключа и которое владеет соответствующим закрытым криптографическим ключом.
Внеплановая смена ключей - смена ключей в соответствии с документацией на СКЗИ, вызванная компрометацией ключей.
Зарегистрированный (сертифицированный) открытый ключ - открытый ключ, подписанный ЭЦП Организатора Системы и подтвержденный сертификатом открытого ключа.
Компрометация ключа - утрата доверия к тому, что используемые секретные ключи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся следующие ситуации:
- утрата ключевых дискет или иных носителей ключа;
- утрата ключевых дискет или иных носителей ключа с последующим обнаружением;
- увольнение сотрудников, имевших доступ к ключевой информации;
- возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;
- нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура опечатывания сейфов;
- утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;
- утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;
- доступ посторонних лиц к ключевой информации.
Конфиденциальность информации - субъективно определяемая характеристика информации, означающая необходимость введения ограничений на круг лиц, имеющих к ней доступ.
Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с действующим законодательством Российской Федерации и Санкт-Петербурга, нормативными актами Администрации и Правительства Санкт-Петербурга, а также настоящим Положением.
Конфликтная ситуация - ситуация, при которой у Пользователей Системы возникает необходимость разрешения вопросов признания или непризнания авторства и/или подлинности электронных документов, обработанных средствами криптографической защиты информации.
Корректный электронный документ - электронный документ, прошедший процедуру проверки ЭЦП с подтверждением ее правильности, а также документ, не имеющий искажений в тексте сообщения, не позволяющих понять его смысл.
Криптографическая защита - защита информации от ее несанкционированной модификации и доступа посторонних лиц при помощи алгоритмов криптографического преобразования.
Криптографический ключ (ключ) - параметр шифра или его значение, определяющее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.
Некорректный электронный документ - электронный документ, не прошедший процедуры проверки ЭЦП, а также документ, имеющий искажения в тексте сообщения, не позволяющие понять его смысл.
Несанкционированный доступ к информации - доступ к информации лиц, не имеющих на то полномочий.
Обработка информации - создание, хранение, передача, прием, преобразование и отображение информации.
Организатор Системы - выбранная на конкурсной основе организация, имеющая в соответствии с федеральными законами "О лицензировании отдельных видов деятельности" и "Об электронной цифровой подписи" лицензии ФАПСИ, дающие право осуществлять деятельность по обслуживанию шифровальных средств, предназначенных для криптографической зашиты конфиденциальной информации, а также выполнять функции Удостоверяющего центра.
Открытый ключ ЭЦП - уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому Пользователю Системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе. Открытый ключ Пользователя является действующим на момент подписания, если он зарегистрирован (сертифицирован) и введен в действие.
Открытый ключ шифрования - криптографический ключ, предназначенный для шифрования разового (сеансового) ключа с целью его передачи адресату по открытым каналам связи. Открытые ключи шифрования могут быть известны всем Пользователям Системы.
Плановая смена ключей - смена ключей, не вызванная компрометацией ключей, в соответствии с эксплуатационной документацией на СКЗИ, с периодичностью, согласованной с Пользователем.
Структурное подразделение - отдел информационной безопасности, противодействия техническим разведкам и развития системы защиты информации Комитета по информатизации связи, исполняющего функции уполномоченного исполнительного органа государственной власти Санкт-Петербурга (далее - УИОГВ СПб), обеспечивающего правовое регулирование и порядок организации выдачи и отзыва сертификатов открытых ключей.
Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.
Пользователь Системы - участник информационного обмена электронными документами, зарегистрированный в Системе, признающий данное Положение.
Расшифрование - процесс преобразования шифрованной информации в открытую при помощи шифра.
Сертификат открытого ключа - документ на бумажном носителе или электронный документ с ЭЦП уполномоченного лица Удостоверяющего центра (Организатора Системы), который включает в себя открытый ключ (ЭЦП и/или шифрования) и который выдается Удостоверяющим центром (Организатором Системы) участнику информационной системы для подтверждения подлинности открытого ключа и идентификации владельца сертификата открытого ключа.
Секретные (закрытые) ключи - криптографические ключи, которые хранятся у Пользователя Системы в тайне. Секретные ключи используются для шифрования документов и формирования ЭЦП Пользователя.
СОС - список отозванных сертификатов.
Управление ключами - создание (генерация) ключей, их хранение, распространение, удаление (уничтожение), учет и применение в соответствии с настоящим Положением.
Шифрование - процесс преобразования открытой информации с целью сохранения ее в тайне от посторонних лиц при помощи некоторого алгоритма, называемого шифром. Для шифрования информации используется алгоритм криптографического преобразования ГОСТ 28147-89.
Шифр - совокупность обратимых преобразований множества возможных открытых данных на множество возможных шифрованных данных, осуществляемых по определенным правилам с применением ключей.
Электронный документ - документ, в котором информация представлена в электронно-цифровой форме. Электронный документ может создаваться на основе документа на бумажном носителе, на основе другого электронного документа либо порождаться в процессе информационного взаимодействия.
Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
3. Общие вопросы организации защиты информации
3.1. Организатор Системы осуществляет работы по управлению ключами на основании консолидированной заявки руководителя Структурного подразделения на поставку СКЗИ и выполнение работ по генерации и сертификации ключей (приложение 2) в соответствии с требованиями органов ФАПСИ.
3.2. Пользователь предоставляет Организатору Системы право вырабатывать секретные и открытые ключи ЭЦП и шифрования Пользователя на Автоматизированном рабочем месте Администратора Удостоверяющего центра (АРМ УЦ) в соответствии с лицензией органов ФАПСИ и эксплуатационной документацией на СКЗИ. АРМ УЦ расположен на территории Организатора Системы.
3.3. Организатор Системы предоставляет Пользователю возможность самостоятельной выработки секретных ключей ЭЦП и шифрования в его присутствии и под его непосредственным контролем с использованием технических средств, размещенных на территории Организатора Системы.
3.4. Организатор Системы изготавливает сертификаты криптографических ключей Пользователя в электронном виде и вместе с ключевым носителем передает их Пользователю. При изготовлении сертификатов ключей Организатор Системы оформляет два экземпляра сертификата в форме документов на бумажных носителях, которые заверяются собственноручными подписями владельца сертификата ключа и уполномоченного лица Организатора Системы, а также печатью Организатора Системы. Один экземпляр сертификата ключа выдается владельцу сертификата ключа, второй - остается у Организатора Системы.
