Недействующий

     

Администрация Санкт-Петербурга
КОМИТЕТ ПО ИНФОРМАТИЗАЦИИ И СВЯЗИ

РАСПОРЯЖЕНИЕ

от 24 июля 2002 года N 1-р


Об утверждении Положения об организации использования
электронной цифровой подписи и шифрования информации
в электронном документообороте исполнительных органов
государственной власти Санкт-Петербурга

____________________________________________________________________
Утратило силу с 21 июля 2006 года на основании
распоряжения Комитета по информатизации и связи Санкт-Петербурга
от 21 июля 2006 года N 11-р

(опубликовано не было)
____________________________________________________________________


В соответствии с пунктом 3.1 распоряжения Администрации Санкт-Петербурга от 15.05.2002 N 751-ра "Об организации использования электронной цифровой подписи в электронных документах, хранимых, обрабатываемых и передаваемых в автоматизированных информационных и телекоммуникационных сетях и системах исполнительных органов государственной власти Санкт-Петербурга" и согласно статье 47 Устава Санкт-Петербурга:

1. Утвердить Положение об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте исполнительных органов государственной власти Санкт-Петербурга (далее - Положение).

2. Отделу информационной безопасности, противодействия техническим разведкам и развития системы защиты информации:

2.1. До 01.11.2002 провести инструктаж специалистов подразделений информатизации исполнительных органов государственной власти Санкт-Петербурга, ответственных за использование электронной цифровой подписи и шифрования информации, и внедрить требования Положения в электронный документооборот исполнительных органов государственной власти Санкт-Петербурга.

2.2. Довести настоящее распоряжение с Положением до всех исполнительных органов государственной власти Санкт-Петербурга, других организаций, включенных в Реестр сертификатов ключей подписей уполномоченных лиц исполнительных органов государственной власти Санкт-Петербурга.

3. Контроль за выполнением распоряжения оставляю за собой.

Председатель Комитета
А.В.Спиридонов


Внесен в Реестр
нормативных правовых актов
Санкт-Петербурга

27 сентября 2002 года

Регистрационный N 1044

     

     

УТВЕРЖДЕНО
распоряжением Комитета
по информатизации и связи
от 24.07.2002 N 1-р

     

Положение
об организации использования электронной цифровой подписи и
шифрования информации в электронном документообороте
исполнительных органов государственной власти Санкт-Петербурга

     

1. Общие положения

1.1. Положение об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте исполнительных органов государственной власти Санкт-Петербурга (далее - Положение) разработано в соответствии с Федеральным законом "Об информации, информатизации и защите информации" и Федеральным законом "Об электронной цифровой подписи", во исполнение требований распоряжения Администрации Санкт-Петербурга от 15.05.2002 N 751-ра "Об организации использования электронной цифровой подписи в электронных документах, хранимых, обрабатываемых и передаваемых в автоматизированных информационных и телекоммуникационных сетях и системах исполнительных органов государственной власти Санкт-Петербурга" и определяет:

1.1.1. Порядок обеспечения правовых условий, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

1.1.2. Порядок организации выдачи сертификатов ключей подписей уполномоченным лицам исполнительных органов государственной власти Санкт-Петербурга (далее - ИОГВ СПб), использующих электронную цифровую подпись.

1.1.3. Порядок организации криптографической защиты информации при обмене электронными документами, подготовленными и передаваемыми Пользователями в системе электронного документооборота исполнительных органов государственной власти Санкт-Петербурга (далее - Система).

1.1.4. Процедуру подтверждения того, что электронный документ:

- исходит от Пользователя Системы (подтверждение авторства документа);

- не претерпел изменений при информационном взаимодействии (подтверждение целостности и подлинности документа).

1.2. Пользователи Системы осуществляют:

1.2.1. Обмен электронными документами по открытым каналам связи в рамках Системы и только между зарегистрированными участниками Системы.

1.2.2. Соблюдение установленной последовательности действий при обмене электронными документами и проверке их подлинности.

1.2.3. В соответствии с Порядком разрешения конфликтных ситуаций, возникающих в ходе осуществления электронного документооборота с использованием электронной цифровой подписи (далее - ЭЦП), согласно приложению 8.

1.2.4. Использование для защиты информации при подготовке и обработке документов в электронной форме сертифицированных органами Федерального агентства правительственной связи и информации (далее - ФАПСИ) средств криптографической защиты информации (далее - СКЗИ).

1.3. Схема ЭЦП, процессы формирования и проверки ЭЦП под заданным сообщением (документом), передаваемым по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения, определяются ГОСТ Р 34.10-2001 и Р 34.10-94 "Информационная технология. Криптографическая информация. Процессы формирования и проверки электронной цифровой подписи" и ГОСТ Р 34.11-94 "Информационная технология. Криптографическая информация. Функции хеширования".

     

2. Термины и сокращения, используемые в Положении


Авторство документа - принадлежность документа одному из участников (абонентов) системы электронного документооборота. Авторство документа определяется путем аутентификации содержащейся в нем информации.

Аутентификация информации - установление подлинности и целостности информации, содержащейся в документе. Аутентификация может осуществляться как на основе структуры и содержания документа или его реквизитов, так и путем реализации криптографических алгоритмов преобразования информации. Доказательная аутентификация информации осуществляется анализом (экспертизой) подписей должностных лиц и печатей на бумажных документах и проверкой правильности ЭЦП для электронных документов при использовании сертифицированных органами ФАПСИ средств криптографической защиты информации.

Владелец сертификата ключа - физическое лицо, на имя которого Организатором Системы выдан сертификат ключа и которое владеет соответствующим закрытым криптографическим ключом.

Внеплановая смена ключей - смена ключей в соответствии с документацией на СКЗИ, вызванная компрометацией ключей.

Зарегистрированный (сертифицированный) открытый ключ - открытый ключ, подписанный ЭЦП Организатора Системы и подтвержденный сертификатом открытого ключа.

Компрометация ключа - утрата доверия к тому, что используемые секретные ключи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся следующие ситуации:

- утрата ключевых дискет или иных носителей ключа;

- утрата ключевых дискет или иных носителей ключа с последующим обнаружением;

- увольнение сотрудников, имевших доступ к ключевой информации;

- возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;

- нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура опечатывания сейфов;

- утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;

- утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;

- доступ посторонних лиц к ключевой информации.

Конфиденциальность информации - субъективно определяемая характеристика информации, означающая необходимость введения ограничений на круг лиц, имеющих к ней доступ.

Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с действующим законодательством Российской Федерации и Санкт-Петербурга, нормативными актами Администрации и Правительства Санкт-Петербурга, а также настоящим Положением.

Конфликтная ситуация - ситуация, при которой у Пользователей Системы возникает необходимость разрешения вопросов признания или непризнания авторства и/или подлинности электронных документов, обработанных средствами криптографической защиты информации.

Корректный электронный документ - электронный документ, прошедший процедуру проверки ЭЦП с подтверждением ее правильности, а также документ, не имеющий искажений в тексте сообщения, не позволяющих понять его смысл.

Криптографическая защита - защита информации от ее несанкционированной модификации и доступа посторонних лиц при помощи алгоритмов криптографического преобразования.

Криптографический ключ (ключ) - параметр шифра или его значение, определяющее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.

Некорректный электронный документ - электронный документ, не прошедший процедуры проверки ЭЦП, а также документ, имеющий искажения в тексте сообщения, не позволяющие понять его смысл.

Несанкционированный доступ к информации - доступ к информации лиц, не имеющих на то полномочий.

Обработка информации - создание, хранение, передача, прием, преобразование и отображение информации.

Организатор Системы - выбранная на конкурсной основе организация, имеющая в соответствии с федеральными законами "О лицензировании отдельных видов деятельности" и "Об электронной цифровой подписи" лицензии ФАПСИ, дающие право осуществлять деятельность по обслуживанию шифровальных средств, предназначенных для криптографической зашиты конфиденциальной информации, а также выполнять функции Удостоверяющего центра.

Открытый ключ ЭЦП - уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому Пользователю Системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе. Открытый ключ Пользователя является действующим на момент подписания, если он зарегистрирован (сертифицирован) и введен в действие.

Открытый ключ шифрования - криптографический ключ, предназначенный для шифрования разового (сеансового) ключа с целью его передачи адресату по открытым каналам связи. Открытые ключи шифрования могут быть известны всем Пользователям Системы.

Плановая смена ключей - смена ключей, не вызванная компрометацией ключей, в соответствии с эксплуатационной документацией на СКЗИ, с периодичностью, согласованной с Пользователем.

Структурное подразделение - отдел информационной безопасности, противодействия техническим разведкам и развития системы защиты информации Комитета по информатизации связи, исполняющего функции уполномоченного исполнительного органа государственной власти Санкт-Петербурга (далее - УИОГВ СПб), обеспечивающего правовое регулирование и порядок организации выдачи и отзыва сертификатов открытых ключей.

Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.

Пользователь Системы - участник информационного обмена электронными документами, зарегистрированный в Системе, признающий данное Положение.

Расшифрование - процесс преобразования шифрованной информации в открытую при помощи шифра.

Сертификат открытого ключа - документ на бумажном носителе или электронный документ с ЭЦП уполномоченного лица Удостоверяющего центра (Организатора Системы), который включает в себя открытый ключ (ЭЦП и/или шифрования) и который выдается Удостоверяющим центром (Организатором Системы) участнику информационной системы для подтверждения подлинности открытого ключа и идентификации владельца сертификата открытого ключа.

Секретные (закрытые) ключи - криптографические ключи, которые хранятся у Пользователя Системы в тайне. Секретные ключи используются для шифрования документов и формирования ЭЦП Пользователя.

СОС - список отозванных сертификатов.

Управление ключами - создание (генерация) ключей, их хранение, распространение, удаление (уничтожение), учет и применение в соответствии с настоящим Положением.

Шифрование - процесс преобразования открытой информации с целью сохранения ее в тайне от посторонних лиц при помощи некоторого алгоритма, называемого шифром. Для шифрования информации используется алгоритм криптографического преобразования ГОСТ 28147-89.

Шифр - совокупность обратимых преобразований множества возможных открытых данных на множество возможных шифрованных данных, осуществляемых по определенным правилам с применением ключей.

Электронный документ - документ, в котором информация представлена в электронно-цифровой форме. Электронный документ может создаваться на основе документа на бумажном носителе, на основе другого электронного документа либо порождаться в процессе информационного взаимодействия.

Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

     

3. Общие вопросы организации защиты информации

3.1. Организатор Системы осуществляет работы по управлению ключами на основании консолидированной заявки руководителя Структурного подразделения на поставку СКЗИ и выполнение работ по генерации и сертификации ключей (приложение 2) в соответствии с требованиями органов ФАПСИ.

3.2. Пользователь предоставляет Организатору Системы право вырабатывать секретные и открытые ключи ЭЦП и шифрования Пользователя на Автоматизированном рабочем месте Администратора Удостоверяющего центра (АРМ УЦ) в соответствии с лицензией органов ФАПСИ и эксплуатационной документацией на СКЗИ. АРМ УЦ расположен на территории Организатора Системы.

3.3. Организатор Системы предоставляет Пользователю возможность самостоятельной выработки секретных ключей ЭЦП и шифрования в его присутствии и под его непосредственным контролем с использованием технических средств, размещенных на территории Организатора Системы.

3.4. Организатор Системы изготавливает сертификаты криптографических ключей Пользователя в электронном виде и вместе с ключевым носителем передает их Пользователю. При изготовлении сертификатов ключей Организатор Системы оформляет два экземпляра сертификата в форме документов на бумажных носителях, которые заверяются собственноручными подписями владельца сертификата ключа и уполномоченного лица Организатора Системы, а также печатью Организатора Системы. Один экземпляр сертификата ключа выдается владельцу сертификата ключа, второй - остается у Организатора Системы.

Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»