(с изменениями на 10 декабря 2014 года)
____________________________________________________________________
Документ с изменениями, внесенными:
распоряжением Комитета по информатизации и связи Санкт-Петербурга от 10 декабря 2014 года N 255-р.
____________________________________________________________________
В соответствии с пунктом 2.1 постановления Правительства Санкт-Петербурга от 23.06.2006 N 773 "Об удостоверяющем центре" и согласно статье 47 Устава Санкт-Петербурга:
1. Утвердить Положение о порядке организации выдачи сертификатов ключей подписей уполномоченных лиц исполнительных органов государственной власти Санкт-Петербурга (далее - Положение).
2. Отделу информационной безопасности, противодействия техническим разведкам и развития системы защиты информации:
2.1. До 01.11.2006 провести инструкторско-методическое занятие со специалистами информационных подразделений исполнительных органов государственной власти Санкт-Петербурга, ответственными за обеспечение условий безопасного использования электронной цифровой подписи с использованием СКЗИ, и внедрить требования Положения в электронный документооборот исполнительных органов государственной власти Санкт-Петербурга.
2.2. Довести настоящее распоряжение с Положением до всех исполнительных органов государственной власти Санкт-Петербурга, других организаций, включенных в Реестр сертификатов ключей подписей уполномоченных лиц исполнительных органов государственной власти Санкт-Петербурга.
4. Контроль за выполнением распоряжения оставляю за собой.
Председатель Комитета
Е.Г.Цивирко
Положение о порядке организации выдачи сертификатов ключей подписей уполномоченных лиц исполнительных органов государственной власти Санкт-Петербурга
(с изменениями на 10 декабря 2014 года)
1.1. Положение о порядке организации выдачи сертификатов ключей подписей уполномоченных лиц исполнительных органов государственной власти Санкт-Петербурга (далее - Положение) разработано в соответствии с Федеральным законом "Об информации, информатизации и защите информации", Федеральным законом "Об электронной цифровой подписи", распоряжением Администрации Санкт-Петербурга от 15.05.2002 N 751-ра и во исполнение требований постановления Правительства Санкт-Петербурга от 23.06.2006 N 773 "Об удостоверяющем центре", а также в целях реализации основных положений Концепции Автоматизированной информационной системы обеспечения безопасности жизнедеятельности Санкт-Петербурга, одобренной постановлением Правительства Санкт-Петербурга от 14.10.2005 N 1505, и определяет:
- порядок обеспечения правовых условий, при соблюдении которых электронная цифровая подпись в электронном документообороте признается равнозначной собственноручной подписи в документе на бумажном носителе;
- порядок взаимодействия исполнительных органов государственной власти Санкт-Петербурга (далее - ИОГВ СПб) и удостоверяющего центра исполнительных органов государственной власти Санкт-Петербурга (далее - УЦ ИОГВ СПб) при организации выдачи и использования сертификатов ключей подписей уполномоченным лицам ИОГВ СПб;
- права, обязанности, ответственность уполномоченных лиц исполнительных органов государственной власти Санкт-Петербурга, УЦ ИОГВ СПб и уполномоченного исполнительного органа государственной власти Санкт-Петербурга (далее -уполномоченного ИОГВ СПб) при использовании сертификатов ключей подписей, а также форматы данных и основные организационно-технические мероприятия, направленные на обеспечение безопасности при работе со средствами криптографической защиты информации.
Исполнительные органы государственной власти Санкт-Петербурга и подведомственные организации используют для подписания электронных документов электронные цифровые подписи (далее - ЭЦП) уполномоченных лиц, имеющих право подписи документов, соответствующих ИОГВ СПб. Таким образом, уполномоченное лицо, в соответствии с занимаемой должностью, осуществляет в установленном законодательством порядке юридические действия с использованием ЭЦП. Перечень уполномоченных лиц в организации устанавливается руководителем ИОГВ СПб.
1.2. В процессе своей деятельности УЦ ИОГВ СПб предоставляет следующие виды услуг:
- изготовление сертификатов ключей подписей в электронной форме;
- изготовление копий сертификатов ключей подписей на бумажном носителе;
- создание криптографических ключей с записью их на ключевой носитель;
- поддержание в актуальном состоянии реестра выданных сертификатов и списка отозванных сертификатов УЦ ИОГВ СПб;
- обеспечение возможности свободного доступа любого заинтересованного лица к реестру выданных сертификатов и актуальному списку отозванных сертификатов УЦ ИОГВ СПб;
- предоставление возможности получения копий сертификатов ключей подписей, находящихся в реестре изготовленных сертификатов, в электронной форме по запросам уполномоченных лиц;
- аннулирование (отзыв) сертификатов ключей подписей по указанию УИОГВ СПб;
- приостановление и возобновление действия сертификатов ключей подписей по указанию УИОГВ СПб;
- подтверждение подлинности электронных цифровых подписей в документах, представленных в электронной форме, в отношении выданных УЦ ИОГВ СПб сертификатов ключей подписей (по обращениям заинтересованных лиц);
- подтверждение подлинности электронных цифровых подписей уполномоченного лица УЦ ИОГВ СПб в изготовленных им сертификатах (по обращениям заинтересованных лиц);
- иные услуги, связанные с использованием криптографических ключей, их сертификатов и подтвержденные условиями государственного контракта с УЦ ИОГВ СПб.
Авторство документа - принадлежность документа одному из участников (абонентов) системы электронного документооборота. Авторство документа определяется путем аутентификации содержащейся в нем информации.
Аутентификация информации - установление подлинности и целостности информации, содержащейся в документе. Аутентификация может осуществляться как на основе структуры и содержания документа или его реквизитов, так и путем реализации криптографических алгоритмов преобразования информации. Доказательная аутентификация информации осуществляется анализом (экспертизой) подписей должностных лиц и печатей на бумажных документах и проверкой правильности ЭЦП для электронных документов при использовании сертифицированных органами ФАПСИ средств криптографической защиты информации.
Владелец сертификата ключа - физическое лицо, на имя которого УЦ ИОГВ СПб выдан сертификат ключа и которое владеет соответствующим закрытым криптографическим ключом.
Закрытый ключ - криптографический ключ, который хранится уполномоченным лицом в тайне. Он используется для формирования электронной цифровой подписи и/или расшифрования зашифрованной с помощью открытого ключа информации.
Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Ключ (криптографический ключ) - конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.
Компрометация ключа - утрата доверия к тому, что используемые секретные ключи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся следующие ситуации:
- утрата ключевых дискет или иных носителей ключа;
- утрата ключевых дискет или иных носителей ключа с последующим обнаружением;
- увольнение сотрудников, имевших доступ к ключевой информации;
- возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;
- нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура опечатывания сейфов;
- утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;
- утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;
- доступ посторонних лиц к ключевой информации.
Конфиденциальность информации - субъективно определяемая характеристика информации, означающая необходимость введения ограничений на круг лиц, имеющих к ней доступ.
Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с действующим законодательством Российской Федерации и Санкт-Петербурга, нормативными актами Администрации и Правительства Санкт-Петербурга, а также настоящим Положением.
Конфликтная ситуация - ситуация, при которой у владельца сертификата ключа возникает необходимость разрешения вопросов признания или непризнания авторства и/или подлинности электронных документов, обработанных средствами криптографической защиты информации.
Корректный электронный документ - электронный документ, прошедший процедуру проверки ЭЦП с подтверждением ее правильности, а также документ, не имеющий искажений в тексте сообщения, не позволяющих понять его смысл.
Криптографическая защита - защита информации от ее несанкционированной модификации и доступа посторонних лиц при помощи алгоритмов криптографического преобразования.
Криптографический ключ (ключ) - параметр шифра или его значение, определяющее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.
Некорректный электронный документ - электронный документ, не прошедший процедуры проверки ЭЦП, а также документ, имеющий искажения в тексте сообщения, не позволяющие понять его смысл.
Несанкционированный доступ к информации - доступ к информации лиц, не имеющих на то полномочий.
Обработка информации - создание, хранение, передача, прием, преобразование и отображение информации.
Ответственное лицо ИОГВ СПб за обеспечение безопасности использования СКЗИ - назначенный решением руководителя исполнительного органа государственной власти Санкт-Петербурга или подведомственной организации работник, ответственный за обеспечение условий безопасного использования электронной подписи с использованием СКЗИ.
(Абзац в редакции, введенной в действие распоряжением Комитета по информатизации и связи Санкт-Петербурга от 10 декабря 2014 года N 255-р. - См. предыдущую редакцию)
Открытый ключ - криптографический ключ, который связан с закрытым ключом с помощью особого математического соотношения. Открытый ключ известен другим владельцам сертификата ключа и предназначен для проверки электронной цифровой подписи и процедуры шифрования информации. При этом открытый ключ не позволяет вычислить закрытый ключ.
Плановая смена ключей - смена ключей, не вызванная компрометацией ключей, в соответствии с эксплуатационной документацией на СКЗИ, с периодичностью, согласованной с владельцем сертификата ключа.
Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.
Расшифрование - процесс преобразования шифрованной информации в открытую при помощи шифра.
Сертификат открытого ключа - документ на бумажном носителе или электронный документ с ЭЦП уполномоченного лица Удостоверяющего центра, который включает в себя открытый ключ (ЭЦП и/или шифрования) и который выдается Удостоверяющим центром участнику информационной системы для подтверждения подлинности открытого ключа и идентификации владельца сертификата открытого ключа.
Список отозванных сертификатов (CJC, CRL) - созданный УЦ ИОГВ СПб список сертификатов, отозванных до окончания срока их действия.
Средство криптографической защиты информации (СКЗИ) - средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.
Средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.
Секретные (закрытые) ключи - криптографические ключи, которые хранятся у владельца сертификата ключа в тайне. Секретные ключи используются для шифрования документов и формирования ЭЦП владельца сертификата ключа.
СОС - список отозванных сертификатов.
Удостоверяющий центр исполнительных органов государственной власти Санкт-Петербурга - Санкт-Петербургское государственное унитарное предприятие "Санкт-Петербургский информационно-аналитический центр" осуществляющее управление криптографическими ключами и сертификатами ключей подписей в рамках настоящего Положения. Удостоверяющий центр - структура, созданная в соответствии с требованиями Федерального закона "Об электронной цифровой подписи" от 10.01.2002 N 1-ФЗ и в соответствии с постановлением Правительства Санкт-Петербурга от 23.06.2006 N 773, обладающая полномочиями по удостоверению цифровых сертификатов для осуществления электронного документооборота. В системе электронного документооборота удостоверяющий центр является доверительной третьей стороной, которая наделена высоким уровнем доверия участников и которая обеспечивает весь комплекс мероприятий для использования доверяющими сторонами сертифицированной информации.
Уполномоченный исполнительный орган государственной власти Санкт-Петербурга (УИОГВ СПб) - Комитет по информатизации и связи, обеспечивающий правовое регулирование порядка выдачи и отзыва сертификатов ключей подписей (распоряжение Администрации Санкт-Петербурга от 15.05.2002 N 751-ра).
Уполномоченное лицо исполнительного органа государственной власти Санкт-Петербурга (уполномоченное лицо) - уполномоченное лицо исполнительного органа государственной власти Санкт-Петербурга или подведомственной им организации, участвующее в электронном документообороте исполнительных органов государственной власти Санкт-Петербурга и уполномоченное решением руководителя этого органа или организации подписывать с помощью своей электронной цифровой подписи электронные документы. Уполномоченное лицо осуществляет юридические действия с использованием электронной цифровой подписи в соответствии с занимаемой должностью и в установленном законодательством порядке.
Управление криптографическими ключами - создание (генерация) ключей, их хранение, распространение, удаление (уничтожение), учет и применение в соответствии с настоящим Положением.
Электронный документ - документ, в котором информация представлена в электронно-цифровой форме. Электронный документ может создаваться на основе документа на бумажном носителе, на основе другого электронного документа либо порождаться в процессе информационного взаимодействия.
Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.