Партнерка на США и Канаду по недвижимости, выплаты в крипто

• 30% recurring commission
• Выплаты в USDT
• Вывод каждую неделю
• Комиссия до 5 лет за каждого referral

РЕГЛАМЕНТ

использования средств криптографической защиты информации при обмене электронными документами в системе сдачи отчетности налогоплательщиками в электронном виде

1. Общие положения

1.1.  Настоящий Регламент определяет:

·  Порядок организации криптографической защиты информации при обмене электронными документами в системе сдачи отчетности налогоплательщиками в электронном виде (Система).

·  Порядок регистрации и подключения пользователей к Системе.

1.2.  Пользователи Системы могут осуществлять обмен электронными документами по открытым каналам связи.

1.3.  Участники электронного документооборота осуществляют обмен электронными документами в рамках Системы только между зарегистрированными участниками Системы.

1.4.  Пользователи соблюдают установленную последовательность действий при обмене электронными документами и проверке их подлинности.

1.5.  Пользователи используют для защиты информации при подготовке документов в электронной форме сертифицированные ФАПСИ средства криптографической защиты информации (СКЗИ).

1.6.  Используемые во взаимоотношениях между Пользователями электронные документы, заверенные ЭЦП, имеют равную юридическую силу с документами на бумажном носителе, имеющими соответствующие подписи и печати (независимо от того существуют такие документы на бумажном носителе или нет).

1.7.  Пользователь признает, что использование в Системе СКЗИ, которые реализуют ЭЦП и шифрование, достаточно для обеспечения конфиденциальности информационного взаимодействия пользователей, а также подтверждения того, что электронный документ:

·  исходит от Пользователя (подтверждение авторства документа);

·  не претерпел изменений при информационном взаимодействии Пользователя (подтверждение целостности и подлинности документа).

2. Термины и сокращения, используемые в регламенте

Авторство документа – принадлежность документа одному из участников (Пользователю) системы электронного документооборота (Система). Авторство документа определяется путем аутентификации содержащейся в нем информации.

Аутентификация информации – установление подлинности и целостности информации, содержащейся в документе. Аутентификация может осуществляться как на основе структуры и содержания документа или его реквизитов, так и путем реализации криптографических алгоритмов преобразования информации. Доказательная аутентификация информации осуществляется анализом (экспертизой) подписей должностных лиц и печатей на бумажных документах и проверкой правильности электронной цифровой подписи (ЭЦП) для электронных документов при использовании сертифицированных ФАПСИ средств криптографической защиты информации (СКЗИ).

Владелец сертификата ключа – физическое лицо, на имя которого Организатором системы выдан сертификат ключа и которое владеет соответствующим закрытым криптографическим ключом.

Внеплановая смена ключей – смена ключей в соответствии с Документацией на СКЗИ, вызванная компрометацией ключей.

Договор – Договор заключенный между Пользователем и Организатором Системы.

Зарегистрированный (сертифицированный) открытый ключ – открытый ключ, подписанный ЭЦП Организатора Системы, и подтвержденный сертификатом открытого ключа.

Компрометация ключа – утрата доверия к тому, что используемые секретные ключи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся, включая, но, не ограничиваясь, следующие:

·  утрата ключевых дискет или иных носителей ключа;

·  утрата ключевых дискет или иных носителей ключа с последующим обнаружением;

·  увольнение сотрудников, имевших доступ к ключевой информации;

·  возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;

·  нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура опечатывания сейфов;

·  утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;

·  утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;

·  доступ посторонних лиц к ключевой информации.

Конфиденциальность информации – субъективно определяемая характеристика информации, означающая необходимость введения ограничений на круг лиц, имеющих к ней доступ.

Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с действующим законодательством РФ, а также настоящим Регламентом.

Конфликтная ситуация – ситуация, при которой у пользователей Системы возникает необходимость разрешить вопросы признания или непризнания авторства и/или подлинности электронных документов, обработанных средствами криптографической защиты информации.

Корректный электронный документ – электронный документ, прошедший процедуру проверки ЭЦП с подтверждением ее правильности и не имеющий искажений в тексте сообщения, не позволяющих понять его смысл.

Криптографическая защита – защита информации от ее несанкционированной модификации и доступа посторонних лиц при помощи алгоритмов криптографического преобразования.

Криптографический ключ (ключ) – параметр шифра или его значение, определяющее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.

Некорректный электронный документ – электронный документ, не прошедший процедуры проверки ЭЦП, имеющий искажения в тексте сообщения, не позволяющие понять его смысл.

Несанкционированный доступ к информации – доступ к информации лиц, не имеющих на то полномочий.

Обработка информации – создание, хранение, передача, прием, преобразование и отображение информации.

Специализированный оператор связи (Организатор Системы) – Астрал», осуществляет деятельность по обслуживанию шифровальных средств, предназначенных для криптографической защиты конфиденциальной информации, а также выполняет функции Удостоверяющего центра.

Открытый ключ подписи – уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе. Открытый ключ Пользователя является действующим на момент подписания, если он зарегистрирован (сертифицирован) и введен в действие.

Плановая смена ключей – смена ключей, не вызванная компрометацией ключей, в соответствии с Документацией на СКЗИ, с периодичностью согласованной с Пользователем.

Подтверждение подлинности электронной цифровой подписи в электронном документе – положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.

Пользователь* (Абонент) – юридическое или физическое лицо, участник информационного обмена электронными документами, заключивший с Организатором Системы Договор, зарегистрированный в Системе и признающий данный Регламент.

Расшифрование – процесс преобразования шифрованной информации в открытую при помощи шифра.

Сертификат открытого ключа – документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра (Организатора Системы), которые включают в себя открытый ключ (ЭЦП и/или шифрования) и которые выдаются удостоверяющим центром (Организатором Системы) участнику информационной системы для подтверждения подлинности открытого ключа и идентификации владельца сертификата открытого ключа;

Секретные (закрытые) ключи – криптографические ключи, которые хранятся Пользователями Системы в тайне. Секретные ключи используются для шифрования документов и формирования ЭЦП Пользователя.

Система – автоматизированная информационная система подготовки, формирования и защищенной передачи по каналам связи налоговой и бухгалтерской отчетности в виде юридически значимых электронных документов.

СОС – список отозванных сертификатов.

Управление ключами – создание (генерация) ключей, их хранение, распространение, удаление (уничтожение), учет и применение а также выдача и отзыв сертификатов открытых ключей в соответствии с политикой безопасности.

Шифрование – процесс преобразования открытой информации с целью сохранения ее в тайне от посторонних лиц при помощи некоторого алгоритма, называемого шифром.

Шифр – совокупность обратимых преобразований множества возможных открытых данных на множество возможных шифрованных данных, осуществляемых по определенным правилам с применением ключей.

Электронный документ – документ, в котором информация представлена в электронно-цифровой форме. Электронный документ может создаваться на основе документа на бумажном носителе, на основе другого электронного документа либо порождаться в процессе информационного взаимодействия.

Электронная цифровая подпись (ЭЦП) – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

3.  Общие вопросы организация защиты информации

3.1. Организатор Системы осуществляет работы по управлению ключами в соответствии с требованиями ФАПСИ на основании Договора и заявки Пользователя.

3.2.  Пользователь предоставляет Организатору Системы право вырабатывать секретные и открытые ключи ЭЦП и шифрования Пользователя на «Автоматизированном рабочем месте Администратора Удостоверяющего центра (АРМ УЦ) в соответствии с эксплуатационной документацией на СКЗИ. АРМ УЦ расположен на территории Организатора Системы.

3.3.  Организатор Системы предоставляет Пользователю возможность самостоятельной выработки секретных ключей ЭЦП и шифрования в его присутствии и под его непосредственным контролем с использованием технических средств размещенных на территории Организатора Системы.

3.4.  Организатор Системы изготавливает сертификаты криптографических ключей Пользователя в электронном виде и вместе с ключевым носителем передает их ему. При изготовлении сертификатов ключей Организатор Системы оформляет два экземпляра сертификата в форме документов на бумажных носителях, которые заверяются собственноручными подписями владельца сертификата ключа и уполномоченного лица Организатора Системы, а также печатью Организатора Системы. Один экземпляр сертификата ключа выдается владельцу сертификата ключа, второй – остается у Организатора Системы.

3.5.  Организатор Системы использует программные и технические средства генерации ключевой информации в неизменном по отношению к сертифицированному ФАПСИ эталону. Организатор Системы гарантирует отсутствие привнесенных нерегламентированных процедур скрытого копирования индивидуальной секретной ключевой информации в используемых программных и технических средствах.

Примечание: Организатор системы принимает все возможные меры чтобы в кратчайшие сроки внести в СОС недействительные (скомпрометированные) ключи.

4.  Порядок получения СКЗИ, криптографических ключей и сертификатов.

4.1.  Пользователь заключает Договор с Организатором Системы.

4.2.  Руководитель Пользователя в соответствии с Договором представляет Организатору системы комплект документов и заявку на подключение к Системе содержащую:

·  данные на сотрудника Пользователя, ответственного за СКЗИ и Систему,

·  информацию о технических характеристиках компьютеров.

4.3.  Администратор Удостоверяющего центра (УЦ) Организатора Системы согласует с Пользователем, график работ.

4.4.  В соответствии с согласованным графиком сотрудники Пользователя лично или их доверенные лица (при оформленной доверенности):

·  прибывают в УЦ,

·  регистрируются Администратором УЦ,

·  получают СКЗИ и изготовленные в их присутствии ключи и сертификаты,

·  расписываются в сертификатах открытых ключей ;

·  получают сертификат УЦ,

·  инструктируются Администратором УЦ правилам работы с СКЗИ.

5.  Функции и задачи Организатора Системы

5.1.  Заключает Договор на комплексное обслуживание по защите информации и предоставление услуг Удостоверяющего центра со всеми Пользователями Системы.

5.2.  Обеспечивает процесс управления криптографическими ключами и сертификатами всех Пользователей Системы.

5.3.  Участвует в работе Экспертной комиссии при рассмотрении спорных вопросов (конфликтных ситуаций)

5.4.  Контролирует правила использования СКЗИ Пользователями Системы.

6.  Права и обязанности Пользователя

6.1.  Пользователь, в соответствии с эксплуатационной документацией на СКЗИ и программное обеспечение Пользователя, подготавливает и содержит в рабочем состоянии программно-технические средства.

6.2.  Пользователь обязан обеспечить надежное хранение секретных (закрытых) ключей шифрования и ЭЦП, не допускать доступа к ним посторонних лиц.

6.3.  Пользователь контролирует целостность и неизменность по отношению к полученному у Организатора Системы сертифицированному эталону программное обеспечение СКЗИ штатными средствами в соответствии с эксплуатационной документацией на СКЗИ.

6.4.  Пользователь при осуществлении деятельности по защите информации криптографическими средствами обязан выполнять требования ФАПСИ по обеспечению безопасности информации.

6.5.  Пользователь обязан при обработке электронных документов осуществлять их архивирование и хранить эти архивы в течение срока, установленного соответствующими законами и нормативными актами, для хранения бумажных документов.

6.6.  Пользователь обязан организовать внутренний режим функционирования рабочих мест таким образом, чтобы исключить возможность физического доступа к СКЗИ, несанкционированной модификации или использования СКЗИ лицами, не имеющими допуска к работе с СКЗИ, а также исключить возможность использования ключевой информации не уполномоченными на то лицами.

6.7.  Пользователь обязан при разрешении конфликтных ситуаций, связанных с установлением подлинности и/или авторства спорного документа, предоставлять Экспертной комиссии всю запрашиваемую ею информацию.

6.8.  Плановая замена криптографических ключей Пользователя производится по инициативе Организатора системы, но не реже одного раза в 1,5 года (отдельным решением могут быть установлены другие сроки) в следующем порядке:

·  замене подлежат все действующие криптографические ключи Пользователя;

·  за два месяца до замены ключей Организатор системы определяет график проведения работ и через циркулярное письмо сообщает Пользователям о начале работ по плановой замене ключей;

·  работы по генерации ключей и выдаче сертификатов производит Организатор системы в соответствии с разделом 4 настоящего Регламента;

·  Пользователь после получения новых ключей и сертификатов проверяет их работоспособность;

·  После этого Пользователь направляет Организатору системы информационное письмо с уточнением даты и времени вывода из действия старых ключей и ввода в действие новых ключей;

Примечание: Все письма могут быть оформлены в электронном виде и подписаны на старых ключах.

·  в соответствии с полученным информационным письмом в назначенный день Организатор системы заносит сертификаты старых ключей в СОС и вводит в действие новые ключи. С этого момента Пользователь работает на новых ключах;

·  старые ключи уничтожаются Пользователя самостоятельно путем физического уничтожения ключевых носителей, с составлением Акта уничтожения и передачей его Организатору системы.

8.9  Пользователь имеет право:

·  не принимать к исполнению электронные документы, заверенные ЭЦП, если:

- сертификат ключа подписи отправителя утратил силу (не действует, находится в СОС) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

- не подтверждена подлинность ЭЦП в электронном документе;

- ЭЦП используется не в соответствии со сведениями, указанными в сертификате ключа подписи.

Примечание: перед принятием решения по исполнению полученного электронного документа, в зависимости от его важности, Пользователь самостоятельно определяет необходимость дополнительной проверки нахождения сертификата ЭЦП отправителя в СОС.

·  запрашивать подтверждение по полученным им электронным документам в случае возникновения сомнений;

·  требовать исполнения обязательств от других участников Системы по принятым ими электронным документам;

·  в случае возникновения конфликтной ситуации, связанной с установлением подлинности и/или авторства спорного документа, требовать разрешения указанных вопросов Экспертной комиссией в соответствии с согласованным порядком.

9.  Действия Сторон при компрометации ключей

9.1.  Организатор системы в момент генерации и сертификации ключей передает Пользователю пароль для экстренной связи в случае компрометации секретных ключей. Пользователь обеспечивает сохранение конфиденциальности пароля.

9.2.  Пользователь в случае принятия решения о компрометации собственных криптографических ключей, обязан немедленно информировать Организатора системы по телефонным каналам связи с использованием устного пароля или в виде электронного сообщения, подписанного скомпрометированным ключом, о наступлении события, трактуемого как компрометация.

9.3.  При компрометации ключа у Пользователя он должен немедленно прекратить обмен электронными документами с другими пользователями.

9.4.  Организатор системы, получивший сообщение о компрометации ключей Пользователя, должен убедиться в достоверности сообщения о компрометации (запросить пароль или факсовое сообщение заверенное подписью и печатью Пользователя) и после этого обязан немедленно вывести из действия скомпрометированные ключи (занести их сертификаты в СОС).

9.5.  Пользователь, объявивший о компрометации собственных криптографических ключей, в течение одного рабочего дня документально оформляет официальное уведомление и направляет его Организатору системы.

9.6.  Пользователь, допустивший компрометацию собственных криптографических ключей, несет все издержки, связанные с генерацией новых ключей, их сертификацией и вводом в действие.

10.  Конфиденциальность информации

10.1.  Организатор системы и Пользователи в процессе обмена электронными документами обязуются обеспечивать сохранность конфиденциальной информации, полученной друг от друга в соответствии с действующим законодательством Российской Федерации.

10.2.  Порядок предоставления конфиденциальной информации налоговым, правоохранительным и судебным органам осуществляется в соответствии с действующим законодательством Российской Федерации.

11.  Ответственность участников Системы

11.1.  3а неисполнение или ненадлежащее исполнение обязательств по настоящему Регламенту участники Системы несут ответственность в соответствии с Договором и действующим законодательством Российской Федерации.

11.2.  Пользователь несет ответственность за достоверность сведений указанных в Заявке, а также обязан сообщать обо всех изменениях этих сведений.

11.3.  Пользователь несет ответственность за сохранность СКЗИ, секретных ключей шифрования и ЭЦП.

11.4.  В случае если один из участников Системы допустил компрометацию секретных криптографических ключей и немедленно не уведомил об этом (в соответствии разделом 9 настоящего Регламента) Организатора системы, то всю ответственность за возможные при этом последствия несет, допустивший компрометацию участник Системы.

12.  Порядок взаимодействия Сторон при нештатных ситуациях, связанных с эксплуатацией СКЗИ

12.1.  В случае нарушения правил использования СКЗИ и/или возникновения конфликтных ситуаций, связанных с подтверждением авторства и/или подлинности электронных документов, заверенных ЭЦП, Стороны руководствуются Порядком разрешения конфликтных ситуаций.

13.  Прочие условия

13.1.  Изменения и дополнения в настоящий Регламент вносятся Организатором системы с обязательным уведомлением всех Пользователей.

13.2.  Все приложения, изменения и дополнения являются неотъемлемой частью настоящего Регламента.

13.3.  Регламент начинает действовать в отношении каждого Пользователя с момента заключения им Договора.

Требования ФАПСИ по обеспечению безопасности информации

при ее защите по уровню “C” (на уровне потребителя)

Защита информации по уровню “С” означает применение процедур электронной цифровой подписи и хеширования сертифицированных ФАПСИ средств криптографической информации, реализующих алгоритмы ГОСТ Р34.11-94, ГОСТ Р34.10-94 и ГОСТ .

1. Требования по организационному обеспечению эксплуатации СКЗИ

1.1. На предприятии выделяются (определяются) должностные лица, ответственные за обеспечение безопасности информации и эксплуатации СКЗИ.

1.2. На предприятии разрабатываются нормативные документы, регламентирующие вопросы безопасности информации и эксплуатации СКЗИ.

1.3. К работе со СКЗИ допускаются сотрудники, имеющие навыки работы на персональном компьютере, ознакомленные с правилами эксплуатации СКЗИ.

2. Требования по размещению СКЗИ и режиму охраны

2.1. Помещения, в которых размещаются программно-технические средства со встроенными СКЗИ, являются режимными и должны обеспечивать конфиденциальность проводимых работ.

2.2. Размещение режимных помещений и их оборудование должны исключать возможность бесконтрольного проникновения в них посторонних лиц и обеспечивать сохранность находящихся в этих помещениях конфиденциальных документов и технических средств.

2.3. Размещение оборудования, технических средств, предназначенных для обработки конфиденциальной информации, должно соответствовать требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности.

2.4. Входные двери режимных помещений должны быть оборудованы замками, обеспечивающими надежное закрытие помещений в нерабочее время.

2.5. Окна и двери должны быть оборудованы охранной сигнализацией, связанной с пультом централизованного наблюдения за сигнализацией.

2.6. Размещение технических средств в режимном помещении должно исключать возможность визуального просмотра конфиденциальных документов и экранов мониторов, на которых она отражается, через окна.

2.7. В режимные помещения допускаются Руководство Пользователя, сотрудники подразделения безопасности и исполнители, имеющие прямое отношение к обработке, передаче и приему конфиденциальных документов.

2.8. Системные блоки ЭВМ со СКЗИ оборудуются средствами контроля вскрытия.

2.9. Ремонт и/или последующее использование системных блоков осуществляется после удаления с них программного обеспечения СКЗИ (возможно согласование с Организатором Системы).

3. Требования по обеспечению безопасности ключевой информации

3.1. Носители секретных ключей ЭЦП, шифрования и инсталляционные дискеты с ПО СКЗИ на предприятии берутся на поэкземплярный учет в выделенных для этих целей журналах.

3.2. Учет и хранение секретных ключей поручается руководством предприятия специально выделенным сотрудникам.

3.3. Для хранения носителей секретных ключей ЭЦП и шифрования выделяется сейф или иное хранилище, обеспечивающее сохранность ключевой информации.

3.4. Хранение ключей и инсталляционных дискет с ПО СКЗИ допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, не предусмотренное правилами пользования СКЗИ, применение.

3.5. Рабочие (актуальные) и резервные ключи хранятся раздельно, с обеспечением условия невозможности их одновременной компрометации.

3.6. При транспортировке носителей секретной ключевой информации обеспечиваются условия, обеспечивающие защиту от физических повреждений и внешнего воздействия на записанную ключевую информацию.

Примечание: требования по размещению СКЗИ определяются условиями лицензирования ФАПСИ, правилами эксплуатации сертифицированных СКЗИ и могут уточняться при подготовке Пользователя к включению в Систему.