Договор №________________

о присоединении /наименование организации/ к Правилам электронного документооборота в корпоративной информационной системе (Фонда «Институт фондового рынка и управления» и «Национальной фондовой ассоциации (саморегулируемой некоммерческой организации)»

«__»______________20__г.

Фонд «Институт фондового рынка и управления» далее именуемый «ИФРУ», ., действующего на основании Устава,, «Национальная фондовая ассоциация (саморегулируемая некоммерческая организация)», далее именуемая «СРО НФА», , действующего на основании Устава, и /наименование организации/, в лице_________, действующего на основании __________, далее именуем__ «Участник», совместно именуемые «Стороны», заключили настоящий Договор о следующем.

1. Участник присоединяется к Правилам электронного документооборота в корпоративной информационной системе, являющимся неотъемлемой частью настоящего Договора. (далее - Правила) и прилагаемым к Договору. Под корпоративной информационной системой понимается система, используемая Участником для представления электронных документов в Федеральную службу по финансовым рынкам (далее – ФСФР России), организованная ИФРУ и СРО НФА.

2. Условия Правил могут быть приняты Участником не иначе, как путём присоединения к ним в целом.

3. Правила применяются Участником при представлении им электронных документов, содержащих отчетность профессиональных участников рынка ценных бумаг (далее – отчетность), в ФСФР России, в соответствии с нормативными правовыми актами федерального органа исполнительной власти по рынку ценных бумаг.

4. Участник принимает и надлежащим образом выполняет порядок и условия электронного документооборота, установленные настоящими Правилами, а также нормативными правовыми актами ФСФР России, регламентирующими порядок электронного документооборота при представлении в ФСФР России электронных документов с электронной цифровой подписью

5. Для Участника, не являющегося членом СРО НФА, возможность передачи электронных документов, содержащих отчетность, с помощью системы электронного документооборота корпоративной информационной системы предоставляется в случае заключения и во время срока действия договора с СРО НФА об оказании консультационных услуг при подготовке и сдаче отчетности профессионального участника рынка ценных в ФСФР России.

6. ИФРУ в качестве Организатора системы электронного документооборота выполняет функции, связанные с деятельностью по распространению шифровальных (криптографических) средств и по их техническому обслуживанию.

7. Стоимость услуг ИФРУ по изготовлению (генерации) криптографического ключа электронной цифровой подписи (далее - криптографического ключа), срок действия которого составляет 12 месяцев, определяется тарифами, публикуемыми на официальном сайте ИФРУ и действующими на дату представления Заявки на подключение к системе (приложение 1 к Правилам).

Количество криптографических ключей, которое требуется изготовить. указывается Участником в Заявке.

В стоимость изготовления (генерации) криптографического ключа включена стоимость комплекта инструкций по его установке.

Оплата Участником услуг по изготовлению (генерации) криптографического (-их) ключа (-ей) осуществляется на основании счёта в порядке предоплаты, в течение 7 (Семи) рабочих дней с момента заключения Договора путем перечисления Участником денежной суммы на расчетный счет ИФРУ.

Срок изготовления криптографического (-их) ключа (-ей) электронной подписи не превышает 3-х дней с даты оплаты Участником услуг (даты поступления денежных средств на расчётный счёт ИФРУ).

Передача уполномоченному лицу Участника криптографического ключа (-ей) и сертификата (-ов) открытого ключа (-ей) сопровождается подписанием Акта приёма-передачи его (-их) в эксплуатацию.

8. СРО НФА в качестве Соорганизатора системы электронного документооборота получает непосредственно от представителя Участника Заявку на подключение к системе, принимает решение по подключению Участника к системе и передаёт Заявку в ИФРУ не позднее одного рабочего дня после её получения, а также принимает решение по отзыву, приостановлению /возобновлению действия сертификата ключа.

9. Оплата услуг, предоставляемых ИФРУ в области обеспечения безопасности информации в корпоративной информационной системе, кроме услуг, указанных в пункте 6 данного Договора, осуществляется СРО НФА без дополнительной оплаты со стороны Участника.

10. Права, обязанности Сторон по данному Договору определены в Правилах.

11. За невыполнение или ненадлежащее выполнение обязательств по настоящему Договору Стороны несут имущественную ответственность в пределах суммы документально подтвержденного реального ущерба, причиненного Стороне невыполнением или ненадлежащим выполнением обязательств другой Стороной.

12. Стороны несут ответственность за действия своих сотрудников, а также иных лиц, получивших или имеющих доступ (независимо от того был ли этот доступ прямо санкционирован Стороной или произошел по ее вине) к используемым ими аппаратным средствам, программному, информационному обеспечению, криптографическим ключам и иным средствам, обеспечивающим электронный документооборот в соответствии с Правилами, как за свои собственные.

13. Стороны обязуются, обеспечить безопасность, защиту, сохранность и конфиденциальность персональных данных, а также иной информации, не подлежащей распространению, упоминаемой в настоящем договоре, а так же передаваемых одной стороной настоящего договора другой стороне, в соответствии с требованиями действующего законодательства.

14. За неисполнение или ненадлежащее исполнение обязательств по настоящему Договору Стороны несут ответственность в соответствии с законодательством Российской Федерации

15. Настоящий Договор составлен в трех экземплярах, по одному для каждой из Сторон, и имеют одинаковую юридическую силу.

16. Датой начала предоставления услуг по настоящему Договору является дата выдачи Участнику криптографического(-их) ключа (-ей) и сертификата (-ов) ключа(-ей) электронной подписи.

Датой окончания договора определяется датой расторжения Договора по инициативе одной из Сторон

17. В случае расторжения настоящего Договора по инициативе одной из Сторон она должна направить другим Сторонам уведомление о намерении расторгнуть настоящий Договор за один месяц до даты предполагаемого расторжения.

18. Адреса и реквизиты Сторон

Участник

ИФРУ СРО НФА

Приложение к Договору

к Договору о присоединении к Правилам электронного документооборота в корпоративной информационной системе (Фонда «Институт фондового рынка и управления» и «Национальной фондовой ассоциации (саморегулируемой некоммерческой организации)»

«УТВЕРЖДАЮ»

Генеральный директор

Фонда «Институт фондового

рынка и управления»

11 января 2010 г.

ПРАВИЛА

электронного документооборота в корпоративной информационной системе

Москва 2010

1. Общие положения

1.1.  Настоящие Правила определяют:

§  Порядок организации криптографической защиты информации при электронном документообороте в Системе.

§  Порядок регистрации Участников Системы.

1.2.  Участники электронного документооборота осуществляют обмен электронными документами в рамках Системы только между зарегистрированными Участниками Системы.

1.3.  Действия Участников электронного документооборота при возникновении конфликтных ситуаций регламентируются Порядком разрешения конфликтных ситуаций (Приложение к настоящим Правилам).

1.4.  Участники используют для защиты информации при подготовке документов в электронной форме сертифицированные в установленном федеральным законодательством порядке СКЗИ.

1.5.  Используемые во взаимоотношениях между Участниками электронные документы, подписанные ЭЦП, имеют равную юридическую силу с документами на бумажном носителе, имеющими подписи и печати (независимо от того, существуют такие документы на бумажном носителе или нет).

1.6.  Участник признает, что использование в Системе СКЗИ, которые реализуют ЭЦП и шифрование, достаточно для обеспечения конфиденциальности электронных документов, а также подтверждения того, что электронный документ:

·  исходит от Участника (подтверждение авторства документа);

·  не претерпел изменений при информационном взаимодействии Участника (подтверждение целостности документа).

2. Термины и сокращения, используемые в Правилах

Основные термины:

Система – корпоративная информационная система Фонда "Институт фондового рынка и управления" (далее - "ИФРУ") и Национальной фондовой ассоциации (саморегулируемой некоммерческой организации) (далее - НФА), в которой реализован электронный документооборот среди Участников Системы.

Организатор – Фонд «ИФРУ», осуществляющий деятельность по распространению СКЗИ и предоставляющий комплекс услуг в области обеспечения безопасности информации среди Участников Системы.

Соорганизатор – СРО НФА, осуществляющая деятельность по организации электронного документооборота совместно с Организатором

Участник – юридическое лицо, заключившее Договор, зарегистрированное в Системе и признающее данные Правила.

Договор – Договор о присоединении к корпоративной информационной системе Фонда «Институт фондового рынка и управления» и «Национальной фондовой ассоциации (саморегулируемой некоммерческой организации)».

Другие термины:

Авторство документа – принадлежность документа одному из Участников Системы. Авторство документа определяется путем аутентификации содержащейся в нем информации.

АРМ – автоматизированное рабочее место – рабочее место, на котором установлено соответствующее программное обеспечение, способное решать определенные задачи.

Аутентификация информации – установление авторства и целостности информации, содержащейся в документе. Аутентификация может осуществляться как на основе структуры, содержания документа, его реквизитов, так и путем реализации криптографических алгоритмов преобразования информации. Доказательная аутентификация информации осуществляется проверкой подлинности электронной цифровой подписи электронных документов с использованием сертифицированных в установленном федеральным законодательством порядке СКЗИ.

Владелец сертификата ключа подписи – физическое лицо – уполномоченный представитель Участника, на имя которого Организатором выдан сертификат ключа подписи и который владеет соответствующим закрытым ключом ЭЦП, позволяющим с помощью СКЗИ создавать ЭЦП в ЭД (подписывать ЭД).

Внеплановая смена ключей - смена ключей в соответствии с Документацией на СКЗИ, вызванная компрометацией ключей.

Ключевая фраза – речевая фраза, которая заносится Организатором в базу данных при регистрации Участника и используется для аутентификации пользователя при компрометации ключей. Ключевая фраза представляется Участником. В случае компрометации ключа, владелец сертификата ключа подписи или уполномоченный представитель Участника должен связаться с Организатором по телефону, факсу или электронной почте и сообщить о факте компрометации ключа и ключевую фразу, после чего Организатор отзывает сертификат ключа подписи владельца сертификата и включает его в список отозванных сертификатов.

Компрометация ключа – утрата доверия к тому, что используемый секретный ключ недоступен посторонним лицам. К событиям, связанным с компрометацией ключей, относятся, в частности, следующие:

·  утрата ключевых дискет или иных носителей ключа;

·  утрата ключевых дискет или иных носителей ключа с последующим обнаружением;

·  увольнение сотрудников, имевших доступ к ключевой информации;

·  возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;

·  нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура опечатывания сейфов;

·  утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;

·  утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;

·  доступ посторонних лиц к ключевой информации.

Конфиденциальность информации - субъективно определяемая характеристика информации, означающая необходимость введения ограничений на круг лиц, имеющих к ней доступ.

Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Конфликтная ситуация - ситуация, при которой у участников Системы возникает необходимость разрешить вопросы признания или непризнания авторства и/или целостности электронных документов, подписанных ЭЦП.

Криптографический ключ (ключ) – конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, определяющее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.

Несанкционированный доступ к информации - доступ к информации лиц, не имеющих на то полномочий.

Обработка информации – создание, хранение, передача, прием, преобразование и отображение информации.

Открытый ключ ЭЦП – уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому пользователю Системы и предназначенная для подтверждения с использованием средств ЭЦП подлинности ЭЦП в электронном документе.

Плановая смена ключей - смена ключей, не вызванная компрометацией ключей, в соответствии с документацией на СКЗИ, с периодичностью, согласованной Организатором с Участником.

Программное обеспечение (ПО) – программа или комплекс программ, обеспечивающих выполнение соответствующих задач.

Подтверждение подлинности ЭЦП в электронном документе – положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.

Сертификат ключа подписи – документ на бумажном носителе или электронный документ с ЭЦП уполномоченного лица Организатора, который включает в себя открытый ключ ЭЦП и который выдается Организатором Участнику для подтверждения подлинности ЭЦП и идентификации владельца сертификата ключа подписи.

Закрытый ключ ЭЦП – уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах ЭЦП с использованием СКЗИ.

СКЗИ – средства криптографической защиты информации – средства вычислительной техники, осуществляющие криптографическое преобразование информации для обеспечения ее безопасности.

Список отозванных сертификатов (СОС) – документ, содержащий перечень сертификатов ключей подписи, являющихся отозванными из обращения в Системе. Организатор осуществляет отзыв сертификатов и публикацию списков отозванных сертификатов на сайтах: http://www. *****, http://www. ***** с периодичностью не реже 1 (Одного) раза в неделю.

Шифрование – процесс преобразования открытой информации с целью сохранения ее в тайне от посторонних лиц при помощи некоторого алгоритма, называемого шифром.

Шифр – совокупность обратимых преобразований множества возможных открытых данных на множество возможных шифрованных данных, осуществляемых по определенным правилам с применением ключей.

Электронный документ – документ, в котором информация представлена в электронно-цифровой форме. Электронный документ может создаваться на основе документа на бумажном носителе, на основе другого электронного документа либо порождаться в процессе информационного взаимодействия.

Экспертная (согласительная) комиссия - комиссия для разрешения конфликтной ситуации, в состав которой входят представители Организатора, Соорганизатора и Участников, вовлеченных в конфликтную ситуацию. Дополнительно могут привлекаться авторитетные, независимые специалисты в области криптографической защиты информации.

Электронная цифровая подпись (ЭЦП) – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

3. Общие вопросы организации защиты информации

3.1. Организатор осуществляет работы по управлению ключами в соответствии с требованиями федерального законодательства на основании Договора и заявки Участника (Приложение к настоящим Правилам).

3.2.  Организатор вырабатывает закрытые и открытые ключи Участника в соответствии c заявкой Участника в присутствии уполномоченного представителя Участника на АРМ Организатора.

3.3.  Организатор передает Участнику изготовленные сертификаты ключей подписи Участника в электронном виде на магнитном носителе. При изготовлении сертификатов ключей подписи Организатор оформляет 2 (Два) экземпляра сертификата ключа подписи на бумажном носителе, которые заверяются собственноручными подписями владельца сертификата ключа подписи и уполномоченного лица Организатора, а также печатью Организатора. Один экземпляр сертификата ключа подписи выдается владельцу сертификата ключа подписи, второй - остается у Организатора.

3.4.  Участник получает свободный круглосуточный доступ к сертификатам ключей подписи других Участников и к списку отозванных сертификатов (СОС).

4.  Порядок получения СКЗИ, криптографических ключей и сертификатов ключей подписи

4.1.  Участник представляет следующий комплект документов Соорганизатору:

·  заявку на подключение к Системе (Приложение к настоящим Правилам) с приложением анкетных данных на организацию и уполномоченного представителя Участника, включающих пароль для доступа к СКЗИ и ключевую фразу;

·  доверенность, заверенная печатью организации, в случае, если сертификат(-ы) ключа(-ей) подписи и криптографический(-ие) ключ(-и) получает доверенное лицо (Приложение к настоящим Правилам);

·  документы, подтверждающие оплату услуг по Договору.

4.2.  Соорганизатор на основании заявок Участников принимает решение по изготовлению сертификатов ЭЦП, отзыву, приостановлению/возобновлению действия сертификатов ЭЦП и передаёт заявку Организатору.

4.3.  Организатор выполняет заявку Участника на изготовление криптографических ключей и выдаёт ему сертификаты ключей электронной подписи в электронной форме и на бумажном носителе и СКЗИ либо вносит сертификат ключа в список отозванных сертификатов.

4.4..Уполномоченный представитель Участника (Приложение к настоящим Правилам):

·  получает криптографические ключи, сертификаты ключей подписи в электронной форме и на бумажном носителе, сертификат ключа подписи уполномоченного представителя Организатора, список отозванных сертификатов и СКЗИ;

·  получает подписанные со стороны Организатора и скрепленные печатью Организатора 1 (один) экземпляр Акта приема-передачи СКЗИ в эксплуатацию (Приложение к настоящим Правилам), счет-фактуру на выданные Участнику СКЗИ и криптографические ключи.

4.5. Участник в соответствии с инструкциями, полученными у Организатора, самостоятельно производит все необходимые работы по установке и настройке СКЗИ.

5.  Функции и задачи Организатора.

Организатор:

5.1.  Обеспечивает изготовление и хранение сертификатов ключей подписей как в электронной форме, так и на бумажном носителе.

5.2.  Приостанавливает и возобновляет действие сертификатов ключей подписей, а также аннулирует их.

5.3.  Ведет реестр сертификатов ключей подписей, обеспечивает его актуальность и возможность свободного доступа к нему участников информационных систем.

5.4.  Проверяет уникальность открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра.

5.5.  Выдает сертификаты ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии.

5.6.  Осуществляет по обращениям Участников подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей.

5.7.  Участвует в работе Экспертной комиссии при рассмотрении конфликтных ситуаций.

5.8.  График работы Организатора публикуется на сайте: http://www. *****.

6.  Функции и задачи Соорганизатора.

Соорганизатор:

6.1.  Осуществляет прием заявок от Участников на получение сертификатов ЭЦП и принимает решение на выдачу, отзыв, приостановление/возобновление действия сертификатов ключей ЭЦП.

6.2.  Взаимодействует с Участниками по вопросам получения, замены ключей при их компрометации.

6.3.  Хранит копию реестра выданных сертификатов.

6.4.  Взаимодействует с Участниками при рассмотрении спорных и конфликтных ситуаций, связанных с использованием сертификатов ЭЦП.

6.5.  Взаимодействует с ФСФР России по любым вопросам, касающимся предмета настоящего Договора.

7.  Права и обязанности Организатора.

Организатор имеет право:

7.1.  Требовать от Участника осуществления электронного документооборота в рамках Системы в соответствии с Правилами.

7.2.  Совместно с Соорганизатором вносить изменения, дополнения в Правила, а также прекращать их действие.

7.3.  Осуществлять иные права, предусмотренные Правилами.

Организатор обязуется:

7.4.  Не позднее чем за 1 (Один) месяц извещать Участника об изменениях и дополнениях, вносимых в Правила.

7.5.  Предоставлять Участнику СКЗИ.

7.6.  Организовывать работу с криптографическими ключами Участника в объеме и в соответствии с порядком, определяемым Правилами.

7.7.  Соблюдать режим конфиденциальности информации, полученной Организатором в связи с выполнением им своих функций в соответствии с Правилами.

7.8.  Выполнять иные обязанности перед Участником, предусмотренные Правилами.

8.  Права и обязанности Соорганизатора

Соорганизатор имеет право:

8.1.  Требовать от Участника осуществления электронного документооборота в рамках Системы в соответствии с Правилами.

8.2.  Совместно с Организатором вносить изменения, дополнения в Правила, а также прекращать их действие.

8.3.  Осуществлять иные права, предусмотренные Правилами.

Соорганизатор обязуется:

8.4.  Способствовать своевременному выполнению заявки Участника по предоставлению ему СКЗИ.

8.5.  Соблюдать режим конфиденциальности информации, полученной Соорганизатором в связи с выполнением им своих функций в соответствии с Правилами.

9.  Права и обязанности Участника.

Участник имеет право:

9.1.  После выполнения всей совокупности действий, необходимых для осуществления допуска к осуществлению электронного документооборота, получить возможность осуществлять электронный документооборот в соответствии с Правилами.

9.2.  Требовать от Организатора организации работы с криптографическими ключами Участника в объеме и в соответствии с порядком, определяемым Правилами и Приложениями к ним.

9.3. Передавать по электронной почте (на магнитных носителях) другим зарегистрированным Участникам Системы или получать от них зашифрованные и/или подписанные ЭЦП электронные документы.

9.4. Не принимать электронные документы, подписанные ЭЦП, если:

- сертификат ключа подписи Участника Системы не действует (находится в СОС) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

- не подтверждена подлинность ЭЦП в электронном документе;

- ЭЦП используется не в соответствии со сведениями, указанными в сертификате ключа подписи;

- запрашивать подтверждение по переданным ему электронным документам другими Участниками в случае возникновения сомнений. Осуществлять иные права, предусмотренные Правилами.

9.5. Осуществлять иные права, предусмотренные Правилами.

Участник обязан:

9.6. Содержать в рабочем состоянии СКЗИ в соответствии с эксплуатационной документацией на СКЗИ.

9.7. Обеспечить надежное хранение закрытых ключей, не допускать доступа к ним посторонних лиц.

9.8. Контролировать целостность и неизменность полученного программного обеспечения СКЗИ штатными средствами в соответствии с эксплуатационной документацией на СКЗИ.

9.9. При обработке электронных документов осуществлять их архивирование и хранить эти архивы в течение срока, установленного соответствующими законами и нормативными актами для хранения электронных и соответствующих бумажных документов.

9.10. Организовать внутренний режим функционирования рабочих мест таким образом, чтобы исключить возможность физического доступа к СКЗИ, несанкционированную модификацию или использование СКЗИ лицами, не имеющими допуска к работе с СКЗИ, а также исключить возможность использования ключевой информации не уполномоченными на то лицами.

9.11.Участник обязан при разрешении конфликтных ситуаций, связанных с установлением целостности, авторства спорного документа, предоставлять Экспертной комиссии, создаваемой и действующей в соответствии с Приложением № 6 к настоящим Правилам, всю запрашиваемую ею информацию.

9.12. Плановая замена криптографических ключей Участника производится по инициативе Организатора, но не реже одного раза в год (отдельным соглашением могут быть установлены другие сроки) в следующем порядке:

·  замене подлежат ключи Участника, срок действия которых истек;

·  за 2 (Два) месяца до замены ключей Организатор определяет график проведения работ и письменно сообщает Участнику о начале работ по плановой замене ключей;

·  работы по генерации ключей и выдаче сертификатов ключей подписи Организатор производит в соответствии с разделом 4 настоящих Правил;

·  после получения новых ключей и сертификатов ключей подписи Участник подписывает Акт выдачи криптографических ключей (Приложение /1 к настоящим Правилам);

·  Участник после получения новых ключей и сертификатов ключей подписи проверяет их работоспособность;

·  старые ключи уничтожаются Участником самостоятельно путем двойного переформатирования ключевых носителей, с составлением Акта уничтожения криптографических ключей (Приложение № 8 к настоящим Правилам).

10.  Действия Сторон при компрометации ключей

10.1 Участник в случае принятия решения о компрометации собственных ключей, обязан немедленно информировать Организатора по телефону, факсу или в виде электронного сообщения, о наступлении события, трактуемого как компрометация. При этом Участник должен указать анкетные данные владельца сертификата ключа подписи и ключевую фразу.

10.2 Организатор, получив сообщение о компрометации ключей Участника, должен убедиться в достоверности сообщения о компрометации (запросить анкетные данные владельца сертификата ключа подписи и ключевую фразу), после чего обязан немедленно вывести из действия скомпрометированные ключи (занести сертификаты ключей подписи в СОС) и сообщить об этом Соорганизатору. Участник получает по электронной почте официальное уведомление от Организатора о внесении сертификатов ключей подписи, соответствующих скомпрометированным ключам, в СОС.

10.3  Участник, объявивший о компрометации ключей, в течение 1 (Одного) рабочего дня направляет уведомление об этом Организатору.

10.4 При принятии решения о компрометации ключа Участник должен немедленно прекратить обмен электронными документами с другими Участниками с использованием скомпрометированного ключа. Участник, допустивший компрометацию ключей, несет все издержки, связанные с генерацией новых ключей, их сертификацией и вводом в действие.

11 Конфиденциальность информации

11.1 Организатор и Участник в процессе обмена электронными документами обязуются обеспечивать сохранность, в соответствии с действующим законодательством Российской Федерации, конфиденциальной информации, полученной друг от друга

11.2. Порядок предоставления конфиденциальной информации налоговым, правоохранительным и судебным органам осуществляется в соответствии с законодательством Российской Федерации.

12.  Ответственность Участника

12.1 3а неисполнение или ненадлежащее исполнение обязательств по настоящим Правилам Участник несет ответственность в соответствии с Договором и законодательством Российской Федерации.

12.2 Участник несет ответственность за достоверность сведений, указанных в заявке (Приложение к настоящим Правилам), а также Участник обязан сообщать обо всех изменениях этих сведений в течение 3 (Трех) рабочих дней с момента внесения изменений. Организатор оставляет за собой право отзыва сертификатов ключей подписи в случае, если обнаружится, что Участник предоставил недостоверную информацию.

12.3 В случае нарушения Участником настоящих Правил, Организатор имеет право отозвать сертификат ключа подписи Участника.

12.4 Организатор не несет ответственность за возможные последствия компрометации ключей Участника, если эти последствия возникли в результате противоправных действий, совершенных до момента внесения сертификата ключа подписи, соответствующего скомпрометированному ключу, в список отозванных сертификатов.

13.  Порядок взаимодействия Сторон при разрешении конфликтных ситуаций, связанных с использованием ЭЦП

13.1 В случае возникновения конфликтных ситуаций, связанных с подтверждением авторства и/или подлинности электронных документов, подписанных ЭЦП, Стороны руководствуются Порядком разрешения конфликтных ситуаций, изложенным в Приложении № 6 к настоящим Правилам и Инструкцией по доказательству принадлежности ЭЦП, приведенной в Приложении № 7 к настоящим Правилам.

14.  Прочие условия

14.1 Изменения и дополнения в настоящие Правила вносятся Организатором по согласованию с Соорганизатором с обязательным уведомлением всех Участников. Указанные изменения и дополнения вступают в силу в сроки, определенные Организатором.

14.2 Новая редакция Правил доводится Организатором до сведения Участника не позднее, чем за 10 (Десять) дней до их вступления в силу путем направления новой редакции Правил по электронному адресу уполномоченного представителя Участника, указанному в Приложении 2 к заявке на подключение к Системе.

14.3 Если изменения вызваны изменением законодательства Российской Федерации, иных нормативно-правовых актов, то допускаются меньшие сроки для такого уведомления.

Приложения

Приложение . Форма заявки на подключение Участника к Системе с приложениями, на 3 листах.

Приложение . Образец доверенности, на 1 листе.

Приложение . Акт приема-передачи СКЗИ в эксплуатацию, на 1 листе.

Приложение /1. Акт выдачи криптографических ключей, на 1 листе.

Приложение . Требования по обеспечению безопасности информации при ее защите по уровню “КC1” (на уровне потребителя), на 2 листах.

Приложение . Системные требования к Участнику для установки СКЗИ, на 1 листе.

Приложение . Порядок разрешения конфликтных ситуаций, возникающих в ходе осуществления электронного документооборота, на 2 листах.

Приложение . Инструкция по доказательству принадлежности ЭЦП при разборе конфликтных ситуаций, на 1 листе.

Приложение . Акт уничтожения криптографических ключей, на 1 листе.

Приложение

к Правилам

Заявка на подключение к Системе

Генеральному директору Фонда «ИФРУ»

Прошу в соответствии с Договором №_________________ от «___»___________2010 г.

·  изготовить ключ(-и) и сертификат(-ы) ключа подписи _______(указать количество);

·  предоставить лицензию (-и) на право использования СКЗИ «Крипто-Про CSP версии 3.6 на одном рабочем месте ___________(указать количество).

Владельцем сертификата является:

_______________________________________Ф. И.О. (полностью)

Компьютеры, программное обеспечение, уровень подготовки персонала соответствуют Приложению № 5 к Правилам.

Помещения, режим эксплуатации программного обеспечения и персональных компьютеров, на которые будут установлены СКЗИ, соответствуют требованиям по обеспечению безопасности информации при ее защите по уровню “КC1” согласно Приложению № 4 к Правилам.

К заявке прилагаются:

Приложение 1. «Анкетные данные Участника», «Анкетные данные уполномоченного представителя Участника (владельца сертификата ключа подписи)».

Руководитель организации Участника_________________________ / /

М. П. «______»____________________2010 г.

Приложение к заявке

на подключение к Системе

Анкетные данные Участника

(Все поля обязательны для заполнения)

Анкетные данные уполномоченного представителя Участника

(владельца сертификата ключа подписи)

(Все поля обязательны для заполнения)

1. ФИО___________________________________________________________________

2. Паспортные данные (номер паспорта, дата выдачи, когда и кем выдан)___________

__________________________________________________________________________

3. Должность ______________________________________________________________

4. Контактный телефон с указанием кода города ________________________________

5. Е-mail __________________________________________________________________

6. Фактический адрес организации ___________________________________________

Руководитель организации Участника______________________________

М. П. «______»____________________2010 г.

Приложение

к Правилам

Доверенность №_________

на представителя от юридического лица

город _________________

________________________________________________________________________________

(дата прописью)

________________________________________________________________________________

(полное наименование организации с указанием местонахождения)

________________________________________________________________________________

(должность руководителя, фамилия, имя, отчество)

УПОЛНОМАЧИВАЕТ

_________________________________________________________ (должность, фамилия, имя, отчество)

________________________________________________________________________________

(паспортные данные, место выдачи, дата прописью)

ВЫПОЛНИТЬ СЛЕДУЮЩЕЕ:

·  присутствовать при изготовлении ключей и сертификатов ключей подписи;

·  получить от ИФРУ магнитные носители с электронными ключами, сертификаты ключей электронной подписи, список отозванных сертификатов, дистрибутив средств криптографической защиты информации и лицензию на их использование;

·  подписать Акт приема-передачи ключей и средств криптографической защиты информации,

·  расписываться в регистрационных журналах ИФРУ;

·  ___________________другие полномочия __________________________.

Доверенность действительна по «______»_________________2010 г.

Подпись (фамилия, инициалы) ______________________________ удостоверяю.

(личная подпись)

Должность __________________________ ____________________

(Ф. И.О.)

_________________________Подпись

М. П.

Приложение

к Правилам

Акт

приема-передачи СКЗИ в эксплуатацию

г. Москва "______"____________________________2010 г.

Настоящий акт составили уполномоченный представитель

(наименование Участника)

(фамилия, имя, отчество представителя Участника)

и уполномоченный представитель Фонда "Институт фондового рынка и управления" (далее – «Организатор»)

(фамилия, имя, отчество сотрудника Организатора)

о том, что Организатор, в соответствии с Договором №_________________ от «____» ______________ 20___ г. выполнил следующие работы:

1.  передал Участнику (изготовленные в присутствии представителя Участника) криптографические ключи;

2.  внес сертификаты открытых ключей Участника в реестр сертификатов;

3.  зарегистрировал Участника в регистрационном журнале;

4.  передал Участнику сертификаты открытых ключей;

5.  передал Участнику программное обеспечение по эксплуатации СКЗИ КриптоПро CSP и КриптоПро TLS;

6.  передал участнику комплект Инструкций по эксплуатации СКЗИ;

7.  провел инструктаж представителя (представителей) Участника по правилам работы с СКЗИ;

8.  предоставил Участнику список отозванных сертификатов;

9.  _________________________другие работы___________________________________________

Приложение /1

к Правилам

Акт

выдачи криптографических ключей

г. Москва "______"____________________________2010 г.

Настоящий акт составили уполномоченный представитель

(наименование Участника)

(фамилия, имя, отчество представителя Участника)

и уполномоченный представитель Фонда "Институт фондового рынка и управления" (далее - «Организатор»)

(фамилия, имя, отчество представителя Организатора)

о том, что Организатор, в соответствии с п.9.12. Правил, произвел плановую замену криптографических ключей, выполнив следующие работы:

1. передал Участнику (изготовленные в присутствии представителя Участника) криптографические ключи;

2.  внес сертификат открытого ключа Участника в реестр сертификатов;

3.  зарегистрировал Участника в регистрационном журнале;

4.  передал Участнику сертификат открытого ключа;

5.  предоставил Участнику список отозванных сертификатов.

Приложение

к Правилам

Требования по обеспечению безопасности информации

при ее защите по уровню “КC1” (на уровне потребителя)

1. Требования по организационному обеспечению эксплуатации СКЗИ

1.1. Участником выделяются (определяются) должностные лица, ответственные за обеспечение безопасности информации и эксплуатации СКЗИ.

1.2. Участником разрабатываются нормативные документы, регламентирующие вопросы безопасности информации и эксплуатации СКЗИ.

1.3. К работе со СКЗИ допускаются сотрудники, имеющие навыки работы на персональном компьютере, ознакомленные с правилами эксплуатации СКЗИ.

2. Требования по размещению СКЗИ и режиму охраны

2.1. Помещения, в которых размещаются программно-технические средства со встроенными СКЗИ, являются режимными и должны обеспечивать конфиденциальность проводимых работ.

2.2. Размещение режимных помещений и их оборудование должны исключать возможность бесконтрольного проникновения в них посторонних лиц и обеспечивать сохранность находящихся в этих помещениях конфиденциальных документов и технических средств.

2.3. Размещение оборудования, технических средств, предназначенных для обработки конфиденциальной информации, должно соответствовать требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности.

2.4. Входные двери режимных помещений должны быть оборудованы замками, обеспечивающими надежное закрытие помещений в нерабочее время.

2.5. Окна и двери должны быть оборудованы охранной сигнализацией, связанной с пультом централизованного наблюдения за сигнализацией.

2.6. Размещение технических средств в режимном помещении должно исключать возможность визуального просмотра конфиденциальных документов и экранов мониторов, на которых она отражается, через окна.

2.7. В режимные помещения допускаются руководство Участника, сотрудники подразделения безопасности и исполнители, имеющие прямое отношение к обработке, передаче и приему конфиденциальных документов.

2.8. Системные блоки ЭВМ со СКЗИ оборудуются средствами контроля вскрытия.

2.9. Ремонт и/или последующее использование системных блоков осуществляется после удаления с них программного обеспечения СКЗИ (возможно согласование с Организатором Системы).

3. Требования по обеспечению безопасности ключевой информации

3.1. Носители секретных ключей ЭЦП, шифрования и инсталляционные дискеты с ПО СКЗИ на предприятии берутся на поэкземплярный учет в выделенных для этих целей журналах.

3.2. Учет и хранение секретных ключей поручается руководством Участника специально выделенным сотрудникам.

3.3. Для хранения носителей секретных ключей ЭЦП и шифрования выделяется сейф или иное хранилище, обеспечивающее сохранность ключевой информации.

3.4. Хранение ключей и инсталляционных дискет с ПО СКЗИ допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, не предусмотренное правилами пользования СКЗИ, применение.

3.5. Рабочие (актуальные) и резервные ключи хранятся раздельно, с обеспечением условия невозможности их одновременной компрометации.

3.6. При транспортировке носителей секретной ключевой информации обеспечиваются условия, обеспечивающие защиту от физических повреждений и внешнего воздействия на записанную ключевую информацию.

Приложение

к Правилам

Минимальные системные требования к программно-техническим средствам Участника для установки СКЗИ.

Для установки и эксплуатации СКЗИ необходимы:

Компьютер Pentium 200; Оперативная память – 128 мб; Windows 98 с установленным ПО MS Internet Explorer версии 5.0 и выше; Windows 98 SE с установленным ПО ПО MS Internet Explorer версии 5.0 и выше; Windows NT 4.0 SP5 и выше с установленным MS Internet Explorer версии 5.0 и выше; Windows ME; Windows 2Service Pack 3; Windows XP (версия 2.0). Internet Explorer 7; КриптоПро CSP 3.6

Возможно использование как русских так и английских версий программного обеспечения.

Приложение

к Правилам

ПОРЯДОК

разрешения конфликтных ситуаций,

возникающих в ходе осуществления электронного документооборота.

1.   Общие положения.

1.1. В соответствии с настоящим порядком подлежат разрешению конфликтные ситуации двух типов:

·  некорректность входящего электронного документа или ЭЦП (конфликтная ситуация типа 1);

·  для корректного электронного документа непризнание отправителем электронного документа факта отправки документа, а также его целостности и подлинности (конфликтная ситуация 2).

2.  Порядок разрешения конфликтных ситуаций типа 1.

2.1. Действия Сторон в данной ситуации заключаются в следующем.

2.1.1. Принимающая Сторона по телефону (или иным образом) запрашивает у отправляющей Стороны информацию об электронном документе, подлинность которого вызывает сомнения. При получении подтверждения об отправке указанного электронного документа, запрашивает повторное оформление и отправку данного электронного документа.

2.1.2. Результатом повторной обработки принимающей Стороной (проверка ЭЦП) полученного документа может быть:

А.1. Повторная проверка дала отрицательный результат. ЭЦП документа неверна.

В этом случае делается вывод о возможном нарушении действующего криптографического ключа, либо о неисправности программно-аппаратных средств одной из Сторон.

При этом необходимо:

- проверить сертификаты открытых ключей;

- штатными средствами в соответствии с эксплуатационной документацией проверить целостность и неизменность программного обеспечения СКЗИ. И переустановить его в случае необходимости;

- если положительный результат не достигнут, обратиться к Организатору Системы.

А.2. Повторная проверка дала положительный результат. ЭЦП документа верна.

3. Порядок разрешения конфликтных ситуаций типа 2.

3.1.  В случае если одна Сторона придет к выводу, что другая Сторона ссылается на документ, исходящий от нее, который им не отправлялся и/или его содержание изменено, этот Участник немедленно извещает Организатора о наличии конфликтной ситуации.

3.2.  Организатор совместно с Соорганизатором формирует Экспертную (согласительную) комиссию для разрешения конфликтной ситуации, в состав которой входят представители Организатора и Участника, вовлеченные в конфликтную ситуацию. Дополнительно могут привлекаться авторитетные, независимые специалисты в области криптографической защиты информации. Оплата услуг независимых экспертов возлагается на пригласившую их Сторону.

3.3.  В ходе работы Экспертной комиссии рассматриваются документы, в том числе электронные, относящиеся к предмету разногласий, и выполняется процедура проверки ЭЦП электронного документа, являющегося предметом разбирательства, в соответствии с Инструкцией, приведенной в Приложении 7 к настоящим Правилам. При этом могут быть использованы следующие данные:

·  данные архива оригиналов принятых/отправленных документов;

·  сертификаты ключей подписи, выданные Организатором;

·  дистрибутивы СКЗИ;

·  СОС.

Приложение

к Правилам

Инструкция по доказательству

принадлежности ЭЦП при разрешении конфликтных ситуаций

1. Для проведения разбора конфликтной ситуации необходимы:

·  Заверенный Организатором сертификат ключа подписи уполномоченного представителя Участника, подписавшего электронный документ, целостность или авторство которого оспаривается.

·  Файл, содержащий документ, в отношении которого возникает конфликтная ситуация.

2. Для разбора конфликтной ситуации необходимо выполнить следующие действия:

·  Произвести проверку ЭЦП электронного документа, авторство подписи которого оспаривается.

·  Распечатать сертификат ключа подписи из реестра сертификатов ключей подписи Организатора.

·  Сравнить сертификат ключа подписи, представленного Стороной, и распечатанный сертификат ключа подписи из реестра сертификатов ключей подписи Организатора.

3. Авторство электронного документа считается установленным, если совпадает открытый ключ ЭЦП представленного Стороной сертификата ключа подписи с открытым ключом ЭЦП сертификата ключа подписи из реестра сертификатов ключей подписи Организатора, и в протоколе проверки подписи Участника, составленном членами Экспертной комиссии, сформирована запись “Подпись верна”.

Приложение

к Правилам

Акт

уничтожения криптографических ключей

Настоящий акт составлен в том, что физически уничтожены электромагнитные носители (дискеты), содержащие криптографические ключи:

Копии ключевых носителей в количестве _____ экз. уничтожены.

Сертификаты ключей переданы на архивное хранение в организацию.

Владелец ключа _________________________________ ()