ДОГОВОР № 12/___/___- УЦ

о присоединении к Корпоративной информационной системе

Фонд «Институт фондового рынка и управления», именуемый в дальнейшем «Организатор», . И., действующего на основании Устава, с одной стороны, и _____________________________________ ___________________________________________, именуемый в дальнейшем «Участник», в лице ___________________________________________________________________, действующего на основании ______________________________________, с другой стороны, вместе именуемые «Стороны», заключили настоящий Договор о нижеследующем.

1. Предмет договора

1.1.В силу настоящего Договора Участник присоединяется к Корпоративной информационной системе (далее «Система»), организованной и осуществляемой в соответствии с Правилами электронного документооборота в корпоративной информационной системе (далее «Правила»), являющимися неотъемлемой частью настоящего Договора.

1.2.Участник принимает и надлежащим образом выполняет порядок и условия электронного документооборота, установленные Правилами, присоединяясь к Системе в целом.

2. Общие положения

2.1.Участник использует для защиты информации при подготовке документов в электронной форме сертифицированные в установленном федеральным законодательством порядке средства криптографической защиты информации (далее «СКЗИ»).

2.2.Настоящий Договор определяет взаимные права и обязанности Организатора и Участника в связи с осуществлением электронного документооборота в соответствии с Правилами.

3. Права Организатора

Организатор имеет право:

3.1.Требовать от Участника осуществления электронного документооборота в рамках Системы в соответствии с Правилами;

3.2. Вносить изменения, дополнения в Правила, а также прекращать их действие;

3.3. Осуществлять иные права, предусмотренные Правилами.

4. Обязанности Организатора

Организатор обязуется:

4.1. Не позднее чем за 1 (Один) месяц извещать Участника об изменениях и дополнениях, вносимых в Правила;

4.2. После выполнения Участником всей совокупности действий, предусмотренных Правилами и необходимых для осуществления допуска к осуществлению электронного документооборота, обеспечить Участнику возможность осуществлять электронный документооборот в соответствии с Правилами;

4.3. Предоставлять Участнику СКЗИ;

4.4. Организовывать работу с криптографическими ключами Участника в объеме и в соответствии с порядком, определяемым Правилами;

4.5. Соблюдать режим конфиденциальности информации, полученной Организатором в связи с выполнением им своих функций в соответствии с Правилами;

4.6. Выполнять иные обязанности перед Участником, предусмотренные Правилами.

5. Права Участника

Участник имеет право:

5.1.  Участвовать в Системе в соответствии с Правилами;

5.2.  После выполнения всей совокупности действий, необходимых для осуществления допуска к осуществлению электронного документооборота, получить от Организатора возможность осуществлять электронный документооборот в соответствии с Правилами;

5.3.  Требовать от Организатора организации работы с криптографическими ключами Участника в объеме и в соответствии с порядком, определяемым Правилами и Приложениями к ним;

5.4.  Осуществлять иные права, предусмотренные Правилами.

6. Обязанности Участника

Участник обязуется:

6.1.  Установить необходимые аппаратные средства, программное и информационное обеспечение, а также поддерживать их в работоспособном состоянии;

6.2.  Выполнить всю совокупность действий, необходимых для получения допуска к осуществлению электронного документооборота, предусмотренных Правилами;

6.3.  Своевременно уведомлять Организатора о компрометации зарегистрированных криптографических ключей, а также соблюдать организационно-технические требования по обеспечению безопасности информации, установленные в Правилах;

6.4.  Использовать полученные у Организатора СКЗИ, в т. ч. криптографические ключи и сертификаты, только для целей осуществления электронного документооборота в рамках Системы, не передавать без письменного согласия Организатора данные средства третьим лицам;

6.5.  Не совершать действий, способных привести к нарушению целостности Системы, а также незамедлительно сообщать Организатору о ставших известными Участнику попытках третьих лиц совершить действия, способные привести к нарушению целостности Системы;

6.6.  Соблюдать порядок разрешения конфликтных ситуаций и споров, установленный Правилами;

6.7.  Обеспечивать сохранность конфиденциальной информации, полученной в процессе обмена электронными документами с Организатором и другими участниками Системы;

6.8.  Осуществлять электронный документооборот в соответствии с Правилами.

7.  Порядок расчетов

7.1.Стоимость услуг, оказываемых Организатором по настоящему Договору, устанавливается в размере 26800 (двадцать шесть тысяч восемьсот) рублей, включая НДС – 18%. В вышеуказанную сумму включается:

7.1.1.  стоимость изготовления 1 (Одного) криптографического ключа – 3000 (Три тысячи) рублей, включая НДС – 18%;

7.1.2.  стоимость обслуживания Участника в Системе в течение 1 (Одного) года – 20 000 (двадцать тысяч) рублей, включая НДС – 18%.

7.1.3.  стоимость лицензии на право использования СКЗИ "КриптоПро CSP" на одном рабочем месте – 2300 (две тысячи триста) рублей.

7.1.4.  стоимость лицензии на право использования ПО "КриптоАРМ Стандарт" на одном рабочем месте – 1500 (одна тысяча пятьсот) рублей.

7.1.5.  Расчеты производятся Участником в порядке предоплаты, в течение 7 (Семи) банковских дней с момента заключения договора, путем перечисления денежной суммы, указанной в п.7.1 настоящего Договора, на расчетный счет Организатора.

7.2. Факт обслуживания Участника в корпоративной системе электронного документооборота подтверждается Актом сдачи-приемки услуг. Счет-фактура на выданные Участнику криптографические ключи, программное обеспечение по эксплуатации СКЗИ КриптоПро CSP, комплект Инструкций по эксплуатации СКЗИ передается Участнику в момент их получения у Организатора

7.3. В случае генерации Организатором новых ключей в результате их компрометации либо по причине замены адреса электронной почты, принадлежащего владельцу сертификата криптографических ключей, Участник оплачивает стоимость выдачи новых криптографических ключей, в соответствии с п.7.1.1. настоящего Договора.

8. Ответственность сторон

8.1. За невыполнение или ненадлежащее выполнение обязательств по настоящему Договору Стороны несут имущественную ответственность в пределах суммы документально подтвержденного реального ущерба, причиненного Стороне невыполнением или ненадлежащим выполнением обязательств другой Стороной.

8.2. Стороны несут ответственность за действия своих сотрудников, а также иных лиц, получивших или имеющих доступ (независимо от того был ли этот доступ прямо санкционирован Стороной или произошел по ее вине) к используемым ими аппаратным средствам, программному, информационному обеспечению, криптографическим ключам и иным средствам, обеспечивающим электронный документооборот в соответствии с Правилами, как за свои собственные.

9. Порядок разрешения споров

9.1. Стороны обязуются соблюдать установленный Правилами порядок урегулирования конфликтных ситуаций, возникающих в связи с осуществлением электронного документооборота.

9.2. Все споры и разногласия, по которым Стороны не пришли к соглашению, подлежат рассмотрению в Арбитражном суде г. Москвы в соответствии с действующим законодательством РФ.

10. Срок действия договора

10.1. Настоящий Договор заключен на срок 12 месяцев.

10.2. Настоящий Договор вступает в силу и становится обязательным для Сторон с момента его подписания обеими Сторонами.

10.3. Настоящий Договор может быть расторгнут по инициативе любой из Сторон, с уведомлением другой стороны не менее, чем за один месяц до предполагаемой даты расторжения. В случае расторжения Договора криптографические ключи отзываются.

11. Дополнения и изменения

11.1. Все дополнения и изменения к настоящему Договору действительны в том случае, если они оформлены в письменном виде и подписаны уполномоченными представителями Сторон.

12. Прочее

12.1. Расторжение настоящего Договора не влияет на действительность и порядок действия документов, созданных при помощи СКЗИ до даты расторжения Договора.

12.2. Участник не вправе уступать права требования и/или осуществлять перевод долга по своим обязательствам, возникшим в соответствии с настоящим Договором, в пользу других Участников Системы или любых третьих лиц.

12.3. При возникновении ситуаций, признаваемых согласно Правилам чрезвычайными, взаимное выполнение обязательств Сторон настоящего Договора осуществляется в соответствии с решениями, принимаемыми в соответствии с Правилами, в рамках урегулирования данных ситуаций.

12.4. Термины, определение которых не указано в тексте настоящего Договора, определяются в соответствии с Правилами.

13.  Реквизиты и подписи сторон:

Приложение к Договору

«УТВЕРЖДАЮ»

Генеральный директор

Фонда «Институт фондового

рынка и управления»

__________________/

01 января 2012 г.

ПРАВИЛА

электронного документооборота в корпоративной информационной системе

Москва 2012

1. Общие положения

1.1.  Настоящие Правила определяют:

§  Порядок организации криптографической защиты информации при электронном документообороте в Системе.

§  Порядок регистрации Участников Системы.

1.2.  Участники Системы осуществляют обмен электронными документами по открытым каналам связи.

1.3.  Участники электронного документооборота осуществляют обмен электронными документами в рамках Системы только между зарегистрированными Участниками Системы.

1.4.  Действия Участников электронного документооборота при возникновении конфликтных ситуаций регламентируются Порядком разрешения конфликтных ситуаций (Приложение к настоящим Правилам).

1.5.  Участники используют для защиты информации при подготовке документов в электронной форме сертифицированные в установленном федеральным законодательством порядке СКЗИ.

1.6.  Используемые во взаимоотношениях между Участниками электронные документы, подписанные ЭЦП, имеют равную юридическую силу с документами на бумажном носителе, имеющими подписи и печати (независимо от того, существуют такие документы на бумажном носителе или нет).

1.7.  Участник признает, что использование в Системе СКЗИ, которые реализуют ЭЦП и шифрование, достаточно для обеспечения конфиденциальности электронных документов, а также подтверждения того, что электронный документ:

·  исходит от Участника (подтверждение авторства документа);

·  не претерпел изменений при информационном взаимодействии Участника (подтверждение целостности документа).

2. Термины и сокращения, используемые в Правилах

Основные термины:

Система – корпоративная информационная система Фонда "Институт фондового рынка и управления" (далее - "ИФРУ"), в которой реализован электронный документооборот среди Участников Системы.

Организатор – Фонд «ИФРУ», осуществляющий деятельность по распространению СКЗИ и предоставляющий комплекс услуг в области обеспечения безопасности информации среди Участников Системы.

Участник – юридическое лицо, заключившее с Организатором Системы Договор, зарегистрированное в Системе и признающее данные Правила.

Другие термины:

Авторство документа – принадлежность документа одному из Участников Системы. Авторство документа определяется путем аутентификации содержащейся в нем информации.

АРМ – автоматизированное рабочее место – рабочее место, на котором установлено соответствующее программное обеспечение, способное решать определенные задачи.

Аутентификация информации – установление авторства и целостности информации, содержащейся в документе. Аутентификация может осуществляться как на основе структуры, содержания документа, его реквизитов, так и путем реализации криптографических алгоритмов преобразования информации. Доказательная аутентификация информации осуществляется проверкой подлинности электронной цифровой подписи электронных документов с использованием сертифицированных в установленном федеральным законодательством порядке СКЗИ.

Владелец сертификата ключа подписи – физическое лицо – уполномоченный представитель Участника, на имя которого Организатором выдан сертификат ключа подписи и который владеет соответствующим закрытым ключом ЭЦП, позволяющим с помощью СКЗИ создавать ЭЦП в ЭД (подписывать ЭД).

Внеплановая смена ключей - смена ключей в соответствии с Документацией на СКЗИ, вызванная компрометацией ключей.

Договор – Договор о присоединении к корпоративной информационной системе, заключенный между Участником и Организатором.

Ключевая фраза – речевая фраза, которая заносится Организатором в базу данных при регистрации Участника и используется для аутентификации пользователя при компрометации ключей. Ключевая фраза представляется Участником. В случае компрометации ключа, владелец сертификата ключа подписи или уполномоченный представитель Участника должен связаться с Организатором по телефону, факсу или электронной почте и сообщить о факте компрометации ключа и ключевую фразу, после чего Организатор отзывает сертификат ключа подписи владельца сертификата и включает его в список отозванных сертификатов.

Компрометация ключа – утрата доверия к тому, что используемый секретный ключ недоступен посторонним лицам. К событиям, связанным с компрометацией ключей, относятся, в частности, следующие:

·  утрата ключевых дискет или иных носителей ключа;

·  утрата ключевых дискет или иных носителей ключа с последующим обнаружением;

·  увольнение сотрудников, имевших доступ к ключевой информации;

·  возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;

·  нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура опечатывания сейфов;

·  утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;

·  утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;

·  доступ посторонних лиц к ключевой информации.

Конфиденциальность информации - субъективно определяемая характеристика информации, означающая необходимость введения ограничений на круг лиц, имеющих к ней доступ.

Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Конфликтная ситуация - ситуация, при которой у участников Системы возникает необходимость разрешить вопросы признания или непризнания авторства и/или целостности электронных документов, подписанных ЭЦП.

Криптографический ключ (ключ) – конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, определяющее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.

Несанкционированный доступ к информации - доступ к информации лиц, не имеющих на то полномочий.

Обработка информации – создание, хранение, передача, прием, преобразование и отображение информации.

Открытый ключ ЭЦП – уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому пользователю Системы и предназначенная для подтверждения с использованием средств ЭЦП подлинности ЭЦП в электронном документе.

Плановая смена ключей - смена ключей, не вызванная компрометацией ключей, в соответствии с документацией на СКЗИ, с периодичностью, согласованной Организатором с Участником.

Программное обеспечение (ПО) – программа или комплекс программ, обеспечивающих выполнение соответствующих задач.

Подтверждение подлинности ЭЦП в электронном документе – положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.

Сертификат ключа подписи – документ на бумажном носителе или электронный документ с ЭЦП уполномоченного лица Организатора, который включает в себя открытый ключ ЭЦП и который выдается Организатором Участнику для подтверждения подлинности ЭЦП и идентификации владельца сертификата ключа подписи.

Закрытый ключ ЭЦП – уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах ЭЦП с использованием СКЗИ.

СКЗИ – средства криптографической защиты информации – средства вычислительной техники, осуществляющие криптографическое преобразование информации для обеспечения ее безопасности.

Список отозванных сертификатов (СОС) – документ, содержащий перечень сертификатов ключей подписи, являющихся отозванными из обращения в Системе. Организатор осуществляет отзыв сертификатов и публикацию списков отозванных сертификатов на сайтах: http://www. *****, http://www. ***** с периодичностью не реже 1 (Одного) раза в неделю.

Шифрование – процесс преобразования открытой информации с целью сохранения ее в тайне от посторонних лиц при помощи некоторого алгоритма, называемого шифром.

Шифр – совокупность обратимых преобразований множества возможных открытых данных на множество возможных шифрованных данных, осуществляемых по определенным правилам с применением ключей.

Электронный документ – документ, в котором информация представлена в электронно-цифровой форме. Электронный документ может создаваться на основе документа на бумажном носителе, на основе другого электронного документа либо порождаться в процессе информационного взаимодействия.

Экспертная (согласительная) комиссия - комиссия для разрешения конфликтной ситуации, в состав которой входят представители Организатора и Участников, вовлеченных в конфликтную ситуацию. Дополнительно могут привлекаться авторитетные, независимые специалисты в области криптографической защиты информации.

Электронная цифровая подпись (ЭЦП) – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

3. Общие вопросы организации защиты информации

3.1. Организатор осуществляет работы по управлению ключами в соответствии с требованиями федерального законодательства на основании Договора и заявки Участника (Приложение к настоящим Правилам).

3.2.  Организатор вырабатывает закрытые и открытые ключи Участника в соответствии c заявкой Участника в присутствии уполномоченного представителя Участника на АРМ Организатора.

3.3.  Организатор изготавливает сертификаты ключей подписи Участника в электронном виде и на магнитном носителе передает их Участнику. При изготовлении сертификатов ключей подписи Организатор оформляет 2 (Два) экземпляра сертификата ключа подписи на бумажном носителе, которые заверяются собственноручными подписями владельца сертификата ключа подписи и уполномоченного лица Организатора, а также печатью Организатора. Один экземпляр сертификата ключа подписи выдается владельцу сертификата ключа подписи, второй - остается у Организатора.

3.4.  Участник получает свободный круглосуточный доступ к сертификатам ключей подписи других Участников и к списку отозванных сертификатов (СОС).

4.  Порядок получения СКЗИ, криптографических ключей и сертификатов ключей подписи

4.1.  Участник представляет Организатору следующий комплект документов:

·  заявка на подключение к Системе (Приложение к настоящим Правилам) с тремя приложениями:

1) анкетные данные на организацию;

2) анкетные данные уполномоченного представителя Участника, включающие пароль для доступа к СКЗИ и ключевую фразу;

3) заявление о согласии уполномоченного представителя на обработку его персональных данных

·  заверенная копия приказа (протокола или выписка из него) о назначении руководителя организации;

·  доверенность, заверенная печатью организации, в случае, если сертификат(-ы) ключа(-ей) подписи и криптографический(-ие) ключ(-и) получает доверенное лицо, а не владелец сертификата (Приложение к настоящим Правилам);

·  заверенная копия Свидетельства о регистрации организации;

·  заверенная копия Свидетельства о присвоении ИНН организации;

·  заверенные копии лицензий на осуществление профессиональной деятельности на рынке ценных бумаг (предоставляются копии всех лицензий);

·  документы, подтверждающие оплату услуг по Договору;

·  документ, подтверждающий личность доверенного лица (получателя криптографического(-их) ключа (-ей), сертификатов и иных документов).

4.2.  Уполномоченный представитель Участника или другое лицо по доверенности (Приложение к настоящим Правилам):

·  прибывает к Организатору;

·  получает изготовленные в его присутствии криптографические ключи, сертификаты ключей подписи в электронной форме и на бумажном носителе, сертификат ключа подписи уполномоченного представителя Организатора, сертификаты ключей подписи Участников, список отозванных сертификатов и СКЗИ;

·  расписывается в регистрационном журнале Организатора о получении ключей и сертификатов ключей подписи;

·  получает подписанные со стороны Организатора и скрепленные печатью Организатора 1 (один) экземпляр Акта приема-передачи СКЗИ в эксплуатацию (Приложение к настоящим Правилам), счет-фактуру на выданные Участнику СКЗИ и криптографические ключи;

·  инструктируется уполномоченным представителем Организатора по правилам работы с СКЗИ.

4.3.  Участник в соответствии с инструкциями, полученными у Организатора, самостоятельно производит все необходимые работы по установке и настройке СКЗИ.

5.  Функции и задачи Организатора

Организатор:

5.1.  Обеспечивает управление ключами и сертификатами ключей подписи всех Участников Системы.

5.2.  Участвует в работе Экспертной комиссии при рассмотрении конфликтных ситуаций.

5.3.  Обеспечивает хранение сертификатов ключей подписи как в электронной форме, так и на бумажном носителе.

5.4.  График работы Организатора публикуется на сайте: http://www. *****.

6.  Права и обязанности Участника

6.1.  Участник подготавливает и содержит в рабочем состоянии СКЗИ в соответствии с эксплуатационной документацией на СКЗИ.

6.2.  Участник обязан обеспечить надежное хранение закрытых ключей, не допускать доступа к ним посторонних лиц.

6.3.  Участник контролирует целостность и неизменность полученного от Организатора программного обеспечения СКЗИ штатными средствами в соответствии с эксплуатационной документацией на СКЗИ.

6.4.  Участник обязан при обработке электронных документов осуществлять их архивирование и хранить эти архивы в течение срока, установленного соответствующими законами и нормативными актами для хранения электронных и соответствующих бумажных документов.

6.5.  Участник обязан организовать внутренний режим функционирования рабочих мест таким образом, чтобы исключить возможность физического доступа к СКЗИ, несанкционированную модификацию или использование СКЗИ лицами, не имеющими допуска к работе с СКЗИ, а также исключить возможность использования ключевой информации не уполномоченными на то лицами.

6.6.  Участник обязан при разрешении конфликтных ситуаций, связанных с установлением целостности, авторства спорного документа, предоставлять Экспертной комиссии, создаваемой и действующей в соответствии с Приложением № 6 к настоящим Правилам, всю запрашиваемую ею информацию.

6.7.  Плановая замена криптографических ключей Участника производится по инициативе Организатора, но не реже одного раза в год (отдельным соглашением могут быть установлены другие сроки) в следующем порядке:

·  замене подлежат ключи Участника, срок действия которых истек;

·  за 2 (Два) месяца до замены ключей Организатор определяет график проведения работ и письменно сообщает Участнику о начале работ по плановой замене ключей;

·  работы по генерации ключей и выдаче сертификатов ключей подписи Организатор производит в соответствии с разделом 4 настоящих Правил;

·  оплата генерации новых ключей осуществляется Участником предварительно, в размере, установленном п.7.1.1 Договора;

·  после получения новых ключей и сертификатов ключей подписи Участник подписывает Акт выдачи криптографических ключей (Приложение /1 к настоящим Правилам) и получает счет-фактуру на выданные Участнику СКЗИ и криптографические ключи;

·  Участник после получения новых ключей и сертификатов ключей подписи проверяет их работоспособность;

·  старые ключи уничтожаются Участником самостоятельно путем двойного переформатирования ключевых носителей, с составлением Акта уничтожения криптографических ключей (Приложение № 8 к настоящим Правилам).

6.8. Участник имеет право:

·  передавать по электронной почте (на магнитных носителях) другим зарегистрированным Участникам Системы или получать от них зашифрованные и/или подписанные ЭЦП электронные документы;

·  не принимать электронные документы, подписанные ЭЦП, если:

- сертификат ключа подписи Участника Системы не действует (находится в СОС) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

- не подтверждена подлинность ЭЦП в электронном документе;

- ЭЦП используется не в соответствии со сведениями, указанными в сертификате ключа подписи;

·  запрашивать подтверждение по переданным ему электронным документам другими Участниками в случае возникновения сомнений.

7. Действия Сторон при компрометации ключей

7.1. Участник в случае принятия решения о компрометации собственных ключей, обязан немедленно информировать Организатора по телефону, факсу или в виде электронного сообщения, о наступлении события, трактуемого как компрометация. При этом Участник должен указать анкетные данные владельца сертификата ключа подписи и ключевую фразу.

7.2. Организатор, получив сообщение о компрометации ключей Участника, должен убедиться в достоверности сообщения о компрометации (запросить анкетные данные владельца сертификата ключа подписи и ключевую фразу), после чего обязан немедленно вывести из действия скомпрометированные ключи (занести сертификаты ключей подписи в СОС). Участник получает по электронной почте официальное уведомление от Организатора о внесении сертификатов ключей подписи, соответствующих скомпрометированным ключам, в СОС.

7.3. Участник, объявивший о компрометации ключей, в течение 1 (Одного) рабочего дня направляет уведомление об этом Организатору.

7.4. При принятии решения о компрометации ключа Участник должен немедленно прекратить обмен электронными документами с другими Участниками с использованием скомпрометированного ключа.

7.5. Участник, допустивший компрометацию ключей, несет все издержки, связанные с генерацией новых ключей, их сертификацией и вводом в действие.

8.  Конфиденциальность информации

8.1  Организатор и Участник в процессе обмена электронными документами обязуются обеспечивать сохранность, в соответствии с действующим законодательством Российской Федерации, конфиденциальной информации, полученной друг от друга

8.2  Порядок предоставления конфиденциальной информации налоговым, правоохранительным и судебным органам осуществляется в соответствии с законодательством Российской Федерации.

9.  Ответственность Участника

9.1.  3а неисполнение или ненадлежащее исполнение обязательств по настоящим Правилам Участник несет ответственность в соответствии с Договором и законодательством Российской Федерации.

9.2.  Участник несет ответственность за достоверность сведений, указанных в заявке (Приложение к настоящим Правилам), а также Участник обязан сообщать обо всех изменениях этих сведений в течение 3 (Трех) рабочих дней с момента внесения изменений. Организатор оставляет за собой право отзыва сертификатов ключей подписи в случае, если обнаружится, что Участник предоставил недостоверную информацию.

9.3.  В случае нарушения Участником настоящих Правил, Организатор имеет право отозвать сертификат ключа подписи Участника.

9.4.  Организатор не несет ответственность за возможные последствия компрометации ключей Участника, если эти последствия возникли в результате противоправных действий, совершенных до момента внесения сертификата ключа подписи, соответствующего скомпрометированному ключу, в список отозванных сертификатов.

10.  Порядок взаимодействия Сторон при разрешении конфликтных ситуаций,
связанных с использованием ЭЦП

10.1.  В случае возникновения конфликтных ситуаций, связанных с подтверждением авторства и/или подлинности электронных документов, подписанных ЭЦП, Стороны руководствуются Порядком разрешения конфликтных ситуаций, изложенным в Приложении № 6 к настоящим Правилам и Инструкцией по доказательству принадлежности ЭЦП, приведенной в Приложении № 7 к настоящим Правилам.

11.  Прочие условия

11.1. Изменения и дополнения в настоящие Правила вносятся Организатором в одностороннем порядке с обязательным уведомлением всех Участников. Указанные изменения и дополнения вступают в силу в сроки, определенные Организатором.

11.2. Новая редакция Правил доводится Организатором до сведения Участника не позднее, чем за 10 (Десять) дней до их вступления в силу путем направления новой редакции Правил по электронному адресу уполномоченного представителя Участника, указанному в Приложении 2 к заявке на подключение к Системе.

11.3.  Если изменения вызваны изменением законодательства Российской Федерации, иных нормативно-правовых актов, то допускаются меньшие сроки для такого уведомления.

12.  Приложения

Приложение . Форма заявки на подключение Участника к Системе с приложениями, на 3 листах.

Приложение . Образец доверенности, на 1 листе.

Приложение . Акт приема-передачи СКЗИ в эксплуатацию, на 1 листе.

Приложение /1. Акт выдачи криптографических ключей, на 1 листе.

Приложение . Требования по обеспечению безопасности информации при ее защите по уровню “КC1” (на уровне потребителя), на 2 листах.

Приложение . Системные требования к Участнику для установки СКЗИ, на 1 листе.

Приложение . Порядок разрешения конфликтных ситуаций, возникающих в ходе осуществления электронного документооборота, на 2 листах.

Приложение . Инструкция по доказательству принадлежности ЭЦП при разборе конфликтных ситуаций, на 1 листе.

Приложение . Акт уничтожения криптографических ключей, на 1 листе.

Приложение

к Правилам

Заявка на подключение к Системе

Генеральному директору Фонда «ИФРУ»

Прошу в соответствии с Договором №_________________ от «___»___________2012 г. изготовить ключ и сертификат ключа подписи.

Владельцем сертификата является:

_______________________________________Ф. И.О. (полностью)

Компьютеры, программное обеспечение, уровень подготовки персонала соответствуют Приложению № 5 к Правилам.

Помещения, режим эксплуатации программного обеспечения и персональных компьютеров, на которые будут установлены СКЗИ, соответствуют требованиям по обеспечению безопасности информации при ее защите по уровню “КC1” согласно Приложению № 4 к Правилам.

К заявке прилагаются:

Приложение 1. «Анкетные данные Участника»,

Приложение 2. «Анкетные данные уполномоченного представителя Участника (владельца сертификата ключа подписи)».

Руководитель организации Участника_________________________ / /

М. П. «______»____________________2012 г.

Приложение 1 к заявке

на подключение к Системе

Анкетные данные Участника

(Все поля обязательны для заполнения)

Руководитель организации Участника______________________________

М. П. «______»____________________2012 г.

Приложение 2 к заявке

на подключение к Системе

Анкетные данные уполномоченного представителя Участника

(владельца сертификата ключа подписи)

(Все поля обязательны для заполнения)

1. ФИО___________________________________________________________________

2. Паспортные данные (номер паспорта, дата выдачи, когда и кем выдан)___________

__________________________________________________________________________

3. Должность ______________________________________________________________

4. Контактный телефон с указанием кода города ________________________________

5. Е-mail __________________________________________________________________

6. Фактический адрес организации ___________________________________________

7. Пароль __________(указать на отдельном листке)_____________________________

Пароль необходим для доступа к электронному носителю, содержащему СКЗИ и ключи организации. В дальнейшем пароль может быть изменен владельцем сертификата ключа подписи по своему усмотрению

8. Ключевая фраза ______(указать на отдельном листке)_________________________

Ключевая фраза используется для идентификации Участника при компрометации ключа.

Руководитель организации_____________________ / /

М. П. «______»____________________2012 г.

Приложение 3 к заявке

на подключение к Системе

ЗАЯВЛЕНИЕ
о согласии субъекта на обработку его персональных данных

Я, _________________________________________________________________________,

(фамилия, имя, отчество)

зарегистрированный(ая) по адресу: _________________________________________________ ________________________________, паспорт серия _______, №______________, выдан ___________________________________________________________________________________________ «__» ______________ 20__ г., в соответствии с Федеральным законом от 01.01.2001 N 152-ФЗ «О персональных данных» даю согласие Фонду «ИФРУ», расположенному г. Москва, 2-й Кожевнический переулок д. 12 (далее – Оператор), на обработку моих персональных данных, а именно:

- фамилия, имя и отчество;

- паспортные данные;

- место работы, занимаемая должность;

- адрес электронной почты, телефон.

Я согласен с тем, что обработка персональных данных проводится Оператором в целях обеспечения необходимых условий для предоставления услуги по подключению к системе юридически значимого электронного документооборота по Договору, заключаемому между Оператором и ___________________________________________________________________

(наименование организации)

(далее - Договор).

Оператор может проводить с персональными данными следующие действия:

- сбор, систематизацию, накопление, хранение, уточнение, использование, обезличивание, блокирование, уничтожение;

- включение в соответствии с Федеральным законом «Об электронной цифровой подписи» №1-ФЗ от 01.01.2001 г. в общедоступные источники персональных данных (далее - общедоступные источники) моих фамилии, имени, отчества, места работы, занимаемой должности, адреса электронной почты.

Обработка персональных данных Оператором проводится на бумажных носителях, съемных электронных носителях, а также в своих информационных системах персональных данных.

Согласие вступает в силу со дня его подписания.

Уничтожение персональных данных Оператором должно быть произведено:

- на бумажных носителях, на съемных электронных носителях и в информационных системах персональных данных Оператора, кроме общедоступных источников – в течение трех рабочих дней с момента прекращения действия Договора;

- в общедоступных источниках - по истечении пяти лет с момента расторжения Договора.

Согласие может быть отозвано мною в любое время письменным заявлением.

Я подтверждаю, что при отзыве данного согласия Оператор обязан:

- уничтожить в течение трех рабочих дней мои персональные данные на бумажных носителях, на съемных электронных носителях и в своих информационных системах персональных данных, кроме общедоступных источников;

- произвести отзыв моего сертификата ключа подписи и уничтожить его по истечении пяти лет;

- приостановить действие Договора до заключения дополнительного соглашения о прекращении действия Договора.

_____________________ /_________________./

(подпись) (фамилия и инициалы)

"__" _____________ 20__ г.

Приложение

к Правилам

Доверенность №_________

на представителя от юридического лица

город _________________

________________________________________________________________________________

(дата прописью)

________________________________________________________________________________

(полное наименование организации с указанием местонахождения)

________________________________________________________________________________

(должность руководителя, фамилия, имя, отчество)

УПОЛНОМОЧИВАЕТ

_________________________________________________________ (должность, фамилия, имя, отчество)

________________________________________________________________________________

(паспортные данные, место выдачи, дата прописью)

ВЫПОЛНИТЬ СЛЕДУЮЩЕЕ:

·  присутствовать при изготовлении ключей и сертификатов ключей подписи;

·  получить от Организатора магнитные носители с ключами, сертификатами ключей подписи, список отозванных сертификатов, дистрибутив СКЗИ;

·  подписать Акт приема-передачи СКЗИ в эксплуатацию

·  расписываться в регистрационных журналах Организатора;

·  ___________________другие полномочия __________________________.

Доверенность действительна по «______»_________________2012 г.

Подпись (фамилия, инициалы) ______________________________ удостоверяю.

(личная подпись)

Должность __________________________ ____________________

(Ф. И.О.)

_________________________Подпись

М. П.

Приложение

к Правилам

Акт

приема-передачи СКЗИ в эксплуатацию

г. Москва "______"____________________________2012 г.

Настоящий акт составили уполномоченный представитель

(наименование Участника)

(фамилия, имя, отчество представителя Участника)

и уполномоченный представитель Фонда "Институт фондового рынка и управления" (далее – «Организатор»)

(фамилия, имя, отчество сотрудника Организатора)

о том, что Организатор, в соответствии с Договором №_________________ от «____» ______________ 20___ г. выполнил следующие работы:

1.  передал Участнику (изготовленные в присутствии представителя Участника) криптографические ключи;

2.  внес сертификаты открытых ключей Участника в реестр сертификатов;

3.  зарегистрировал Участника в регистрационном журнале;

4.  передал Участнику сертификаты открытых ключей;

5.  передал Участнику лицензию на право использования СКЗИ "КриптоПро CSP" на одном рабочем месте ;

6.  передал Участнику лицензию на право использования ПО "КриптоАРМ Стандарт" на одном рабочем месте

7.  передал участнику комплект Инструкций по эксплуатации СКЗИ;

8.  провел инструктаж представителя (представителей) Участника по правилам работы с СКЗИ;

9.  предоставил Участнику список отозванных сертификатов;

10.  _________________________другие работы___________________________________________

Приложение /1

к Правилам

Акт

выдачи криптографических ключей

г. Москва "______"____________________________2012 г.

Настоящий акт составили уполномоченный представитель

(наименование Участника)

(фамилия, имя, отчество представителя Участника)

и уполномоченный представитель Фонда "Институт фондового рынка и управления" (далее - «Организатор»)

(фамилия, имя, отчество представителя Организатора)

о том, что Организатор, в соответствии с п.6.7 Правил, произвел плановую замену криптографических ключей, выполнив следующие работы:

1. передал Участнику (изготовленные в присутствии представителя Участника) криптографические ключи;

2.  внес сертификат открытого ключа Участника в реестр сертификатов;

3.  зарегистрировал Участника в регистрационном журнале;

4.  передал Участнику сертификат открытого ключа;

5.  предоставил Участнику список отозванных сертификатов.

Приложение

к Правилам

Требования по обеспечению безопасности информации

при ее защите по уровню “КC1” (на уровне потребителя)

1. Требования по организационному обеспечению эксплуатации СКЗИ

1.1. Участником выделяются (определяются) должностные лица, ответственные за обеспечение безопасности информации и эксплуатации СКЗИ.

1.2. Участником разрабатываются нормативные документы, регламентирующие вопросы безопасности информации и эксплуатации СКЗИ.

1.3. К работе со СКЗИ допускаются сотрудники, имеющие навыки работы на персональном компьютере, ознакомленные с правилами эксплуатации СКЗИ.

2. Требования по размещению СКЗИ и режиму охраны

2.1. Помещения, в которых размещаются программно-технические средства со встроенными СКЗИ, являются режимными и должны обеспечивать конфиденциальность проводимых работ.

2.2. Размещение режимных помещений и их оборудование должны исключать возможность бесконтрольного проникновения в них посторонних лиц и обеспечивать сохранность находящихся в этих помещениях конфиденциальных документов и технических средств.

2.3. Размещение оборудования, технических средств, предназначенных для обработки конфиденциальной информации, должно соответствовать требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности.

2.4. Входные двери режимных помещений должны быть оборудованы замками, обеспечивающими надежное закрытие помещений в нерабочее время.

2.5. Окна и двери должны быть оборудованы охранной сигнализацией, связанной с пультом централизованного наблюдения за сигнализацией.

2.6. Размещение технических средств в режимном помещении должно исключать возможность визуального просмотра конфиденциальных документов и экранов мониторов, на которых она отражается, через окна.

2.7. В режимные помещения допускаются руководство Участника, сотрудники подразделения безопасности и исполнители, имеющие прямое отношение к обработке, передаче и приему конфиденциальных документов.

2.8. Системные блоки ЭВМ со СКЗИ оборудуются средствами контроля вскрытия.

2.9. Ремонт и/или последующее использование системных блоков осуществляется после удаления с них программного обеспечения СКЗИ (возможно согласование с Организатором Системы).

3. Требования по обеспечению безопасности ключевой информации

3.1. Носители секретных ключей ЭЦП, шифрования и инсталляционные дискеты с ПО СКЗИ на предприятии берутся на поэкземплярный учет в выделенных для этих целей журналах.

3.2. Учет и хранение секретных ключей поручается руководством Участника специально выделенным сотрудникам.

3.3. Для хранения носителей секретных ключей ЭЦП и шифрования выделяется сейф или иное хранилище, обеспечивающее сохранность ключевой информации.

3.4. Хранение ключей и инсталляционных дискет с ПО СКЗИ допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, не предусмотренное правилами пользования СКЗИ, применение.

3.5. Рабочие (актуальные) и резервные ключи хранятся раздельно, с обеспечением условия невозможности их одновременной компрометации.

3.6. При транспортировке носителей секретной ключевой информации обеспечиваются условия, обеспечивающие защиту от физических повреждений и внешнего воздействия на записанную ключевую информацию.

Приложение

к Правилам

Минимальные системные требования к программно-техническим средствам Участника для установки СКЗИ.

Для установки и эксплуатации СКЗИ необходимы:

Компьютер Pentium 200; Оперативная память – 128 мб; Windows 98 с установленным ПО MS Internet Explorer версии 5.0 и выше; Windows 98 SE с установленным ПО ПО MS Internet Explorer версии 5.0 и выше; Windows NT 4.0 SP5 и выше с установленным MS Internet Explorer версии 5.0 и выше; Windows ME; Windows 2Service Pack 3; Windows XP (версия 2.0). Internet Explorer 5 (5.00.3502.1000) Стойкость шифра: 128; КриптоПро CSP 3.0  

Для использования СКЗИ в ОС Windows необходимо:

а) для подписания ЭЦП и шифрования – Outlook Express 5 (5.50.4807.1700).

а) для подписания ЭЦП и шифрования – MS Outlook 2000.

Возможно использование как русских так и английских версий программного обеспечения.

Приложение

к Правилам

ПОРЯДОК

разрешения конфликтных ситуаций,

возникающих в ходе осуществления электронного документооборота.

1.   Общие положения.

1.1. В соответствии с настоящим порядком подлежат разрешению конфликтные ситуации двух типов:

·  некорректность входящего электронного документа или ЭЦП (конфликтная ситуация типа 1);

·  для корректного электронного документа непризнание отправителем электронного документа факта отправки документа, а также его целостности и подлинности (конфликтная ситуация 2).

2.  Порядок разрешения конфликтных ситуаций типа 1.

2.1. Действия Сторон в данной ситуации заключаются в следующем.

2.1.1. Принимающая Сторона по телефону (или иным образом) запрашивает у отправляющей Стороны информацию об электронном документе, подлинность которого вызывает сомнения. При получении подтверждения об отправке указанного электронного документа, запрашивает повторное оформление и отправку данного электронного документа.

2.1.2. Результатом повторной обработки принимающей Стороной (проверка ЭЦП) полученного документа может быть:

А.1. Повторная проверка дала отрицательный результат. ЭЦП документа неверна.

В этом случае делается вывод о возможном нарушении действующего криптографического ключа, либо о неисправности программно-аппаратных средств одной из Сторон.

При этом необходимо:

- проверить сертификаты открытых ключей;

- штатными средствами в соответствии с эксплуатационной документацией проверить целостность и неизменность программного обеспечения СКЗИ. И переустановить его в случае необходимости;

- если положительный результат не достигнут, обратиться к Организатору Системы.

А.2. Повторная проверка дала положительный результат. ЭЦП документа верна.

3. Порядок разрешения конфликтных ситуаций типа 2.

3.1.  В случае если одна Сторона придет к выводу, что другая Сторона ссылается на документ, исходящий от нее, который им не отправлялся и/или его содержание изменено, этот Участник немедленно извещает Организатора о наличии конфликтной ситуации.

3.2.  Организатор формирует Экспертную (согласительную) комиссию для разрешения конфликтной ситуации, в состав которой входят представители Организатора и Участника, вовлеченные в конфликтную ситуацию. Дополнительно могут привлекаться авторитетные, независимые специалисты в области криптографической защиты информации. Оплата услуг независимых экспертов возлагается на пригласившую их Сторону.

3.3.  В ходе работы Экспертной комиссии рассматриваются документы, в том числе электронные, относящиеся к предмету разногласий, и выполняется процедура проверки ЭЦП электронного документа, являющегося предметом разбирательства, в соответствии с Инструкцией, приведенной в Приложении 7 к настоящим Правилам. При этом могут быть использованы следующие данные:

·  данные архива оригиналов принятых/отправленных документов;

·  сертификаты ключей подписи, выданные Организатором;

·  дистрибутивы СКЗИ;

·  СОС.

Приложение

к Правилам

Инструкция по доказательству

принадлежности ЭЦП при разрешении конфликтных ситуаций

1. Для проведения разбора конфликтной ситуации необходимы:

·  Заверенный Организатором сертификат ключа подписи уполномоченного представителя Участника, подписавшего электронный документ, целостность или авторство которого оспаривается.

·  Файл, содержащий документ, в отношении которого возникает конфликтная ситуация.

2. Для разбора конфликтной ситуации необходимо выполнить следующие действия:

·  Произвести проверку ЭЦП электронного документа, авторство подписи которого оспаривается.

·  Распечатать сертификат ключа подписи из реестра сертификатов ключей подписи Организатора.

·  Сравнить сертификат ключа подписи, представленного Стороной, и распечатанный сертификат ключа подписи из реестра сертификатов ключей подписи Организатора.

3. Авторство электронного документа считается установленным, если совпадает открытый ключ ЭЦП представленного Стороной сертификата ключа подписи с открытым ключом ЭЦП сертификата ключа подписи из реестра сертификатов ключей подписи Организатора, и в протоколе проверки подписи Участника, составленном членами Экспертной комиссии, сформирована запись “Подпись верна”.

Приложение

к Правилам

Акт

уничтожения криптографических ключей

Настоящий акт составлен в том, что физически уничтожены электромагнитные носители (дискеты), содержащие криптографические ключи:

Копии ключевых носителей в количестве _____ экз. уничтожены.

Сертификаты ключей переданы на архивное хранение в организацию.

Владелец ключа _________________________________ ()