ВРЕМЕННЫЙ РЕГЛАМЕНТ
применения электронной цифровой подписи
в системе электронного документооборота
«Электронная Торговая Площадка»
КАЗАНЬ
2009
1. Общие положения
1.1. Настоящий Регламент применения электронной цифровой подписи (далее – ЭЦП) в системе юридически значимого электронного документооборота «Электронная Торговая Площадка» (далее – Система) определяет принципы взаимодействия Участников Системы, порядок получения в Удостоверяющем центре сертификатов ключей подписи, а также условия, при соблюдении которых ЭЦП в электронном документе признается равнозначной собственноручной.
1.2. Участники Системы соглашаются принимать к сведению и исполнению подписанные электронной цифровой подписью электронные документы, определенные Федеральным законом от 01.01.2001 г. № 94-ФЗ, постановлением Правительства Российской Федерации от 01.01.2001 г. № 179.
1.3. Участники Системы понимают термины, применяемые в настоящем Регламенте, строго в контексте общего смысла Регламента.
1.4. Участники Системы принимают, что настоящий Регламент детализирует положения действующего законодательства Российской Федерации по применению ЭЦП.
1.5. Участники Системы принимают, что ЭЦП в электронных документах, сформированных владельцем ключей подписи и сертификата ключей подписи, является равнозначной собственноручной подписи владельца ключей подписи и сертификата ключей подписи и оттиску печати Участника Системы при выполнении условий, определенных настоящим Регламентом.
1.6. Использование в рамках настоящего Регламента электронных документов, подписанных ЭЦП, не изменяет содержания документов и правил заполнения их реквизитов в соответствии с действующим законодательством Российской Федерации.
2. Термины и определения
Система – система юридически значимого электронного документооборота «Электронная Торговая Площадка», предназначенная для проведения открытых аукционов в электронной форме и отвечающая требованиям, установленным законодательством Российской Федерации.
Организатор Системы (Организатор) – оператор электронной площадки – ГУП «Агентство по государственному заказу, инвестиционной деятельности и межрегиональным связям Республики Татарстан».
Удостоверяющий центр (УЦ) – уполномоченная организация, предоставляющая Участникам Системы услуги, связанные с получением и использованием ЭЦП, в соответствие с Федеральным законом от 01.01.01 г. «Об электронной цифровой подписи» – Закрытое акционерное общество «ТаксНет».
Участник Системы (Участник) – участник размещения заказа, заказчик, уполномоченный орган, специализированная организация, оператор электронной площадки, уполномоченный на осуществление контроля в сфере размещения заказов федеральный орган исполнительной власти – в определениях Федерального закона от 01.01.2001 г. № 94-ФЗ.
Электронный документ (документ в электронном виде) – документ на машинном носителе, содержащий сведения по предмету взаимоотношений Участников Системы, созданный с использованием носителей и способов записи, обеспечивающих обработку его информации электронно-вычислительной машиной системы электронного документооборота.
Электронная цифровая подпись (ЭЦП) – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Закрытый ключ электронной цифровой подписи (ключ подписи) – уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи.
Открытый ключ электронной цифровой подписи – уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе.
Сертификат ключа подписи – документ на бумажном носителе или электронный документ с ЭЦП уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ ЭЦП и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности ЭЦП и идентификации владельца сертификата ключа подписи.
Сертификат ключа подписи уполномоченного лица Удостоверяющего центра – электронный документ, содержащий открытый ключ ЭЦП уполномоченного лица Удостоверяющего центра, структура и формат которого определяется Регламентом Удостоверяющего центра и который предназначен для подтверждения подлинности ЭЦП и идентификации владельца сертификата ключа подписи. Сертификат ключа подписи уполномоченного лица Удостоверяющего центра считается действительным, если срок его действия наступил и не истек, и от Удостоверяющего центра не поступала информация об его аннулировании или приостановлении.
Владелец сертификата ключа подписи – физическое лицо, на имя которого Удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом ЭЦП, позволяющим с помощью средств электронной цифровой подписи создавать свою ЭЦП в электронных документах (подписывать электронные документы).
Средство электронной цифровой подписи – сертифицированное средство криптографической защиты информации (СКЗИ), обеспечивающее реализацию следующих функций: создание ЭЦП в электронном документе с использованием закрытого ключа ЭЦП, подтверждение с использованием открытого ключа ЭЦП подлинности электронной цифровой подписи в полученном электронном документе, создание закрытых и открытых ключей ЭЦП, формирование штампа времени.
Подтверждение подлинности электронной цифровой подписи в электронном документе – положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ЭЦП принадлежности ЭЦП в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной ЭЦП электронном документе.
Список отозванных сертификатов – электронный документ с ЭЦП уполномоченного лица Удостоверяющего центра, включающий в себя список серийных номеров сертификатов открытых ключей подписи, которые на момент времени формирования списка отозванных сертификатов были отозваны или действие которых было приостановлено. Момент времени формирования списка отозванных сертификатов определяет по значению поля «время начала действия списка» списка отозванных сертификатов.
Актуальный список отозванных сертификатов – список отозванных сертификатов, являющийся последним изданным на данный момент времени и действующим, т. е. момент времени подписания электронного документа лежит внутри временного интервала, определяемого значениями полей «время начала действия списка» и «время следующего обновления» списка отозванных сертификатов.
Реестр Удостоверяющего центра – набор документов Удостоверяющего центра в электронной и/или бумажной форме, включающий следующую информацию:
· реестр заявлений о присоединении к Регламенту Удостоверяющего центра;
· реестр заявлений на регистрацию в Удостоверяющем центре;
· реестр зарегистрированных пользователей Удостоверяющего центра;
· реестр заявлений на изготовление сертификата ключа подписи;
· реестр заявлений на аннулирование (отзыв) сертификата ключа подписи;
· реестр заявлений на приостановление/возобновление действия сертификата ключа подписи;
· реестр заявлений на подтверждение подлинности ЭЦП в электронном документе;
· реестр заявлений на подтверждение ЭЦП уполномоченного лица Удостоверяющего центра в изданных сертификатах;
· реестр сертификатов ключей подписи;
· реестр изготовленных списков отозванных сертификатов.
Штамп времени – это подписанный электронной цифровой подписью документ, которым Служба штампов времени Удостоверяющего центра удостоверяет, что в указанный момент времени произошло подписание документа.
3. Порядок получения ЭЦП
3.1. Для получения ЭЦП Участник Системы должен ознакомиться с Регламентом Удостоверяющего центра на сайте http://ca. *****/reglament/reglament. rtf, уточнить желаемую схему получения ключей ЭЦП и сертификатов ключей подписей, комплекта программного обеспечения рабочего места Участника, носителей ключевой информации и других документов, необходимых для работы в Системе, заключить Договор на оказание услуг Удостоверяющего центра.
3.2. После заключения Договора Удостоверяющий центр предоставляет Участнику копию сертификата ключа подписи уполномоченного лица Удостоверяющего центра, актуальный список отозванных сертификатов, комплект программного обеспечения рабочего места Участника, другие документы, определенные Договором.
3.3. Участник Системы оформляет документы, определенные Регламентом Удостоверяющего центра, и доставляет их в Удостоверяющий центр нарочным, либо почтовой связью с уведомлением о вручении.
3.4. На основании полученных документов Удостоверяющий центр регистрирует Участника в Реестре Удостоверяющего центра, формирует HTML-форму для автономной работы в соответствии с областями использования сертификата и отправляет её на электронный адрес, указанный Участником, для формирования закрытого и открытого ключей ЭЦП.
3.5. Участник Системы устанавливает на своем рабочем месте полученное от Удостоверяющего центра программное обеспечение, формирует ключи подписи и заявление на изготовление сертификата ключа подписи, которое направляет в Удостоверяющий центр по электронному адресу *****@***ru, а также направляет в бумажном виде заявление на изготовление сертификата ключа подписи, заверенное собственноручной подписью и печатью (при наличии).
3.6. Удостоверяющий центр изготавливает сертификат ключа подписи только после получения в бумажном виде заверенного подписью и печатью заявления на изготовление сертификата ключа подписи. После сличения заявлений в электронном и бумажном виде, Удостоверяющий центр изготавливает сертификат и направляет его Участнику в электронном виде, а также две заверенные бумажные копии – почтовой связью. После получения сертификата Участник Системы производит его установку на своем рабочем месте, подписывает бумажные копии сертификата и одну из них возвращает в Удостоверяющий центр.
3.7. Оформление и получение Участником Системы ключей ЭЦП возможно, в соответствии с Регламентом Удостоверяющего центра, при личном прибытии в Удостоверяющий центр.
3.8. В результате проведенной работы по получению ключей ЭЦП Участник Системы должен располагать следующим:
– закрытый и открытый ключи ЭЦП на носителе ключевой информации, защищённом паролем;
– сертификат ключа подписи в электронной форме;
– копию сертификата открытого ключа уполномоченного лица Удостоверяющего центра в электронной форме;
– один экземпляр бланка сертификата ключа подписи, заверенный уполномоченным лицом Удостоверяющего центра и печатью;
– один экземпляр заявления о присоединении к Регламенту Удостоверяющего центра, заверенный уполномоченным лицом и печатью Удостоверяющего центра;
– комплект программного обеспечения рабочего места, необходимого для работы в Системе.
3.9. Электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи. Датой подписания документа считается дата, зафиксированная в штампе времени.
3.10. Установка, настройка программного обеспечения рабочего места осуществляется Участником самостоятельно, если иное не оговорено условиями договорных отношений между Участником и Удостоверяющим центром.
3.11. По окончании выдачи ключей ЭЦП Участнику Системы Удостоверяющий центр обеспечивает доступ Организатору Системы к открытому ключу ЭЦП Участника Системы. После этого Участник должен направить на ЭТП тестовое сообщение для осуществления Организатором Системы авторизации данной ЭЦП.
3.12. Плановая смена ключей (закрытого и соответствующего ему открытого ключа) Организатора и Участников Системы выполняется не ранее, чем за 45 суток до окончания его действия и не позднее, чем через 1 год после начала действия закрытого ключа.
4. Сертификаты ключей подписи
4.1. Удостоверяющий центр издает сертификаты ключей подписи Участников Системы в электронной форме формата X.509 версии 3 и список отозванных сертификатов в электронной форме формата X.509 версии 2.
4.2. Структура сертификата ключа подписи уполномоченного лица Удостоверяющего центра
Название поля | Описание | Содержание |
Базовые поля сертификата | ||
Version | Версия | V3 |
Serial Number | Серийный номер | Уникальный серийный номер сертификата |
Signature Algorithm | Алгоритм подписи | ГОСТ Р 34.11/34.10-2001 |
Issuer | Поставщик (издатель сертификата) | CN = УЦ OU = УЦ O = L = Казань S = Республика Татарстан C = RU E = *****@***ru |
Validity Period | Срок действия сертификата | Действителен с: ДД. ММ. ГГГГ ЧЧ:ММ:СС Действителен по: ДД. ММ. ГГГГ ЧЧ:ММ:СС |
Subject | Владелец сертификата | CN = УЦ OU = УЦ O = L = Казань S = Республика Татарстан C = RU E = *****@***ru |
Public Key | Открытый ключ | Открытый ключ (алгоритм ГОСТ Р 34.10-2001) |
Issuer Signature Algorithm | Алгоритм подписи сертификата | ГОСТ Р 34.11/34.10-2001 |
Issuer Sign | ЭЦП издателя сертификата | Подпись издателя в соответствии с ГОСТ Р 34.11/34.10-2001 |
Дополнения сертификата | ||
Key Usage | Использование ключа | Цифровая подпись, Неотрекаемость, Подписывание сертификатов, Автономное подписание списка отзыва (CRL), Подписывание списка отзыва (CRL) (c6) |
Subject Key Idendifier | Идентификатор ключа субъекта | Идентификатор закрытого ключа уполномоченного лица Удостоверяющего Центра, соответствующего данному сертификату |
4.3. Структура сертификата ключа подписи Участника Системы
Название поля | Описание | Содержание |
Базовые поля сертификата | ||
Version | Версия | V3 |
Serial Number | Серийный номер | Уникальный серийный номер сертификата |
Signature Algorithm | Алгоритм подписи | ГОСТ Р 34.11/34.10-2001 |
Issuer | Поставщик (издатель сертификата) | CN = УЦ OU = УЦ O = L = Казань S = Республика Татарстан C = RU E = *****@***ru |
Validity Period | Срок действия сертификата | Действителен с: ДД. ММ. ГГГГ ЧЧ:ММ:СС Действителен по: ДД. ММ. ГГГГ ЧЧ:ММ:СС |
Subject | Владелец сертификата | CN = Общее имя (Фамилия, Имя, Отчество) OU = Подразделение (наименование подразделения) O = Организация (наименование организации) L = Город (наименование населенного пункта) S = Область (наименование субъекта Федерации) C = Страна/Регион (RU) E = Электронная почта (адрес электронной почты) Поля OU и O заносятся только в сертификаты ключей подписей Участников Системы, являющихся уполномоченными представителями юридических лиц, присоединившихся к Регламенту |
Public Key | Открытый ключ | Открытый ключ (алгоритм ГОСТ Р 34.10-2001) |
Issuer Signature Algorithm | Алгоритм подписи сертификата | ГОСТ Р 34.11/34.10-2001 |
Issuer Sign | ЭЦП издателя сертификата | Подпись издателя в соответствии с ГОСТ Р 34.11/34.10-2001 |
Дополнения сертификата | ||
Key Usage | Использование ключа | Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных (f0) |
Extended Key Usage | Улучшенный ключ | Проверка подлинности клиента (1.3.6.1.5.5.7.3.2) Защищенная электронная почта (1.3.6.1.5.5.7.3.4) Пользователь Центра Регистрации (1.2.643.2.2.34.6) Обеспечение юридической значимости в Системе «Электронная Торговая Площадка» (1.3.6.1.4.1.24138.1.1.8.1) |
Subject Key Idendifier | Идентификатор ключа субъекта | Идентификатор закрытого ключа владельца сертификата |
Authority Key Identifier | Идентификатор ключа издателя сертификата | Идентификатор закрытого ключа уполномоченного лица Удостоверяющего Центра, на котором подписан данный сертификат |
CRL Distribution Points | Точки распределения списка отозванных сертификатов (CRL) | URL адрес точки распределения списка отозванных сертификатов |
Authority Info Access Syntax | Доступ к сведениям центра сертификации | URL адрес размещения сертификата уполномоченного лица Удостоверяющего центра |
4.4. Структура списка отозванных сертификатов Удостоверяющего центра:
Название поля | Описание | Содержание |
Базовые поля списка отозванных сертификатов | ||
Version | Версия | V2 |
Issuer | Издатель СОС | CN = УЦ OU = УЦ O = L = Казань S = Республика Татарстан C = RU E = *****@***ru |
thisUpdate | Действителен с | ДД. ММ. ГГГГ ЧЧ:ММ:СС |
nextUpdate | Следующее обновление | ДД. ММ. ГГГГ ЧЧ:ММ:СС |
revokedCertificates | Список отозванных сертификатов | Последовательность элементов следующего вида 1. Серийный номер сертификата (CertificateSerialNumber) 2. Время обработки заявления на аннулирование (отзыв) и приостановление действия сертификата (Time) |
signatureAlgorithm | Алгоритм подписи | ГОСТ Р 34.11/34.10-2001 |
Issuer Sign | Подпись издателя СОС | Подпись издателя в соответствии с ГОСТ Р 34.11/34.10-2001 |
Расширения списка отозванных сертификатов | ||
Reason Code | Код причины отзыва сертификата | «0» Не указана «1» Компрометация ключа «2» Компрометация ЦС «3» Изменение принадлежности «4» Сертификат заменен «5» Прекращение работы «6» Приостановление действия |
Authority Key Identifier | Идентификатор ключа издателя | Идентификатор закрытого ключа уполномоченного лица Удостоверяющего Центра, на котором подписан СОС |
szOID_CERTSRV_CA_VERSION | Объектный идентификатор MS Certificate Server, определяющий версию службы сертификации MS CA | V0.0 |
4.5. Сертификат ключа подписи признается изданным Удостоверяющим центром, если подтверждена подлинность ЭЦП издателя сертификата ключа подписи с использованием средства ЭЦП и сертификата ключа подписи уполномоченного лица Удостоверяющего центра.
4.6. Участники системы принимают, что идентификационные данные, занесенные в поле Владелец сертификата, однозначно идентифицируют владельца сертификата ключа подписи и соответствующего ключа подписи и соответствуют идентификационным данным владельца сертификата ключа подписи, зарегистрированным в Реестре Удостоверяющего Центра.
5. Средство электронной цифровой подписи
5.1. Участники Системы при выполнении функций создания ЭЦП в электронном документе с использованием закрытого ключа ЭЦП, подтверждения с использованием открытого ключа ЭЦП подлинности ЭЦП в электронном документе, создания закрытых и открытых ключей ЭЦП в качестве средства ЭЦП должны использовать СКЗИ «КриптоПро CSP», для работы со Службой Штампа времени должны использовать программный продукт «КриптоПро TSP Client».
5.2. Участники Системы принимают, что эталонные образцы программных продуктов, указанных в п. 6.1. настоящего Регламента, находятся у производителя – ООО «КРИПТО-ПРО» (г. Москва).
5.3. Программно-технические средства Участников Системы должны соответствовать используемым в Системе версиям средств ЭЦП, общесистемного и прикладного программного обеспечения и их компонентов.
5.4. Участники Системы должны использовать копии средства ЭЦП, полученные легальным путем.
5.5. Участники Системы должны применять средство ЭЦП в соответствии с требованиями, определенными формуляром и эксплуатационной документацией на данное средство ЭЦП (средство криптографической защиты информации).
6. Условия равнозначности ЭЦП собственноручной подписи
6.1. ЭЦП в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе владельца сертификата ключа подписи на определенный момент времени при одновременном соблюдении следующих условий:
6.1.1. сертификат ключа подписи уполномоченного лица Удостоверяющего Центра является действительным;
6.1.2. сертификат ключа подписи, соответствующий ЭЦП, издан Удостоверяющим Центром;
6.1.3. владелец сертификата ключа подписи может быть идентифицирован по содержимому сертификата ключа подписи;
6.1.4. серийный номер сертификата ключа подписи, относящийся к этой ЭЦП, не содержится в актуальном списке отозванных сертификатов;
6.1.5. срок действия сертификата ключа подписи, относящегося к этой ЭЦП, наступил и не окончен на момент подписания электронного документа;
6.1.6. ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи и определяемые Регламентом Удостоверяющего Центра в части отношений, при осуществлении которых электронный документ с ЭЦП будет иметь юридическое значение;
6.1.7. положительный результат проверки с использованием средства ЭЦП на предмет отсутствия искажений в подписанном данной ЭЦП электронном документе.
7. Разграничение ответственности
7.1. Участники Системы должны сохранять в тайне закрытые ключи своей ЭЦП.
7.2. Организатор и Участники Системы самостоятельно принимают решение о факте или угрозе компрометации своих закрытых ключей ЭЦП и немедленно информируют Удостоверяющий центр о факте компрометации.
7.3. Участник Системы немедленно прекращает использование закрытого ключа ЭЦП в случае его компрометации.
7.4. Организатор и Участники Системы соблюдают правила работы в Системе и требования эксплуатационной документации на средство ЭЦП.
7.5. Участники Системы содержат в исправном состоянии программно-технические средства, подключенные к Системе, принимают меры для предотвращения несанкционированного доступа к данным компьютерам и установленному на них программному обеспечению и СКЗИ, а также в помещения, в которых они установлены.
7.6. Организатор и Участники Системы не допускают появления в компьютерной среде, в которой функционирует Система, компьютерных вирусов и программ, направленных на ее разрушение.
7.7. Участники Системы немедленно сообщают Организатору Системы обо всех случаях, свидетельствующих о попытках несанкционированного доступа к компьютерам с установленными СКЗИ.
7.8. За невыполнение или ненадлежащее выполнение обязательств по настоящему Регламенту Участники Системы несут ответственность в соответствии с действующим законодательством Российской Федерации.
7.9. Участник Системы освобождается от ответственности за убытки, причиненные другому Участнику Системы, в случае, если представленные электронные документы, передаваемые другим Участником Системы, не приняты к исполнению Участником Системы, получившим документ, по причине невыполнения условий равнозначности ЭЦП собственноручной.
8. Прочие условия
8.1. Регламент действует и является обязательным для исполнения Участником Системы.
8.2. Не менее, чем за 10 календарных дней до начала действия новой версии Регламента Организатор Системы уведомляет Участников Системы об этом любым приемлемым для сторон способом, гарантирующим идентификацию отправителя и получателя, а также удостоверяющим факт получения уведомления.
8.3. Участники Системы обязаны в течение 5 дней извещать Организатора Системы и Удостоверяющий центр об изменении почтовых, платежных и иных, необходимых для исполнения настоящего Регламента, реквизитов. Все риски, связанные с этим, лежат на не уведомившем Участнике Системы.
8.4. Во всем остальном, что не предусмотрено настоящим Регламентом, Участники Системы руководствуются действующим законодательством Российской Федерации.
