1. Термины и определения. 2
2. Формирование ключей ЭЦП Пользователя. 3
3. Сертификация открытого ключа ЭЦП Пользователя. 3
4. Порядок действий при компрометации закрытых ключей ЭЦП. 4
5. Отзыв Сертификата. 5
1. Термины и определения
1.1. Система электронного документооборота Федерального казначейства (далее – СЭДФК) – совокупность программных средств и технического оборудования, обеспечивающая процесс обмена электронными документами в рамках корпоративной информационной системы Федерального казначейства.
1.2. Уполномоченный удостоверяющий центр Федерального казначейства (далее – УУЦ) – основной компонент инфраструктуры открытых ключей Федерального казначейства, входящий в организационную структуру Управления режима секретности и безопасности информации Федерального казначейства и осуществляющий выполнение целевых функций удостоверяющего центра на основании приказа Федерального казначейства от 01.01.01 г. № 43 «Об организации уполномоченного удостоверяющего центра Федерального казначейства» и в соответствии с Федеральным законом «Об электронной цифровой подписи» от 01.01.01 г. № 1-ФЗ (Собрание законодательства Российской Федерации, 2002, № 2, ст.127).
1.3. Региональный центр регистрации (далее – РЦР) – подчиненный УУЦ компонент инфраструктуры открытых ключей Федерального казначейства, входящий в организационную структуру подразделения по обеспечению безопасности информации территориального органа Федерального казначейства.
1.4. Участник СЭДФК (далее Участник) – организация, заключившая договор с Федеральным казначейством об обмене электронными документами.
1.5. Пользователь СЭДФК (далее – Пользователь) – лицо участвующее в СЭДФК.
1.6. Электронный документ (далее – ЭД) – документ, в котором информация представлена в электронно-цифровой форме.
1.7. Электронная цифровая подпись (далее – ЭЦП) – реквизит ЭД, предназначенный для защиты данного ЭД от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в ЭД.
1.8. Автоматизированное рабочее место СЭДФК (далее – АРМ) – программно-технические средства, предназначенные для работы Пользователя.
1.9. Секретный (закрытый) ключ ЭЦП – уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в ЭД ЭЦП с использованием средств ЭЦП. Секретный ключ хранится на носителе ключевой информации.
1.10. Открытый ключ ЭЦП – уникальная последовательность символов, соответствующая секретному ключу ЭЦП, доступная всем Пользователям и предназначенная для подтверждения, с использованием средств ЭЦП подлинности ЭЦП Пользователя в ЭД. Открытый ключ предназначен для проверки корректности ЭЦП. Принадлежность открытого ключа участнику системы СЭДФК подтверждается сертификатом ключа подписи.
1.11. Сертификат ключа подписи (далее – Сертификат) – документ на бумажном носителе или ЭД с ЭЦП УУЦ, включающий в себя открытый ключ ЭЦП и выдаваемый УУЦ Пользователю для подтверждения подлинности ЭЦП Пользователя и идентификации владельца Сертификата.
1.12. Компрометация секретного ключа участника СЭДФК – событие, определенное владельцем секретного ключа как ознакомление неуполномоченным лицом (лицами) с его секретным ключом, утеря носителя ключа или другие причины появления у владельца Сертификата сомнений в сохранении тайны секретного ключа.
1.13. Уполномоченное лицо УУЦ – сотрудник Федерального казначейства, наделенный правом заверения Сертификатов, выданных УУЦ.
2. Формирование ключей ЭЦП Пользователя.
2.1. Формирование ключей ЭЦП Пользователя может проводиться двумя способами:
– Пользователем на своем, подготовленном к работе в СЭДФК, АРМ;
– уполномоченным лицом УУЦ по месту регистрации Пользователя – в УУЦ (РЦР) в его присутствии.
2.1.1. Формирование ключей ЭЦП Пользователем осуществляется им лично в следующем порядке:
– выполнение процедуры генерации ключей ЭЦП и запись сформированной ключевой информации на учтенные носители ключевой информации;
– распечатывание на бумажный носитель и подпись заявки на издание Сертификата у руководителя организации, заверение печатью организации.
2.1.2. Формирование ключей ЭЦП Пользователя Уполномоченным лицом в присутствии Пользователя осуществляется в следующем порядке:
– выполнение процедуры генерации ключей ЭЦП Пользователя;
– запись сформированной ключевой информации на учтенные носители ключевой информации Участника;
– распечатывание на бумажный носитель заявки на издание Сертификата и передача ее вместе с носителями ключевой информации Пользователю.
2.2. С целью обеспечения надежности использования личных ключей ЭЦП ключевая информация после записи ее на носитель ключевой информации дублируется на резервный носитель.
3. Сертификация открытого ключа ЭЦП Пользователя.
3.1. Сертификация открытого ключа ЭЦП Пользователя, проводится уполномоченным лицом УУЦ на основании заявки на издание Сертификата, подписанной Пользователем Участника, заверенной подписью руководителя Участника, скрепленной печатью Участника, и запроса на издание Сертификата. Уполномоченное лицо УУЦ сверяет соответствие данных, указанных в заявке на издание Сертификата с данными запроса на издание Сертификата. В случае их соответствия осуществляет процедуру издания Сертификата.
3.2. Уполномоченное лицо УУЦ издает Сертификат, записывает его на носитель ключевой информации и распечатывает на бланке УУЦ в двух экземплярах.
3.3. Если данные, указанные в Сертификате, соответствуют данным, указанным в заявке на издание Сертификата, распечатанные экземпляры Сертификата подписываются уполномоченным лицом УУЦ и Пользователем и заверяются печатью УУЦ.
3.4. Файл Сертификата и бумажная копия Сертификата выдаются Пользователю под роспись в Журнале регистрации сертификатов открытых ключей ЭЦП. Изданные УУЦ Сертификаты регистрируются в Журнале регистрации сертификатов открытых ключей ЭЦП.
4. Порядок действий при компрометации закрытых ключей ЭЦП.
4.1. К случаям компрометации закрытых ключей ЭЦП относятся:
– потеря носителей ключевой информации;
– потеря носителей ключевой информации с их последующим обнаружением;
– носители ключевой информации стали на время доступными постороннему лицу без контроля со стороны владельца или ответственного за хранение ключевой информации;
– увольнение работников, имевших доступ к ключевой информации, или их перевод на другой участок работы.
4.2. К случаям подозрения на компрометацию закрытых ключей ЭЦП относятся:
– возникновение подозрений на утечку информации или ее искажение в СЭДФК;
– нарушение печати на хранилище (пенале) с носителями ключевой информацией.
4.3. При компрометации (подозрении на компрометацию) закрытого ключа ЭЦП Пользователь немедленно прекращает использование соответствующего закрытого ключа и сообщает об этом уполномоченному лицу УУЦ. Уполномоченное лицо УУЦ, получив сообщение о компрометации и убедившись в его достоверности, помещает Сертификат, соответствующий скомпрометированному закрытому ключу ЭЦП, в список отозванных Сертификатов (СОС).
4.4. Дата и время, с которой Сертификат считается недействительным в СЭДФК, устанавливается равной дате и времени публикации СОС, в который был включен отзываемый Сертификат, в справочнике.
4.5. При получении ЭД, подписанного скомпрометированным закрытым ключом ЭЦП, данный ЭД считается недействительным.
4.6. В случае компрометации закрытого ключа ЭЦП проводятся мероприятия по формированию новых ключей ЭЦП, запроса на издание Сертификата, заявки на издание нового Сертификата и сертификации нового открытого ключа ЭЦП.
4.7. Сертификат, соответствующий скомпрометированному закрытому ключу, хранится в установленном порядке в УУЦ для проведения (в случае необходимости) разбора конфликтной ситуации, связанной с применением ЭЦП.
5. Отзыв Сертификата.
5.1. Уполномоченное лицо УУЦ отзывает Сертификат в следующих случаях:
– по истечении срока его действия;
– в случае компрометации (подозрении на компрометацию);
– по письменному заявлению владельца Сертификата или на основании служебной записки начальника соответствующего управления ЦА или руководителя территориального органа ФК.
5.2. В случае отзыва Сертификата Уполномоченное лицо УУЦ аннулирует Сертификат и помещает его в СОС, кроме случаев аннулирования Сертификата по истечении срока его действия. Дата, с которой Сертификат считается недействительным в СЭДФК, устанавливается равной дате опубликования СОС, в который был включен аннулированный Сертификат, в справочнике Сертификатов.
