Приложение

к Соглашению

ВРЕМЕННЫЙ РЕГЛАМЕНТ

регистрации, подключения и работы юридических и физических лиц в системе защищенного электронного документооборота ОПФР по Санкт-Петербургу и Ленинградской области

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Регламент регистрации, подключения и работы юридических и физических лиц к системе электронного документооборота Пенсионного фонда Российской Федерации (далее - Регламент) разработан в соответствии с требованиями законодательства Российской Федерации, Центром по лицензированию, сертификации и защите государственной тайны ФСБ России (ФСБ РОССИИ), Федеральной службой по техническому и экспортному контролю по Северо-Западному федеральному округу (ФСТЭК России по СЗФО) и нормативных актов Пенсионного фонда Российской Федерации (ПФР).

1.2. Регламент предназначен для Отделения ПФР, юридических и физических лиц для организации обмена электронными документами между юридическими, физическими лицами и Отделением ПФР в системе электронного документооборота ОПФР с использованием средств криптографической защиты информации.

1.3. Юридические и физические лица, участвующие в электронном документообороте ОПФР с использованием средств криптографической защиты информации «Верба-О\ОW», являются конечными абонентами системы электронного документооборота ОПФР и не имеют права на предоставление средств криптографической защиты информации и услуг в области шифрования третьим лицам.

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Абонент системы (АС) – юридическое или физическое лицо, включенное в систему электронного документооборота ОПФР.

НЕ нашли? Не то? Что вы ищете?

Информационная безопасность (безопасность информации) - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т. п.

Информационный обмен - обмен сведениями о лицах, предметах, фактах, событиях и процессах, независимо от формы их представления.

Информация конфиденциального характера (конфиденциальная информация) - любая информация ограниченного доступа, не содержащая сведений, относящихся к государственной тайне.

Ключ (криптографический ключ) - конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.

Закрытый ключ (секретный ключ) - криптографический ключ, который хранится абонентом системы в тайне. Он используется для формирования электронной цифровой подписи или шифрования.

Компрометация ключа – утрата доверия к тому, что используемые ключи обеспечивают безопасность информации.

Криптографическая защита информации (зашифрование, расшифрование) - процесс преобразования открытой информации с целью сохранения ее в тайне от посторонних лиц при помощи некоторого алгоритма, называемого шифром. Для зашифрования информации сторонами используется алгоритм криптографического преобразования ГОСТ , программно реализованный в сертифицированном ФСБ РОССИИ средстве криптографической защиты информации. Расшифрование является обратным процессом зашифрования.

Открытый ключ - криптографический ключ, который связан с закрытым с помощью особого математического соотношения. Открытый ключ известен всем другим абонентам системы, он предназначен для проверки электронной цифровой подписи или шифрования, позволяет определить автора подписи и достоверность электронного документа, но не позволяет вычислить закрытый ключ. Открытый ключ считается принадлежащим абоненту, если он был зарегистрирован (сертифицирован) установленным порядком.

Проверка электронной цифровой подписи - процесс определения целостности, подлинности и авторства электронного документа, подписанного электронной цифровой подписью, заключающийся в проверке соотношения, связывающего хэш-функцию документа, подпись под этим документом и открытый ключ подписавшего документ абонента. Если проверяемое соотношение, полученное сертифицированными средствами криптографической защиты информации, оказывается выполненным, то подпись признается правильной, а сам документ - подлинным, в противном случае документ считается недействительным. Процедуры выработки и проверки электронной цифровой подписи, а также хэш-функции соответствуют алгоритмам, определенных ГОСТ Р34.10-94 и ГОСТ Р34.11-94.

Сертификационный центр – юридическое лицо, имеющее лицензии ФСБ РОССИИ на изготовление и (или) поставку средств криптографической защиты информации, ключей шифрования и электронной цифровой подписи.

Сертификация открытого ключа – подтверждение соответствия сертификационного центра на регистрационных карточках открытых ключей и внесение данных открытых ключей в справочники открытых ключей.

Сертификат на средства криптографической защиты информации – документ, оформленный по правилам, действующим в Российской Федерации, удостоверяющий соответствие этих средств специальным требованиям и гарантирующий в течение определенного срока возможность использования данного средства в соответствии с заданными требованиями.

Система электронного документооборота ОПФР (СЭД ОПФР) - обмен сведениями о лицах, предметах, фактах, событиях и процессах, представляемых в электронном виде с использованием вычислительной техники, телекоммуникационных систем и сертифицированных ФСБ РОССИИ средств криптографической защиты информации.

Средства криптографической защиты информации (СКЗИ) - совокупность программных и технических средств, реализующих криптографические преобразования исходной информацией и функцию выработки и проверки электронной цифровой подписи.

Электронный документ – информация, представленная в форме набора состояний элементов электронной вычислительной техники, иных электронных средств обработки, хранения и передачи информации, могущая быть преобразованной в форму, пригодную для однозначного восприятия человеком, и имеющая атрибуты для идентификации документа.

Электронная цифровая подпись (ЭЦП) - последовательность символов, полученная в результате криптографического преобразования исходной информации, которая позволяет подтверждать целостность и неизменность этой информации, а также ее авторство.

Электронный документ оформлен надлежащим образом - электронный документ заполнен в соответствии с требованиями нормативных актов ПФР.

Электронный документ принят - орган ПФР получил надлежащим образом оформленный электронный документ, его расшифровал, успешно проверил все необходимые для данного типа документа электронные цифровые подписи и принял его к исполнению.

3. ПОРЯДОК РЕГИСТРАЦИИ И ПОДКЛЮЧЕНИЯ К СИСТЕМЕ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА ОПФР

3.1. На имя юридического или физического лица за подписью управляющего Отделением (заместителя управляющего – начальника ОКДУ, начальника Управления ПФР) направляется информационное письмо о введении в эксплуатацию средств криптографической защиты информации в ПФР и возможности их использования для представления индивидуальных сведений только в электронной форме.

3.2. Юридическое или физическое лицо (далее абонент) направляют на имя Управляющего ОПФР письменное заявление о подключении к системе электронного документооборота ОПФР.

3.3. В случае положительного решения ОПФР направляет в адрес юридического или физического лица Соглашение об обмене электронными документами в системе электронного документооборота ОПФР.

3.4. Юридическое или физическое лицо приобретает сертифицированное криптографическое средство «Верба-O/OW».

3.5. Юридическое или физическое лицо проводит мероприятия по подготовке к эксплуатации средств криптографической защиты информации в соответствии с требованиями к юридическому, физическому лицу, на которого распространяется действие лицензий ФСБ РОССИИ, выданных Пенсионному фонду Российской Федерации.

3.6. Юридическое лицо назначает из числа своих сотрудников администратора информационной безопасности организации и обеспечивает его обучение. Физическое лицо, как самостоятельный участник электронного документооборота ОПФР, является администратором информационной безопасности в одном лице.

3.7. Юридическое или физическое лицо оформляет Акт о готовности к работе в системе электронного документооборота ОПФР (Приложение ) и направляет своего администратора информационной безопасности либо прибывает самостоятельно в подразделение по защите информации Отделения для регистрации и инструктажа с пятью чистыми отформатированными дискетами (3,5’, емкостью 1,44 Mb) и комплектом документов, в состав которого входят:

· Подписанное соглашение об обмене электронными документами в системе электронного документооборота ОПФР;

· Контрольный лист с образцами печати юридического, физического лица и личной подписью руководителя;

· Выписка из приказа о назначении администратора информационной безопасности, заверенная печатью и подписью руководителя;

· Акт о готовности к работе в системе электронного документооборота ОПФР (1 экз.);

· Акт о готовности к эксплуатации программно-аппаратного комплекса, защищенного СКЗИ (Приложение ) (1 экз.);

3.8. Отдел по защите информации Отделения:

· производит регистрацию абонента системы;

· подготавливает дискеты с ключевой информацией и справочниками открытых ключей;

· оформляет регистрационные листы открытых ключей шифрования и электронно-цифровой подписи (Приложения №3 и №4) в двух экземплярах для каждого ключа, один из которых передается юридическому или физическому лицу;

· выдает юридическому или физическому лицу пароли для организации системы оповещения о компрометации ключей по телефонной сети общего пользования.

3.9. При соблюдении юридическим или физическим лицом всех вышеуказанных условий Управляющий Отделением подписывает Соглашение об обмене электронными документами в системе электронного документооборота ОПФР. После обмена заверенными регистрационными карточками открытых ключей и проведения тестовых посылок юридическое или физическое лицо становится абонентом СЭД ОПФР.

4. ПОРЯДОК ФОРМИРОВАНИЯ ФАЙЛ ПОСЫЛОК ПРИ ЭЛЕКТРОННОМ ОБМЕНЕ С ОПФР

4.1. Любой файл передаваемый в ОПФР должен быть подписан ЭЦП работодателя. Один или несколько файлов, передаваемых в ОПФР, должны быть заархивированы программой zip в единую файл посылку (Перечень файл-посылок приведен в Приложении №2 к Соглашению). Далее файл посылка шифруется на ключе администратора безопасности. Затем файл посылка подписывается ЭЦП администратора безопасности (транспортная подпись).

4.2. Файлы, поступающие из ОПФР работодателю, также подписаны ЭЦП уполномоченного лица, заархивированы программой zip в единую файл посылку, которая зашифрована и подписана (транспортная подпись) с использованием ключей уполномоченного лица.

5. ПОРЯДОК ОБРАЩЕНИЯ С КЛЮЧЕВОЙ ИНФОРМАЦИЕЙ В СИСТЕМЕ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА ОПФР

5.1Ключевая система

5.1.1.Ключевая система средств криптографической защиты информации состоит из закрытых и открытых ключей шифрования и электронной цифровой подписи. Закрытые ключи должны храниться в тайне. Открытые ключи заносятся в справочники для использования всеми абонентами системы электронного документооборота. Знание открытого ключа не дает практической возможности определить закрытый ключ.

5.1.2.Ключи шифрования и электронной цифровой подписи делятся на действующий и резервный комплекты ключей. Каждый комплект содержит ключ шифрования и ключ электронной цифровой подписи.

5.1.3.Срок действия ключей - один год.

5.1.4.Запрещается создавать копии ключей шифрования и электронной цифровой подписи средствами копирования, входящими в состав операционных систем, а также другими возможными способами.

5.2. Порядок плановой смены ключевой информации

5.2.1.Администратор безопасности ОПФР не позднее, чем за месяц до плановой смены ключей извещает абонентов системы о предстоящей смене ключей.

5.2.2.Абоненты системы не позднее, чем за две недели до плановой смены ключей получают у администратора безопасности ОПФР новые действующие и резервные комплекты ключей шифрования и электронной цифровой подписи. При получении ключей абоненты системы проверяют их номера, серии и расписываются в журнале учета магнитных носителей ключевой информации и регистрационной карточке.

5.2.3.Абоненты системы не позднее, чем за неделю до плановой смены ключей самостоятельно устанавливают и конфигурируют справочники открытых ключей шифрования и электронной цифровой подписи на своих автоматизированных рабочих местах в соответствии с эксплуатационной документацией на средства криптографической защиты информации.

5.3.Порядок обращения, сроки хранения и уничтожения ключей шифрования и электронно-цифровой подписи и их регистрационных карточек

5.3.1.Администратор безопасности ОПФР имеет право контролировать порядок обращения абонентов системы с ключами шифрования и электронной цифровой подписи.

5.3.2.Абоненты системы берут на себя полную ответственность и обязуются обеспечивать сохранность, неразглашение и нераспространение ключей и ключевой информации. По окончании срока действия ключей должна быть осуществлена процедура плановой смены ключей.

5.3.3.Абонент системы обязан хранить открытые ключи ЭЦП и их регистрационные карточки после окончания срока их действия в архиве. Срок хранения архивов открытых ключей и регистрационных карточек открытых ключей электронной цифровой подписи определяется максимальным сроком хранения документа, на котором была проставлена данная электронная цифровая подпись.

5.3.4.После окончания срока действия ключей абоненты системы обязаны в течение 10 рабочих дней сдать администратору безопасности ОПФР выданные им действующий и резервный комплекты ключей с отметкой о сдаче в журнале учета магнитных носителей ключевой информации.

6. ПОРЯДОК ПРОВЕДЕНИЯ МЕРОПРИЯТИЙ ПО ВОССТАНОВЛЕНИЮ РАБОТЫ В СИСТЕМЕ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА ОПФР В СЛУЧАЕ КОМПРОМЕТАЦИИ КЛЮЧЕЙ ИЛИ КЛЮЧЕВОЙ ИНФОРМАЦИИ

6.1. Под компрометацией ключей или ключевой информации понимается утрата магнитных носителей ключевой информации, утрата с их последующим обнаружением, хищение, несанкционированное копирование, передача их по линии связи в открытом виде, любые другие виды разглашения ключевой информации, а также случаи, когда нельзя достоверно установить, что произошло с магнитным носителем ключевой информации (в том числе случаи выхода его из строя и отсутствия возможности опровергнуть наличие несанкционированных действий злоумышленника).

6.2. К событиям, связанным с компрометацией ключей, должны быть отнесены:

· прекращение полномочий или увольнение сотрудников, имевших доступ к ключам и (или) ключевой информации;

· возникновение подозрений на утечку информации или ее искажение в системе электронного документооборота ОПФР;

· не расшифровывание входящих или исходящих электронных документов у абонентов системы;

· нарушение печатей на сейфах, пеналах (конвертах), в которых хранятся ключи.

Три последних события, в отличие от первого, трактуются как вероятная компрометация и требуют специального рассмотрения в каждом конкретном случае.

6.3. При компрометации ключа у абонента системы (или предполагаемой компрометации) он должен немедленно прекратить работу в системе электронного документооборота ОПФР с использованием средств криптографической защиты информации, немедленно сообщить о компрометации ключей своему непосредственному руководству и администратору безопасности ОПФР.

6.4. Решение о состоявшемся факте компрометации или подозрении в компрометации ключей принимается абонентом системы самостоятельно, оно также может быть принято администратором безопасности ОПФР на основании:

· соответствующих заявлений абонентов системы;

· проверки соблюдения абонентом системы правил хранения ключей;

· анализа ключа электронной цифровой подписи, электронных документов и другой информации, подписанной от имени абонента системы;

· результатов разбора конфликтных ситуаций.

6.5. Оповещение администратора безопасности ОПФР о состоявшемся факте компрометации или подозрении на него осуществляется абонентом системы немедленно по телефону, по электронной почте или любым иным способом с сообщением условного пароля и с обязательным представлением в дальнейшем подтверждения в письменной форме.

6.6. В случае компрометации ключей абонента системы производится смена ключей с обязательной его личной явкой, по извещению администратора безопасности ОПФР, предполагающей личную доставку администратору заявки на смену ключей и получения новых действующих и резервных комплектов ключей, а также, их регистрационных карточек. Заявка составляется в произвольной форме, в заявке должно быть: указано название организации абонента, причина компрометации, номер скомпрометированного ключа и дата его компрометации, заявка подписывается руководителем организации абонента.

6.7. По обоснованному требованию любого абонента системы может проводиться экстренная смена ключей. В случае потери, кражи, несанкционированного копирования или любого подозрения в компрометации ключей абонент системы должен немедленно по сети, факсу, телефону или любым иным способом оповестить о данном факте администратора безопасности ОПФР, прислав в дальнейшем подтверждение в письменной форме.

6.8. Абонент системы, у которого произошла компрометация ключей, переводит действующий комплект ключей в состояние «скомпрометированный», а резервный комплект ключей из состояния «резервный» в «действующий».

6.9. Далее абонент системы в течение одного рабочего дня любым возможным способом доставляет администратору полученные в результате перевода из резервного состояния в действующее открытые ключи шифрования и электронной цифровой подписи. Он использует эти ключи в системе электронного документооборота ОПФР до полной замены у него администратором этих ключей на новый действующий и резервный комплект ключей.

6.10. Ввод в действие нового действующего и резервного комплекта ключей производится аналогично плановой смене ключей с внесением изменений в справочники. Справочники после внесения в них изменений переподписываются (сертифицируются) на собственном ключе электронной цифровой подписи администратора безопасности ОПФР и доводятся до абонента системы.

7. ПОРЯДОК РАЗРЕШЕНИЯ СПОРОВ И КОНФЛИКТНЫХ СИТУАЦИЙ ВОЗНИКАЮЩИХ ПРИ ВЕДЕНИИ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА ОПФР

7.1. Применение электронной цифровой подписи в системе электронного документооборота ОПФР может приводить к конфликтным ситуациям, заключающимся в оспаривании сторонами авторства и (или) содержимого документа, подписанного электронной цифровой подписью.

7.2. Разрешение подобных конфликтных ситуаций производится в соответствии с действующим законодательством и особенностями самой электронной цифровой подписи, с применением специального программного обеспечения для выполнения необходимых проверок и документирования данных, используемых при выполнении необходимых проверок.

7.3. Разрешение конфликтных ситуаций основывается на математических свойствах алгоритма электронной цифровой подписи, реализованного в соответствии со стандартами Российской Федерации ГОСТ Р 34.10-49 и ГОСТ Р 34.11-94, гарантирующими невозможность подделки значения электронной цифровой подписи любым лицом, не обладающим закрытым ключом электронной цифровой подписи. Итогом разрешения конфликтной ситуации должно быть доказательство подлинности, целостности и авторства оспариваемого сторонами электронного документа.

7.4. Разрешение конфликтной ситуации выполняется экспертной комиссией, состоящей из представителей сторон. Состав экспертной комиссии, порядок ее формирования, регламент работы, рассмотрение результатов определяется Соглашением.

7.5. Оспаривание результатов работы экспертной комиссии и возмещение пострадавшей стороне нанесенного ущерба выполняется в установленном действующим законодательством Российской Федерации порядке.

7.6. Разрешение конфликтной ситуации выполняется по инициативе любого абонента системы и состоит из:

· предъявления претензии одной стороны другой;

· формирования экспертной комиссии;

· работы экспертной комиссии по разрешению конфликтной ситуации;

· в случае материального ущерба потерпевшей стороны в результате конфликта, взыскания с виновной стороны суммы нанесенного ущерба.

Для разрешения конфликтной ситуации используется программа Confli_o. exe, входящая в состав программного обеспечения АРМ АБ.

7.7. Для разрешения конфликтной ситуации необходимо представить:

· Документ, вызвавший конфликт;

· личный магнитный носитель ключевой информации с открытым ключом электронной цифровой подписи абонента системы и его регистрационную карточку;

· файл справочника с открытым ключом электронной цифровой подписи абонента системы, авторство подписи которого оспаривается (если открытый ключ отсутствует, то его необходимо ввести в справочник вручную с помощью программы, входящей в состав программного обеспечения АРМ АБ, с регистрационной карточки, представляемой абонентом системы в экспертную комиссию);

· файл имитовставок справочника открытых ключей с открытым ключом электронной цифровой подписи абонента системы, авторство подписи которого оспаривается, соответствующий используемому открытому ключу электронной цифровой подписи (если этот файл отсутствует, то его необходимо выработать с помощью программы, входящей в состав программного обеспечения АРМ АБ).

7.8. Для разрешения конфликтной ситуации необходимо выполнить следующие действия:

· сформировать и вывести на печать регистрационную карточку открытого ключа электронной цифровой подписи абонента системы, авторство подписи которого оспаривается, используя его открытый ключ, взятый из справочника (содержащееся в регистрационной карточке значение открытого ключа абонента системы должно совпадать со значением его в регистрационной карточке, представляемой абонентом в экспертную комиссию). В случае отсутствия открытого ключа абонента системы необходимо вручную ввести открытый ключ в справочник, используя регистрационную карточку открытого ключа, представляемую абонентом системы;

· произвести операцию проверки файла электронной цифровой подписи, авторство подписи которого оспаривается, с формированием файла подтверждения;

· распечатать Протокол проверки электронной цифровой подписи (Приложение ).

7.9. Регистрационная карточка и Протокол проверки электронной цифровой подписи являются основными документами работы экспертной комиссии и подписываются всеми членами экспертной комиссии.

7.10. Авторство подписи под электронным документом считается установленным, если в протоколе проверки подписи абонента системы сформирована запись «подпись верна».

7.11. Стороны признают решения экспертной комиссии по спорам, оформленные актом в соответствии с процедурами, описанными выше, обязательными для абонентов системы, по которым они вынесены, и обязуются исполнять решения экспертной комиссии по указанным вопросам в установленные в сроки.

7.12. Уклонение какой-либо стороны от участия в создании или работе экспертной комиссии может привести к невозможности ее создания и работы, но не исключает возможность урегулирования конфликта в судебном порядке. В случае не достижения соглашения сторон, отсутствия согласия по спорным вопросам и отказа от добровольного исполнения решения комиссии, споры и все материалы по настоящему соглашению передаются на рассмотрение суда.

7.13. При отсутствии в архиве открытого ключа абонента системы, проставившего электронную цифровую подпись, и регистрационной карточки, заверенной администратором, доказать авторство документа невозможно. В связи с этим, архив с открытыми ключами необходимо подвергать регулярному резервному копированию, а регистрационные карточки должны храниться в течение всего установленного срока хранения.

От органа ПФР От Абонента системы

Управляющий Отделения ПФР

по Санкт-Петербургу и

Ленинградской области

МП

________________2001г

 

Приложение 1

к Временному регламенту

 

У Т В Е Р Ж Д А Ю

_____________________

(должность)

_____________________

(наименование учреждения)

_____________________

(подпись Ф. И.О.)

МП

А К Т

Из за большого объема этот материал размещен на нескольких страницах:
1 2