Следующий пункт регулирует отношения, связанные с использованием средств в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления. Закон четко закрепляет, что использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в данных системах не допускается.
Таким образом, Закон "Об ЭЦП" распространяет запрет использовать несертифицированные средства ЭЦП только на одну категорию корпоративных систем – федеральных органов государственной власти, органов государственной власти субъектов РФ и органов местного самоуправления.
Кроме того, возможность признания ЭЦП равнозначной собственноручной подписи, достигается только при использовании сертифицированных средств ЭЦП.
Условия, при наличии которых электронная цифровая подпись признается равнозначной собственноручной подписи, закреплены в статье 4 Закона "Об ЭЦП". Согласно пункту 1 указанной статьи данными условиями являются:
- сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
- подтверждена подлинность электронной цифровой подписи в электронном документе;
- электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
Именно при одновременном наличии данных трех условий ЭЦП будет признаваться равнозначной собственноручной подписи. При проверке действительности ЭЦП необходимо иметь в наличии сертификат ключа подписи и положительное подтверждение подлинности ЭЦП.
Законодательное определение процедуры подтверждения подлинности ЭЦП имеется в статье 3 Закона "Об ЭЦП". В соответствии с данной статьей подтверждением подлинности электронной цифровой подписи в электронном документе признается "положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе". То есть для подтверждения подлинности ЭЦП необходимо использование именно сертифицированного средства ЭЦП.
Сертификат представляет собой документ, выдаваемый удостоверяющим центром участнику информационной системы для подтверждения подлинности ЭЦП и идентификации владельца сертификата ключа подписи. Таким образом, Закон "Об ЭЦП" в качестве участника электронного документооборота вводит дополнительно еще одного субъекта – Удостоверяющий центр.
Службы «Доверенная третья сторона» являются техническим решением Статьи 9 пункта 1 ФЗ «Об ЭЦП», в соответствии с которой:
Удостоверяющий центр:
- изготавливает сертификаты ключей подписей;
- создает ключи электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи;
- приостанавливает и возобновляет действие сертификатов ключей подписей, а также аннулирует их;
- ведет реестр сертификатов ключей подписей, обеспечивает его актуальность и возможность свободного доступа к нему участников информационных систем;
- проверяет уникальность открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра;
- выдает сертификаты ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии;
- осуществляет по обращениям пользователей сертификатов ключей подписей подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей;
- может предоставлять участникам информационных систем иные связанные с использованием электронных цифровых подписей услуги.
5.2 Обязательства по договорам
Официальный договор (рекомендованный в виде договора присоединения) между ДТС и объектами, обращающимися к её службам, должен ясно определять обязательства ДТС, качество предоставляемых услуг, а также ответственность пользователей.
В договоре должна быть разъяснена управленческая и организационная политика ДТС и основные рабочие процедуры. С целью ясного определения требований и специфики работы служб, качества и стоимости услуг, а также этических моментов ДТС должна выпускать технические правила, в которых описывается, что пользователю следует ожидать от служб ДТС.
Договор должен содержать положения, ясно определяющие, как достигается соответствие ДТС требованиям действующего законодательства и подзаконных актов. Также договор должен определять область регулирования, под которую подпадает деятельность ДТС и то, в рамках какой юрисдикции будет производиться разрешение споров.
Ошибки в деятельности ДТС, случайные или намеренные, могут привести к существенным потерям. Чтобы обеспечить достаточный уровень доверия для пользования сервисами ДТС, договор должен определять пределы ответственности ДТС перед пользователями.
Договор должен включать список всех вопросов, касающихся обязательств, принятых на себя ДТС и пользователями, с тем, чтобы пользователи имели возможность получить квалифицированную юридическую помощь по любому вопросу, возникающему по поводу предоставления и пользования сервисами ДТС.
В договоре должно присутствовать описание возможных применений услуг ДТС и параметров предоставляемых сервисов. Обязательно присутствие возможности отказа от предоставления или использования сервиса в случае незаконного или ненадлежащего его применения одной из сторон, заключивших договор.
Договор может включать положения, в явной форме предусматривающие привлечение помощи независимой и беспристрастной стороны (арбитра) при разрешении споров между ДТС и пользователями.
Договор должен определять меры по защите персональных либо иных конфиденциальных данных, и обстоятельства, при которых эти данные могут быть раскрыты.
5.3 Ответственность
Доверенная третья сторона должна определить пределы ответственности за безопасность работы своих служб. В дополнение к этому, ДТС следует очертить границы ответственности, которую она готова нести при нарушениях безопасности.
Обязательства как ДТС, так и пользователя должны быть ясно и чётко определены в официально заключённом договоре между ДТС и пользователем. Большая часть обязательств должна быть включена в договор.
Прочие документы, например описание предоставляемых услуг, соглашение о техническом обслуживании, и любые технические приложения к договору также устанавливают обязательства других участвующих лиц. Эти документы являются частью договорного соглашения.
5.4 Политика безопасности
ДТС принимает на себя определённые обязательства по предоставлению услуг в области защиты информации, основываясь на доверии к предоставляемым услугам и официально принятой документированной политике безопасности организации, предлагающей такие услуги.
Политика безопасности ДТС представляет собой важнейшее средство описания всех действий, предпринимаемых в целях поддержания доверия к руководству ДТС и к функционированию её служб. По этой причине она должна включать не только вопросы безопасности, но и ряд аспектов деятельности служб ДТС. Разработку и поддержание актуальности политики безопасности необходимо осуществлять на систематической и планомерной основе.
Политика безопасности ДТС является жизненно важной для поддержания доверия между различными системами; она создаёт основу для постоянного (внутреннего) анализа и периодического (внутреннего и внешнего) аудита безопасности, а также обеспечивает доверие к системам и к организации, предоставляющей услуги ДТС.
Обязательство ДТС поставлять услуги в сфере безопасности должно быть зафиксировано в виде официально принятой документированной политики безопасности. Политика должна идентифицировать все имеющие значение для процесса предоставления услуг цели, объекты и потенциальные угрозы, а также меры защиты, необходимые для предотвращения или ограничения угроз. В ней описываются правила, инструкции и процедуры, касающиеся предоставления сервисов и обеспечения безопасности.
5.4.1 Элементы политики безопасности
Содержание политики безопасности зависит от набора сервисов, предоставляемых ДТС. Эта политика должна служить основой решения вопросов безопасности применительно к различным элементам. Технические элементы политики безопасности ДТС составляют основу оценки технических аспектов безопасности. Политика безопасности доверенной третьей стороны должна включать как минимум следующие элементы:
1) требования к информационной безопасности в отношении конфиденциальности, целостности, доступности, подлинности, подотчётности и надёжности, особенно с точки зрения собственников информации;
2) организационная инфраструктура и распределение обязанностей;
3) интеграция технологий защиты в процесс разработки и сопровождения системы;
4) осведомлённость и обучение;
5) инструкции и процедуры;
6) определение групп классификации данных;
7) стратегии управления рисками;
8) планирование на случай непредвиденных обстоятельств;
9) вопросы управления персоналом; особое внимание следует уделить сотрудникам на требующих доверия позициях, таким как обслуживающий персонал и системные администраторы;
10) обязательства, проистекающие из законодательных и регулирующих норм;
11) аутсорсинг;
12) действия в случае инцидентов.
Реализация политики безопасности, отвечающей техническим и организационно-правовым требованиям к безопасности, должна уделить первоочередное внимание выполнению следующих требований:
1) существует гарантия того, что выполнение ДТС своих функций исключает частичную либо полную потерю целостности системы;
2) обеспечивается целостность, полнота и неизменность данных об объектах; возможность проверки их источника и происхождения;
3) уполномоченным объектам обеспечено наличие и доступность необходимых сервисов и данных;
4) пользователь доверяет ДТС сохранение конфиденциальности сведений, составляющих персональную или коммерческую тайну;
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 |
