ПРАВИТЕЛЬСТВО ОРЕНБУРГСКОЙ ОБЛАСТИ

 

П О С Т А Н О В Л Е Н И Е

 

24.11.2017                                      г. Оренбург                                       № 833-п

 

 

Об использовании электронной подписи в органах

исполнительной власти и органах местного самоуправления

муниципальных образований Оренбургской области

 

В соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи» и в целях обеспечения безопасности при осуществлении электронного документооборота:

1. Возложить функции удостоверяющего центра органов исполнительной власти и органов местного самоуправления муниципальных образований Оренбургской области на государственное казенное учреждение «Центр информационных технологий Оренбургской области».

2. Утвердить:

а) регламент работы удостоверяющего центра государственного казенного учреждения «Центр информационных технологий Оренбургской области» согласно приложению № 1;

б) порядок выдачи и отзыва ключей и сертификатов ключей электронной подписи пользователей удостоверяющего центра государственного казенного учреждения «Центр информационных технологий Оренбургской области» согласно приложению № 2;

в) инструкцию по защите информации при осуществлении электронного документооборота в органах исполнительной власти и органах местного самоуправления муниципальных образований Оренбургской области и подведомственных им учреждениях согласно приложению № 3.

3. Рекомендовать органам местного самоуправления муниципальных образований Оренбургской области использовать электронную подпись при осуществлении электронного документооборота в соответствии с регламентом работы удостоверяющего центра государственного казенного учреждения «Центр информационных технологий Оренбургской области» и порядком выдачи и отзыва ключей и сертификатов ключей электронной подписи пользователей удостоверяющего центра государственного казенного учреждения «Центр информационных технологий Оренбургской области», утвержденными настоящим постановлением.

4. Установить, что органы исполнительной власти Оренбургской области, органы местного самоуправления муниципальных образований Оренбургской области, территориальные органы федеральных органов государственной власти, организации независимо от их организационно-правовых форм и форм собственности вправе получить усиленную квалифицированную электронную подпись при осуществлении межведомственного электронного взаимодействия в соответствии с регламентом работы удостоверяющего центра государственного казенного учреждения «Центр информационных технологий Оренбургской области» и порядком выдачи и отзыва ключей и сертификатов ключей электронной подписи пользователей удостоверяющего центра государственного казенного учреждения «Центр информационных технологий Оренбургской области», утвержденными настоящим постановлением.

5. Признать утратившими силу постановления Правительства Оренбургской области:

от 27.06.2013 № 525-п «Об использовании электронной подписи в органах исполнительной власти Оренбургской области»;

от 03.10.2014 № 711-п «О внесении изменений в постановление Правительства Оренбургской области от 27.06.2013 № 525-п».

6. Контроль за исполнением настоящего постановления возложить на директора департамента информационных технологий Оренбургской области Засинца И.Д.

7. Постановление вступает в силу после его официального опубликования.

 

 

Губернатор                                                                           Ю.А.Берг

 

 

 

Приложение № 1
к постановлению

Правительства области
от 24.11.2017 № 833-п

 

Регламент

работы удостоверяющего центра государственного казенного учреждения «Центр информационных технологий Оренбургской области»

 

I. Термины и определения, используемые в настоящем Регламенте

 

ViPNet – торговая марка программных продуктов.

Абонентский пункт – автоматизированное рабочее место, на котором установлен ViPNet «Координатор» либо ViPNet «Клиент».

Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности.

Внешний пользователь удостоверяющего центра – лицо, обратившееся за услугами удостоверяющего центра, не зарегистрированное в удостоверяющем центре.

Внутренний пользователь удостоверяющего центра – лицо, обратившееся за услугами удостоверяющего центра, зарегистрированное в удостоверяющем центре.

Закрытый ключ электронной подписи – криптографический ключ, хранящийся пользователем удостоверяющего центра в тайне, использующийся для формирования электронной подписи и/или шифрования данных.

Запрос на отзыв сертификата ключа электронной подписи – сообщение, содержащее необходимую информацию для отзыва сертификата ключа электронной подписи.

Запрос на сертификат ключа электронной подписи – сообщение, содержащее необходимую информацию для получения сертификата ключа электронной подписи.

Заявитель – лицо, которому необходимо получить услуги удостоверяющего центра.

Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Ключевая дискета – файл, содержащий в себе хэш-пароль, действующий персональный ключ, закрытый ключ электронной подписи, сертификат электронной подписи пользователя удостоверяющего центра.

Ключ (криптографический ключ) – конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований, ключ электронной подписи, открытый или закрытый ключ электронной подписи.

Ключ электронной подписи – совокупность закрытого и открытого ключей электронной подписи, где закрытый ключ электронной подписи – уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронном документе электронной подписи с использованием средств электронной подписи, а открытый ключ электронной подписи – уникальная последовательность символов, соответствующая закрытому ключу электронной подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной подписи подлинности электронной подписи в электронном документе.

Ключевой носитель – носитель, содержащий один или несколько ключей электронной подписи.

Ключевой набор – файл, содержащий в себе ключи связи с центром управления сетью и программным обеспечением программно-аппаратного комплекса ViPNet «Координатор».

Компрометация ключа – недоверие к обеспечению безопасности информации используемыми ключами.

Открытый ключ электронной подписи – криптографический ключ, связанный с закрытым ключом электронной подписи с помощью особого математического соотношения, известный другим пользователям системы и предназначенный для проверки электронной подписи, шифрования, но не позволяющий вычислить закрытый ключ электронной подписи.

Программный комплекс удостоверяющего центра – программный комплекс обеспечения реализации целевых функций удостоверяющего центра. Компонент программы ViPNet «Удостоверяющий и Ключевой центр».

Плановая замена ключей электронной подписи – замена ключей электронной подписи с установленной в системе периодичностью, не вызванная компрометацией ключей электронной подписи.

Пользователь удостоверяющего центра – лицо, обратившееся за услугами удостоверяющего центра.

Пункт регистрации – пункт удостоверяющего центра, предназначенный для приема заявлений, регистрации внешних пользователей удостоверяющего центра, создания ключей электронной подписи и формирования запросов на приостановление, отзыв и возобновление сертификата ключа электронной подписи.

Сертификат ключа электронной подписи – электронный документ или документ на бумажном носителе, содержащий открытый ключ электронной подписи, сведения о владельце открытого ключа подписи, подписанный электронной подписью его издателя.

Список отозванных сертификатов ключей электронной подписи – список сертификатов ключей электронной подписи, созданный удостоверяющим центром, отозванных до окончания срока их действия.

Средства электронной подписи – аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций:

создание электронной подписи в электронном документе с использованием закрытого ключа электронной подписи;

подтверждение с использованием открытого ключа электронной подписи подлинности электронной подписи в электронном документе;

создание закрытых и открытых ключей электронной подписи.

Удостоверяющий центр – структурное подразделение государственного казенного учреждения «Центр информационных технологий Оренбургской области», выполняющее функции, предусмотренные Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи».

Электронный документ – документ, в котором информация представлена в электронной форме.

Электронная подпись – реквизит электронного документа, предназначенный для защиты такого документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в таком документе.

ViPNet «Сервис публикации» – программное обеспечение ViPNet реализующее управление точками публикации сертификатов ключей электронной подписи.

ViPNet «Удостоверяющий и ключевой центр» – программное обеспечение ViPNet, предназначенное для выпуска цифровых сертификатов ключей электронной подписи.

ViPNet «Центр регистрации» – программное обеспечение ViPNet, предназначенное для создания защищенного автоматизированного рабочего места для регистрации внешних пользователей удостоверяющего центра, хранения регистрационных данных, создания запросов на выпуск сертификатов и их обслуживание в программе ViPNet «Удостоверяющий и ключевой центр», а также запросов на формирование дистрибутивов справочно-ключевой информации для узлов сети ViPNet в программе ViPNet «Удостоверяющий и ключевой центр».

 

II. Общие положения

 

1.     Настоящий Регламент определяет механизм и условия предоставления услуг удостоверяющего центра государственного казенного учреждения «Центр информационных технологий» (далее – УЦ), включая обязанности пользователей УЦ и администраторов УЦ, содержание протоколов работ УЦ, структуры записей аудита (приложение № 1 к настоящему Регламенту), основные организационно-технические мероприятия, необходимые для безопасной работы УЦ, устанавливает порядок взаимоотношений УЦ и пользователей УЦ в процессе предоставления услуг УЦ.

 

2.     Местонахождение государственного казенного учреждения «Центр информационных технологий» (далее – ГКУ «ЦИТ»): 460046, г. Оренбург, ул. 9 Января, д. 64, каб. 706.

Местонахождение пункта регистрации: г. Оренбург, ул. 9 Января, д. 64, каб. 725.

График работы пункта регистрации: понедельник–четверг с 9:00 до 18:00, пятница – с 9:00 до 17:00, перерыв на обед с 13:00 до 13:48, выходные дни: суббота, воскресенье, а также дни государственных праздников России.

Список услуг, оказываемых УЦ, контактная и справочная информация представлены на официальном сайте ГКУ «ЦИТ» в разделе «Удостоверяющий центр» в сети Интернет (http://uc.orb.ru/).

3.     УЦ предназначен для обеспечения участников информационных систем средствами и спецификациями для использования сертификатов ключей электронной подписи (далее – сертификат) в целях обеспечения:

применения электронной подписи (далее – ЭП);

контроля целостности и конфиденциальности информации, представленной в электронном виде, передаваемой в процессе взаимодействия участников информационных систем;

аутентификации участников информационных систем в процессе их взаимодействия.

4.     Зарегистрированными пользователями УЦ и владельцами сертификатов могут быть только физические лица.

Пользователями сертификата могут быть физическое лицо, устройство или программное приложение.

Юридических лиц представляют физические лица, имеющие доверенность от имени юридического лица на право пользоваться услугами УЦ.

Сертификаты, требующиеся для работы каких-либо устройств или программных приложений, выдаются на ответственное лицо.

5.     Услуга УЦ по предоставлению копий сертификатов в электронной форме, находящихся в реестре сертификатов, предоставляется на безвозмездной основе.

Состав и стоимость дополнительных услуг, предоставляемых УЦ определяются владельцем УЦ.

 

III. Услуги, предоставляемые УЦ

 

6.     В процессе своей деятельности УЦ предоставляет пользователям УЦ следующие услуги:

создание и выдача закрытых и открытых ключей ЭП по обращениям пользователей УЦ с записью их на ключевой носитель;

создание сертификатов внутренних пользователей УЦ на бумажном носителе;

установление сроков действия создаваемых сертификатов;

 

создание сертификатов внутренних пользователей УЦ в электронной форме;

проверка уникальности ключей проверки ЭП в реестре сертификатов;

подтверждение подлинности ЭП в документах, представленных в электронной форме, по обращениям пользователей УЦ;

подтверждение подлинности ЭП уполномоченного лица УЦ в созданных им сертификатах по обращениям пользователей УЦ;

предоставление копий сертификатов в электронной форме, находящихся в реестре сертификатов, по запросам пользователей УЦ;

ведение реестра сертификатов внутренних пользователей УЦ;

аннулирование (отзыв) сертификатов по обращениям владельцев сертификатов;

предоставление пользователям УЦ сведений об аннулированных и приостановленных сертификатах;

приостановление и возобновление действия сертификатов по обращениям владельцев сертификатов;

формирование и обновление справочно-ключевых наборов для организации защищенного обмена информацией;

распространение средств ЭП.

 

IV. Права и обязанности УЦ и его пользователей

 

7.     УЦ имеет право:

запрашивать:

у заявителя документы для подтверждения информации, содержащейся в заявлении на создание ключей ЭП, дополнительные документы, подтверждающие достоверность представленных им сведений, в случае наличия противоречий между сведениями, представленными заявителем и сведениями, полученными УЦ в соответствии с частью 2.2 статьи 18 Федерального закона от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи»;

у операторов базовых государственных информационных ресурсов – сведения, необходимые для осуществления проверки достоверности документов и сведений, представленных заявителем, с использованием инфраструктуры, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме;

из государственных информационных ресурсов – выписки из единого государственного реестра юридических лиц (в отношении заявителя – юридического лица), единого государственного реестра индивидуальных предпринимателей (в отношении заявителя – индивидуального предпринимателя), Единого государственного реестра налогоплательщиков (в отношении заявителя – иностранной организации);

 

отказать в:

регистрации в УЦ лицам, обратившимся по вопросу предоставления копий сертификатов в электронной форме;

приеме документов, не соответствующих требованиям нормативных правовых актов Российской Федерации;

предоставлении услуг по созданию ключей ЭП в случае невыполнения заявителем обязанностей, установленных частью 2 статьи 18 Федерального закона от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи»;

предоставлении услуг по созданию ключей ЭП без предоставления информации о причинах отказа;

аннулировании (отзыве) сертификата владельцу сертификата, подавшему заявление на аннулирование (отзыв) сертификата, в случае, если истек установленный срок действия закрытого ключа ЭП, соответствующего ключу ЭП в сертификате;

приостановлении или возобновлении действия сертификата владельцу сертификата, подавшему заявление на приостановление или возобновление действия сертификата, в случае, если истек установленный срок действия закрытого ключа ЭП, соответствующего ключу ЭП в сертификате;

предоставлять копии сертификатов в электронной форме, находящиеся в реестре сертификатов, всем лицам, обратившимся за ними в УЦ;

прекратить действие сертификата без заявления владельца сертификата в случае наличия у УЦ достоверных сведений о нарушении конфиденциальности ключа ЭП владельца сертификата, а также невыполнения владельцем сертификата обязанностей, установленных законодательством Российской Федерации в области ЭП, а также в случае появления у УЦ достоверных сведений о том, что документы, представленные заявителем в целях создания и получения им сертификата не являются подлинными и/или не подтверждают достоверность информации, включенной в данный сертификат, и/или в случае, если услуга по созданию и выдаче данного сертификата не оплачена в надлежащем порядке.

8.     Внешние пользователи УЦ имеют право:

получать:

список аннулированных (отозванных) и приостановленных сертификатов, составленный УЦ;

сертификат уполномоченного лица УЦ;

копию сертификата в электронной форме, находящегося в реестре сертификатов;

применять:

сертификат уполномоченного лица УЦ для проверки ЭП уполномоченного лица УЦ в сертификатах, созданных УЦ;

копию сертификата в электронной форме для проверки ЭП в соответствии со сведениями, указанными в сертификате;

список аннулированных (отозванных) и приостановленных сертификатов, созданных УЦ, для проверки статуса сертификатов;

обращаться в УЦ:

за подтверждением подлинности ЭП в документах, представленных в электронной форме;

за подтверждением подлинности ЭП уполномоченного лица УЦ в созданных им сертификатах;

с заявлением на создание ключей ЭП.

9.     Внутренние пользователи УЦ имеют права внешних пользователей УЦ, а также право:

пользоваться предоставляемыми УЦ средствами защиты от несанкционированного доступа (в случае предоставления таких средств);

обращаться в УЦ с заявлениями:

на аннулирование (отзыв) сертификата ключа ЭП в течение срока действия соответствующего закрытого ключа ЭП;

на приостановление действия сертификата ключа ЭП в течение срока действия соответствующего закрытого ключа ЭП;

на возобновление действия сертификата ключа ЭП в течение срока действия соответствующего закрытого ключа ЭП.

10.           УЦ обязан:

информировать в письменной форме заявителей об условиях и порядке использования ЭП и средств ЭП, о рисках, связанных с использованием ЭП, и мерах, необходимых для обеспечения безопасности ЭП и их проверки;

вносить в создаваемые сертификаты достоверную и актуальную информацию, подтвержденную соответствующими документами;

обеспечивать актуальность информации, содержащейся в реестре сертификатов, и ее защиту от неправомерного доступа, уничтожения, модификации, блокирования, иных неправомерных действий;

обеспечивать круглосуточную доступность реестра сертификатов в сети Интернет, за исключением периодов планового или внепланового технического обслуживания;

обеспечивать конфиденциальность созданных ключей ЭП;

не разглашать (не публиковать) информацию о внутренних пользователях УЦ, за исключением информации, используемой для идентификации владельцев сертификатов и заносимой в созданные сертификаты, за исключением случаев, предусмотренных законодательством Российской Федерации;

направлять в соответствии с частью 5 статьи 18 Федерального закона от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи» в единую систему идентификации и аутентификации сведения о лице, получившем сертификат ключа ЭП (далее – квалифицированный сертификат), в объеме, необходимом для регистрации в единой системе идентификации и аутентификации, и о полученном им квалифицированном сертификате (уникальный номер квалифицированного сертификата, даты начала и окончания его действия, наименование выдавшего его аккредитованного удостоверяющего центра);

безвозмездно осуществить регистрацию лица, которому выдан квалифицированный ключ ЭП в единой системе идентификации и аутентификации (по желанию такого лица);

отказать заявителю в создании сертификата в случае:

неподтверждения того, что он владеет ключом ЭП, который соответствует ключу ЭП, указанному в заявлении на создание ключей ЭП;

отрицательного результата проверки в реестре сертификатов уникальности ключа ЭП, указанного в заявлении на создание ключей ЭП;

соблюдать срок действия ключей ЭП, используемых для подписания создаваемых сертификатов, распределяя сроки их действия таким образом, чтобы по окончании таких сроков все сертификаты, подписанные ключами ЭП, прекратили свое действие;

обеспечить регистрацию пользователей УЦ по заявлениям на создание ключа ЭП (приложение № 2 (для юридического лица), приложение № 3 (для физического лица) к настоящему Регламенту);

организовать работу по времени GMT (Greenwich Mean Time) с учетом часового пояса, синхронизировать по времени все программные и технические средства обеспечения деятельности УЦ по назначению;

обеспечить сохранность созданного закрытого ключа ЭП до момента передачи пользователю УЦ;

обеспечить уникальность регистрационной информации внутренних пользователей УЦ, заносимой в реестр сертификатов и используемой для идентификации владельцев сертификатов;

использовать для создания закрытого ключа ЭП уполномоченного лица УЦ и формирования ЭП только средства ЭП, сертифицированные по классу КС2 или выше в соответствии с законодательством Российской Федерации;

использовать закрытый ключ ЭП уполномоченного лица УЦ только для подписи созданных им сертификатов и списков отозванных сертификатов;

принимать меры по защите закрытого ключа ЭП уполномоченного лица УЦ в соответствии с положениями настоящего Регламента;

уведомлять в свободной форме владельца сертификата о фактах, которые стали известны УЦ, влияющих на возможности дальнейшего использования закрытого ключа ЭП и сертификата.

Публикация информации, используемой для идентификации владельцев сертификатов, осуществляется путем включения ее в созданные сертификаты.

11.           УЦ обязан вести реестр сертификатов пользователей УЦ.

Реестр сертификатов пользователей УЦ ведется в электронном виде, сертификаты представлены в форме электронных копий.

Реестр сертификатов пользователей УЦ является публичным и размещен в сети Интернет (http://crl.uc.orb.ru/kval/, http://crl2.uc.orb.ru/kval/).

Реестр списков отозванных сертификатов является публичным и размещен в сети Интернет (http://crl.uc.orb.ru/pubservice/, http://crl2.uc.orb.ru/pubservice/).

Созданный сертификат внутреннего пользователя УЦ автоматически записывается в реестр сертификатов пользователей УЦ. Данный процесс обеспечивается настройками программы ViPNet «Удостоверяющий и ключевой центр» и программы ViPNet «Сервис публикации».

Отозванный сертификат внутреннего пользователя УЦ автоматически заносится в список отозванных сертификатов и записывается в реестр отозванных сертификатов.

УЦ обязан осуществлять выдачу копий сертификатов в электронной форме по заявлениям пользователей УЦ.

Техническое обслуживание серверов, на которых расположены реестры сертификатов пользователей УЦ, происходит поочередно с поддержанием доступа хотя бы к одному из адресов данных реестров.

12.           Внутренний пользователь УЦ обязан:

хранить в тайне закрытый ключ ЭП, принимать все возможные меры для предотвращения его потери, раскрытия, модифицирования или несанкционированного использования;

не использовать для ЭП закрытые ключи ЭП в случае, если ему известно об их использовании другими лицами;

использовать закрытый ключ ЭП только для целей, определенных соответствующими областями использования, определенными сертификатом, или в порядке, установленном законодательством Российской Федерации.

Владелец сертификата, пользователь, не являющийся его владельцем, должны удостовериться, что назначение сертификата, определенное соответствующими областями использования, определенными сертификатом согласно настоящему Регламенту, соответствует предполагаемому использованию.

 

V. Процедуры и механизмы работы УЦ

 

13.           Перечень документов, необходимых для получения ЭП:

заявление на создание ключа ЭП на бумажном носителе;

документ, удостоверяющий личность заявителя или доверенного лица;

доверенность от заявителя на право доверенного лица предоставлять его интересы в УЦ.

В случае если от имени заявителя – физического лица действует доверенное лицо – физическое лицо на основании доверенности, доверенность должна быть нотариально заверена.

14.           Заявление на создание ключа ЭП должно быть заверено подписью заявителя, подается заявителем лично или доверенным лицом по доверенности.

Заявление на создание ключа ЭП должно содержать:

а) для физического лица:

фамилию, имя, отчество;

пол;

дату рождения;

место рождения;

ИНН;

СНИЛС;

адрес электронной почты заявителя;

серию, номер документа, удостоверяющего личность;

кем и когда выдан (включая код подразделения) документ, удостоверяющий личность;

номера контактных телефонов;

б) для физического лица, представляющего юридическое лицо:

наименование юридического лица;

фамилию, имя и отчество;

пол;

дату рождения;

место рождения;

ИНН юридического лица;

ОГРН юридического лица;

СНИЛС;

наименование должности;

серию, номер документа, удостоверяющего личность;

кем и когда выдан (включая код подразделения) документ, удостоверяющий личность;

адрес электронной почты заявителя;

юридический адрес юридического лица.

Дополнительно (определяется заявителем) заявление на создание ключа ЭП может содержать следующую информацию, включаемую в идентификационные данные:

псевдоним;

номер мобильного телефона (для регистрации в единой системе идентификации и аутентификации).

К заявлению на создание ключа ЭП физического лица, представляющего юридическое лицо, прилагаются оригинал доверенности или копии документов, подтверждающих правомочность действий физического лица от имени юридического лица.

15.           На основании документов, указанных в пункте 13 настоящего Регламента, сотрудник УЦ устанавливает право заявителя подать данные документы в УЦ. В случае отсутствие такого права сотрудник УЦ обязан отказать в приеме документов.

16.           Заявление на создание ключа ЭП рассматривается пунктом регистрации в течение одного рабочего дня со дня его поступления в УЦ.

При подтверждении достоверности информации, содержащейся в документах, указанных в пункте 13 настоящего Регламента, производится процедура идентификации пользователя УЦ.

При выявлении недостоверности информации, содержащейся в документах, указанных в пункте 13 настоящего Регламента производится возврат заявления на создание ключа ЭП заявителю.

 

17.           При соответствии информации, указанной в заявлении на создание ключа ЭП, с записью в реестре пользователей УЦ заявителю присваивается статус идентификации «внутренний пользователь УЦ», при несоответствии – «внешний пользователь УЦ».

18.           При наличии заявления на создание ключа ЭП для внешнего пользователя УЦ производится процедура регистрации внешнего пользователя УЦ.

19.           Регистрация внешнего пользователя УЦ осуществляется сотрудником пункта регистрации УЦ на основании заявления на создание ключа ЭП.

Сотрудник пункта регистрации УЦ вносит информацию о регистрации внешнего пользователя УЦ в реестр пользователей УЦ.

Регистрация внешнего пользователя УЦ может быть выполнена администратором УЦ непосредственно в программе VipNet «Удостоверяющий и ключевой центр» или по запросу программы VipNet «Центр регистрации».

По окончании процедуры регистрации внешнего пользователя УЦ ему присваивается статус «внутренний пользователь УЦ».

20.           Процедура создания ключей ЭП выполняется только для внутренних пользователей УЦ.

Создание ключей ЭП выполняется ответственным сотрудником УЦ на рабочем месте с программой VipNet «Центр регистрации» на основании принятого заявления на создание ключа ЭП.

Созданные ключи ЭП записываются на отчуждаемый носитель, предоставляемый УЦ или заявителем.

Запись созданных ключей ЭП на отчуждаемый носитель производится в соответствии с требованиями по эксплуатации программного и/или аппаратного средства.

Предоставляемый заявителем ключевой носитель должен удовлетворять следующим требованиям:

соответствовать перечню устройств, указанному к документации ViPNet «Информация о внешних устройствах хранения данных» ФРКЕ:00004-04 90 09;

иметь USB-интерфейс, не требующий дополнительных адаптеров;

быть проинициализированным (отформатированным);

содержать исключительно данные инициализации.

Ключевые носители, не удовлетворяющие указанным требованиям, для записи ключевой информации не принимаются.

Ключевой носитель, содержащий созданные ключи ЭП, передается заявителю. Факт выдачи ключей ЭП заносится в журнал учета создания и выдачи ключей ЭП под роспись заявителя.

После создания сертификата заявителю направляется официальное уведомление в соответствии с пунктом 32 настоящего Регламента.

По окончании процедуры создания ключей ЭП внутреннему пользователю УЦ передаются:

ключи ЭП, записанные на отчуждаемый носитель;

копия сертификата на бумажном носителе согласно пункта 54 настоящего Регламента.

Созданный сертификат в электронной форме, заверенный ЭП уполномоченного лица УЦ, предоставляется владельцу при его личном обращении в УЦ либо доверенному лицу, действующему по доверенности.

При необходимости регистрируемый пользователь УЦ должен приобрести (получить) средство ЭП и шифрования, распространяемое УЦ либо свободно распространяемое, совместимое с программным обеспечением УЦ.

21.           Аутентификация внутреннего пользователя УЦ по сертификату осуществляется путем выполнения процедуры подтверждения ЭП с использованием сертификата согласно пункту 26 настоящего Регламента.

Данная процедура выполняется при подаче заявлений на аннулирование (отзыв) сертификата, приостановление действия сертификата и в процессе других электронных взаимодействий, не требующих личного присутствия внутреннего пользователя УЦ или его доверенного лица.

22.           Владелец сертификата идентифицируется по значениям атрибутов поля Subject сертификата согласно пункту 66 настоящего Регламента.

23.           Аннулирование (отзыв) сертификата, созданного УЦ, осуществляется уполномоченным лицом УЦ по заявлению на аннулирование (отзыв) сертификата его владельца или организации.

Заявление на аннулирование (отзыв) сертификата ключа ЭП может быть подано как в электронном, так и письменном виде (приложение № 4 (для юридического лица) или приложение № 5 (для физического лица) к настоящему Регламенту). Заявление на аннулирование (отзыв) сертификата заверяется собственноручной или ЭП заявителя.

Заявление на аннулирование (отзыв) сертификата должно содержать:

фамилию, имя, отчество владельца;

серийный номер отзываемого сертификата;

дату создания сертификата;

ИНН, ОГРН, СНИЛС указанные в сертификате;

причина аннулирования (отзыв) сертификата;

дату, подпись заявителя.

Заявление на аннулирование (отзыв) сертификата подается заявителем администратору УЦ.

Сроки рассмотрения заявления на аннулирование (отзыв) сертификата составляет не более 12 часов с момента его поступления в УЦ.

После аннулирования (отзыва) сертификата его владельцу направляется официальное уведомление согласно пункту 33 настоящего Регламента.

УЦ может по собственной инициативе отозвать сертификат пользователя УЦ в случае установленного факта компрометации соответствующего закрытого ключа ЭП с внесением записи в журнал внештатных ситуаций, уведомлением владельца отозванного сертификата и указанием обоснованных причин отзыва сертификата.

24.           Приостановление действия сертификата, созданного УЦ, осуществляется уполномоченным лицом УЦ по заявлению на приостановление действия сертификата. Заявление на приостановление действия сертификата подается пользователем УЦ в УЦ.

Заявление на приостановление действия сертификата ключа ЭП может быть подано как на бумажном носителе, так и в электронном виде (приложение № 6 (для юридического лица), приложение № 7 (для физического лица) к настоящему Регламенту). Заявление на приостановление действия сертификата ключа ЭП заверяется собственноручной или ЭП заявителя.

Заявление на приостановление действия сертификата содержит:

фамилию, имя, отчество заявителя;

серийный номер сертификата, действие которого приостанавливается;

дату создания сертификата;

ИНН, ОГРН, СНИЛС, указанные в сертификате;

срок, на который приостанавливается действие сертификата;

причина приостановки действия сертификата;

дата, подпись заявителя.

Срок рассмотрения заявления на приостановление действия сертификата составляет один рабочий день со дня его поступления в УЦ.

После приостановления действия сертификата его владельцу направляется официальное уведомление согласно пункту 34 настоящего Регламента.

УЦ может по собственной инициативе приостановить действие сертификата с уведомлением его владельца о причинах приостановления действия сертификата.

25.           Возобновление действия сертификата, осуществляется уполномо-ченным лицом УЦ по заявлению на возобновление действия сертификата.

Заявление на возобновление действия сертификата ключа ЭП (приложение № 8 (для юридического лица), приложение № 9 (для физического лица) к настоящему Регламенту) подписывается заявителем собственноручно.

Заявление на возобновление действия сертификата содержит:

фамилию, имя, отчество заявителя;

серийный номер сертификата, действие которого возобновляется;

дату создания сертификата;

ИНН, ОГРН, СНИЛС, указанные в сертификате;

дату, подпись заявителя.

Срок рассмотрения заявления на возобновление действия сертификата составляет до трех рабочих дней со дня его поступления в УЦ.

После возобновления действия сертификата его владельцу направляется официальное уведомление согласно пункту 35 настоящего Регламента.

26.           Проверка сертификата осуществляется УЦ согласно обращению пользователя УЦ на основании заявления на проверку подлинности сертификата, составленного в свободной форме, в письменном или электронном виде (для внутренних пользователей УЦ). При подаче заявления на проверку подлинности сертификата в письменном виде оно должно быть подписано заявителем собственноручно, при подаче заявления на проверку подлинности сертификата в электронной форме – действующим ключом ЭП пользователя УЦ.

Обязательным приложением к заявлению на проверку подлинности сертификата является файл, содержащий сертификат, подлежащий процедуре проверки. При необходимости могут быть запрошены дополнительные данные:

файл, содержащий сертификат уполномоченного лица УЦ, являющегося издателем сертификата, подлежащий процедуре проверки;

файл, содержащий список отозванных сертификатов УЦ, являющегося издателем сертификата, использовавшийся для проверки ЭП уполномоченного лица УЦ заявителем.

Срок рассмотрения заявления на проверку подлинности сертификата составляет до трех рабочих дней со дня его поступления в УЦ. Результаты проверки оформляются в виде отчета, содержащего следующую информацию:

время и место проведения проверки;

сведения о лицах, проводивших проверку;

основание для проведения проверки;

данные, представленные для проверки;

результаты проверки;

оценка результатов проверки.

Отчет оформляется в электронной или письменной форме в зависимости от формы поступившего заявления на проверку подлинности сертификата ключа ЭП и передается пользователю УЦ.

27.           Хранение сертификата в реестре сертификатов УЦ осуществляется в течение срока действия сертификата, определенного пунктом 52 настоящего Регламента.

Срок архивного хранения сертификата устанавливается в соответствии со сроком, определенным пунктом 58 настоящего Регламента.

28.           Подтверждение ЭП в электронном документе осуществляется УЦ в соответствии с обращением граждан на основании заявления на подтверждение ЭП в электронном документе, составленного в свободной форме, которое подается администратору УЦ лично либо по доверенности.

Заявление на подтверждение ЭП в электронном документе должно содержать информацию о дате и времени формирования ЭП в электронном документе.

Ответственность за достоверность указанных даты и времени формирования ЭП в электронном документе возлагается на заявителя.

Обязательным приложением к заявлению на подтверждение ЭП в электронном документе является отчуждаемый носитель, содержащий:

файл электронного документа, к которому применена ЭП;

файл, содержащий ЭП формата PKCS#7 Cryptographic Message Syntax Standard электронного документа;

файл сертификата уполномоченного лица УЦ, являющегося издателем подтверждаемого сертификата;

файл списка отозванных сертификатов УЦ, являющегося издателем сертификата ключа ЭП электронного документа и использовавшийся для проверки ЭП электронного документа заявителем.

29.           Срок рассмотрения заявления на подтверждение ЭП в электронном документе составляет до трех рабочих дней с момента его поступления в УЦ.

В случае отказа подтверждения ЭП в электронном документе заявителю возвращается заявление на подтверждение ЭП в электронном документе с резолюцией администратора УЦ.

В случае подтверждения ЭП в электронном документе заявителю представляется ответ в письменном виде, заверенный собственноручной подписью администратора УЦ и печатью УЦ.

Ответ должен содержать:

результат проверки соответствующим сертифицированным средством ЭП принадлежности ЭП в электронном документе владельцу сертификата и отсутствия искажений в подписанном данной ЭП электронном документе;

детальный отчет о выполненной проверке.

30.           Детальный отчет о выполненной проверке включает в себя:

время и место проведения проверки;

основания для проведения проверки;

сведения об эксперте (экспертах) или комиссии экспертов (фамилия(и), имя (имена), отчество(а), образование, специальность(и), стаж работы, ученая степень и/или ученое звание, наименования занимаемых должностей), которому (которым) поручено проведение проверки;

вопросы и их обоснования, поставленные перед экспертом (экспертами);

объекты исследований и материалы, представленные для проведения проверки;

методы проведения, содержание и результаты проверки;

оценка результатов проверки;

иные сведения в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи».

Материалы и документы, подтверждающие заключение(я) эксперта (экспертов), прилагаются к детальному отчету и служат его составной частью.

Детальный отчет составляется в письменной форме и заверяется собственноручной подписью (собственноручными подписями) эксперта (экспертов).

31.           Сертификаты и списки отозванных сертификатов издаются УЦ в соответствии с рекомендациями X.509. Контроль корректности сертификатов может осуществляться администратором УЦ или администратором программы VipNet «Центр регистрации» с использованием встроенных механизмов операционной системы Windows. Для проведения проверки сертификат должен быть экспортирован в файл с расширением *.cer (список отозванных сертификатов – в файл с расширением *.crl).

Критериями корректности сертификатов являются:

отсутствие сообщений об ошибках при экспорте сертификата и при вызове утилиты просмотра сертификата;

корректное отображение сертификата системной утилитой;

соответствие между составами, содержаниями полей при просмотре техническими средствами УЦ и средствами операционной системы.

32.           Уведомление о факте создания сертификата его владельца либо доверенного лица производится лично или с помощью электронной почты, указанной в заявлении на создание ключей ЭП.

Срок уведомления о факте создания сертификата – не позднее 24 часов со времени создания сертификата.

33.           УЦ официально уведомляет о факте аннулирования (отзыва) сертификата его владельца не позднее 24 часов со времени занесения сведений об аннулированном (отозванном) сертификате в список отозванных сертификатов.

Официальным уведомлением о факте аннулирования сертификата является размещение списка отозванных сертификатов, содержащего сведения об аннулированных (отозванных) сертификатах, в сети Интернет (http://crl.uc.orb.ru/pubservice/, http://crl2.uc.orb.ru/pubservice/).

Временем аннулирования (отзыва) сертификата признается время занесения сведений об аннулированном (отозванном) сертификате в список отозванных сертификатов.

Временем опубликования списка отозванных сертификатов признается включенное в его структуру время создания списка отозванных сертификатов.

УЦ включает полный адрес (URL) списка отозванных сертификатов УЦ в издаваемые сертификаты пользователей УЦ.

34.           УЦ официально уведомляет о факте приостановления действия сертификата его владельца не позднее 24 часов с момента занесения сведений об этом сертификате в список отозванных сертификатов.

Официальным уведомлением о факте приостановления действия сертификата является опубликование списка отозванных сертификатов, содержащим сведения о сертификате, действие которого приостановлено, в сети Интернет (http://crl.uc.orb.ru/pubservice/, http://crl2.uc.orb.ru/pubservice/).

Временем приостановления действия сертификата признается время занесения сведений о нем в список отозванных сертификатов.

Временем опубликования списка отозванных сертификатов признается включенное в его структуру время создания списка отозванных сертификатов.

УЦ включает полный адрес (URL) списка отозванных сертификатов в издаваемые сертификаты.

 

35.           УЦ официально уведомляет о факте возобновления действия сертификата его владельца не позднее 24 часов с момента исключения сведений о сертификате, действие которого приостановлено, из списка отозванных сертификатов.

Официальным уведомлением о факте возобновления действия сертификата является опубликование списка отозванных сертификатов, не содержащего сведений об этом сертификате, в сети Интернет (http://crl.uc.orb.ru/pubservice/, http://crl2.uc.orb.ru/pubservice/).

Список отозванных сертификатов должен иметь более позднее время опубликования, чем список отозванных сертификатов, в котором указан сертификат, действие которого приостановлено. Временем возобновления действия сертификата признается время официального уведомления о факте возобновления действия сертификата.

36.           Плановая замена ключей ЭП (закрытого и соответствующего ему открытого ключа ЭП) подписи уполномоченного лица УЦ выполняется в соответствии со сроком действия сертификата уполномоченного лица УЦ.

Процедура плановой замены ключей ЭП уполномоченного лица УЦ осуществляется в следующем порядке:

уполномоченное лицо УЦ формирует новый закрытый и соответствующий ему открытый ключи ЭП или запрос в вышестоящий УЦ в формате *.p12;

уполномоченное лицо УЦ или вышестоящий УЦ изготавливает новый сертификат уполномоченного лица УЦ и подписывает его ЭП;

администратор УЦ настраивает УКЦ для создания ключей ЭП на новом ключе ЭП уполномоченного лица УЦ.

37.           Внеплановая замена ключей ЭП выполняется в случае компрометации или угрозы компрометации закрытого ключа ЭП уполномоченного лица УЦ.

Процедура внеплановой замены ключей ЭП уполномоченного лица УЦ выполняется в порядке, определенном процедурой плановой замены ключей ЭП уполномоченного лица УЦ.

После выполнения процедуры внеплановой замены ключей ЭП уполномоченного лица УЦ:

прекращается действие всех сертификатов, подписанных таким ключом ЭП;

заносятся сведения об отозванных сертификатах в список отозванных сертификатов;

скомпрометированный сертификат уполномоченного лица УЦ аннулируется (отзывается) путем занесения в список отозванных сертификатов;

УЦ безвозмездно создает сертификаты для всех владельцев сертификатов, чьи сертификаты прекращают действие в связи с внеплановой сменой.

38.           Внеплановая смена ключа ЭП по причине, отличной от компрометации, выполняется в порядке, определенном процедурой плановой замены ключей ЭП уполномоченного лица УЦ.

39.           Срок действия закрытого ключа ЭП уполномоченного лица УЦ составляет один год.

Начало действия закрытого ключа ЭП уполномоченного лица УЦ исчисляется с даты и времени начала действия соответствующего сертификата.

Максимальный срок, устанавливаемый в качестве срока действия сертификатов уполномоченного лица УЦ, составляет шесть лет.

40.           Процедура смены ключа ЭП владельца сертификата идентична процедура создания ключей ЭП.

 

VI. Политика конфиденциальности

 

41.           Ключевая информация администратора УЦ:

предназначена для защиты ключевой информации, формируемой и хранимой в УЦ;

хранится в УЦ, архивации не подлежит;

объем – не более 3 Кб;

зашифрована на парольном ключе защиты.

42.           Ключевая информация УЦ, необходимая для выполнения его функций как ключевого центра:

формируется и хранится в УЦ в течение срока действия ключей ЭП (но не более 1 года);

защищается ключами администратора УЦ;

объем – не более 1 Мб;

подлежит архивации.

43.           Ключевая информация внутренних пользователей УЦ:

формируется и депонируется в УЦ до момента передачи;

архивации не подлежит;

защищается ключами ЭП администратора УЦ;

объем – не более 10 Кб на одного пользователя УЦ.

Программное обеспечение ViPNet надежно удаляет ключевую информацию после передачи внутреннему пользователю УЦ или доверенному лицу.

44.           Под конфиденциальной информацией подразумевают:

пароли (ПИН-коды) внутренних пользователей УЦ;

персональная и корпоративная информация пользователей УЦ, содержащаяся в УЦ, не подлежащая непосредственной рассылке в качестве части сертификата или списка отозванных сертификатов;

информация, содержащаяся в журналах аудита УЦ;

отчетные материалы о выполненных проверках деятельности УЦ, не публикуемые в соответствии с настоящим Регламентом.

45.           К открытой информации относится информация, включаемая в сертификаты и списки отозванных сертификатов.