Постановление Правительства Оренбургской области от 24.11.2017 № 833-п
Об использовании электронной подписи в органах исполнительной власти и органах местного самоуправления муниципальных образований Оренбургской области
ПРАВИТЕЛЬСТВООРЕНБУРГСКОЙ ОБЛАСТИ
П О С Т А Н О В ЛЕ Н И Е
24.11.2017 г.Оренбург № 833-п
Об использовании электроннойподписи в органах
исполнительной власти иорганах местного самоуправления
муниципальных образований Оренбургскойобласти
В соответствии сФедеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи» и вцелях обеспечения безопасности при осуществлении электронного документооборота:
1. Возложитьфункции удостоверяющего центра органов исполнительной власти и органов местногосамоуправления муниципальных образований Оренбургскойобласти на государственное казенное учреждение «Центр информационныхтехнологий Оренбургской области».
2. Утвердить:
а) регламентработы удостоверяющего центра государственного казенного учреждения «Центринформационных технологий Оренбургской области» согласно приложению № 1;
б) порядоквыдачи и отзыва ключей и сертификатов ключей электронной подписи пользователейудостоверяющего центра государственного казенного учреждения «Центринформационных технологий Оренбургской области» согласно приложению № 2;
в) инструкциюпо защите информации при осуществлении электронного документооборота в органахисполнительной власти и органах местного самоуправления муниципальныхобразований Оренбургской области и подведомственных им учреждениях согласноприложению № 3.
3. Рекомендовать органам местного самоуправления муниципальныхобразований Оренбургской области использовать электронную подпись приосуществлении электронного документооборота в соответствии с регламентом работыудостоверяющего центра государственного казенного учреждения «Центринформационных технологий Оренбургской области» и порядком выдачи и отзываключей и сертификатов ключей электронной подписи пользователей удостоверяющегоцентра государственного казенного учреждения «Центр информационных технологийОренбургской области», утвержденными настоящим постановлением.
4. Установить, что органы исполнительной власти Оренбургской области,органы местного самоуправления муниципальных образований Оренбургской области,территориальные органы федеральных органов государственной власти, организациинезависимо от их организационно-правовых форм и форм собственности вправеполучить усиленную квалифицированную электронную подпись при осуществлениимежведомственного электронного взаимодействия в соответствии с регламентомработы удостоверяющего центра государственного казенного учреждения «Центринформационных технологий Оренбургской области» и порядком выдачи и отзываключей и сертификатов ключей электронной подписи пользователей удостоверяющегоцентра государственного казенного учреждения «Центр информационных технологийОренбургской области», утвержденными настоящимпостановлением.
5. Признатьутратившими силу постановления Правительства Оренбургской области:
от 27.06.2013 №525-п «Об использовании электронной подписи в органах исполнительной властиОренбургской области»;
от 03.10.2014 № 711-п «О внесенииизменений в постановление Правительства Оренбургской области от 27.06.2013 №525-п».
6. Контроль за исполнением настоящего постановления возложитьна директора департамента информационных технологий Оренбургской области Засинца И.Д.
7. Постановлениевступает в силу после его официального опубликования.
Губернатор Ю.А.Берг
Приложение № 1
к
постановлению
Правительства области
от 24.11.2017 № 833-п
Регламент
работы удостоверяющегоцентра государственного казенного учреждения «Центр информационных технологийОренбургской области»
I. Термины и определения, используемые в настоящем Регламенте
ViPNet – торговая марка программных продуктов.
Абонентский пункт – автоматизированное рабочее место, на котором установлен ViPNet «Координатор» либо ViPNet «Клиент».
Аутентификация– проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждениеподлинности.
Внешний пользователь удостоверяющего центра – лицо, обратившееся за услугами удостоверяющегоцентра, не зарегистрированное в удостоверяющем центре.
Внутренний пользователь удостоверяющего центра – лицо, обратившееся за услугами удостоверяющегоцентра, зарегистрированное в удостоверяющем центре.
Закрытый ключ электронной подписи – криптографическийключ, хранящийся пользователем удостоверяющего центра в тайне, использующийся дляформирования электронной подписи и/илишифрования данных.
Запрос на отзыв сертификата ключа электронной подписи – сообщение, содержащее необходимую информациюдля отзыва сертификата ключа электронной подписи.
Запрос на сертификат ключа электронной подписи – сообщение, содержащее необходимую информациюдля получения сертификата ключа электронной подписи.
Заявитель– лицо, которому необходимо получить услуги удостоверяющегоцентра.
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнениепредъявляемого идентификатора с перечнем присвоенных идентификаторов.
Ключеваядискета – файл, содержащий в себе хэш-пароль, действующийперсональный ключ, закрытый ключ электронной подписи, сертификат электронной подписипользователя удостоверяющего центра.
Ключ (криптографическийключ) – конкретноесекретное состояние некоторых параметров алгоритма криптографического преобразованияданных, обеспечивающее выбор одного преобразования из совокупности всевозможныхдля данного алгоритма преобразований, ключ электронной подписи, открытый или закрытыйключ электронной подписи.
Ключ электронной подписи– совокупность закрытого и открытого ключей электронной подписи, где закрытый ключ электронной подписи – уникальнаяпоследовательность символов, известная владельцу сертификата ключа подписи и предназначеннаядля создания в электронном документе электроннойподписи с использованием средств электронной подписи, а открытый ключ электронной подписи – уникальнаяпоследовательность символов, соответствующая закрытому ключу электронной подписи, доступная любому пользователюинформационной системы и предназначенная для подтверждения с использованием средств электроннойподписи подлинности электроннойподписи в электронном документе.
Ключевой носитель – носитель, содержащий один или несколько ключей электронной подписи.
Ключевойнабор – файл, содержащий в себе ключи связи с центром управления сетью и программнымобеспечением программно-аппаратного комплекса ViPNet «Координатор».
Компрометация ключа – недоверие к обеспечению безопасности информации используемыми ключами.
Открытый ключ электроннойподписи – криптографическийключ, связанный с закрытым ключом электронной подписи с помощью особого математическогосоотношения, известный другим пользователям системы и предназначенный для проверкиэлектронной подписи, шифрования, но не позволяющий вычислить закрытый ключ электронной подписи.
Программныйкомплекс удостоверяющего центра – программный комплекс обеспечения реализациицелевых функций удостоверяющего центра. Компонент программыViPNet «Удостоверяющий и Ключевой центр».
Плановая замена ключей электронной подписи – замена ключей электронной подписи с установленнойв системе периодичностью, не вызванная компрометацией ключей электронной подписи.
Пользовательудостоверяющего центра – лицо, обратившееся за услугами удостоверяющегоцентра.
Пунктрегистрации – пункт удостоверяющего центра, предназначенныйдля приема заявлений, регистрации внешних пользователей удостоверяющегоцентра, создания ключей электронной подписи и формирования запросовна приостановление, отзыв и возобновление сертификата ключа электронной подписи.
Сертификат ключа электроннойподписи – электронныйдокумент или документ на бумажномносителе, содержащий открытый ключ электронной подписи,сведения о владельце открытого ключа подписи, подписанный электронной подписью егоиздателя.
Списокотозванных сертификатов ключей электронной подписи – список сертификатов ключейэлектронной подписи, созданный удостоверяющим центром, отозванных до окончания срокаих действия.
Средства электронной подписи – аппаратные и (или) программные средства, обеспечивающиереализацию хотя бы одной из следующих функций:
созданиеэлектронной подписи в электронном документе с использованием закрытого ключа электроннойподписи;
подтверждениес использованием открытого ключа электронной подписи подлинности электронной подписив электронном документе;
созданиезакрытых и открытых ключей электронной подписи.
Удостоверяющий центр – структурное подразделение государственного казенного учреждения «Центринформационных технологий Оренбургской области», выполняющее функции, предусмотренныеФедеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи».
Э лектронный документ – документ, в котором информация представлена вэлектронной форме.
Электроннаяподпись – реквизит электронного документа, предназначенный для защиты такого документаот подделки, полученный в результате криптографического преобразования информациис использованием закрытого ключа электроннойподписи и позволяющий идентифицировать владельца сертификата ключаподписи, а также установить отсутствие искажения информации в таком документе.
ViPNet «Сервиспубликации» – программное обеспечение ViPNet реализующее управлениеточками публикации сертификатов ключей электронной подписи.
ViPNet «Удостоверяющийи ключевой центр» – программное обеспечение ViPNet, предназначенноедля выпуска цифровых сертификатов ключей электроннойподписи.
ViPNet «Центррегистрации» – программное обеспечение ViPNet, предназначенноедля создания защищенного автоматизированного рабочего места для регистрации внешнихпользователей удостоверяющего центра, хранения регистрационныхданных, создания запросов на выпуск сертификатов и их обслуживание в программе ViPNet «Удостоверяющий и ключевой центр», а также запросов наформирование дистрибутивов справочно-ключевой информации для узлов сети ViPNet в программе ViPNet «Удостоверяющийи ключевой центр».
II. Общие положения
1. Настоящий Регламент определяет механизм и условия предоставленияуслуг удостоверяющего центра государственного казенного учреждения« Центр информационных технологий»(далее – УЦ), включая обязанности пользователей УЦ и администраторов УЦ, содержаниепротоколов работ УЦ, структуры записей аудита (приложение№ 1 к настоящему Регламенту), основные организационно-техническиемероприятия, необходимые для безопасной работы УЦ, устанавливаетпорядок взаимоотношений УЦ и пользователей УЦ в процессе предоставления услуг УЦ.
2. Местонахождениегосударственного казенного учреждения « Центр информационных технологий» (далее – ГКУ «ЦИТ»): 460046, г. Оренбург, ул. 9 Января, д. 64, каб. 706.
Местонахождение пункта регистрации: г. Оренбург, ул. 9 Января,д. 64, каб. 725.
График работы пункта регистрации: понедельник–четверг с 9:00 до 18:00,пятница – с 9:00 до 17:00, перерыв на обед с 13:00 до 13:48,выходные дни: суббота, воскресенье, а также дни государственныхпраздников России.
Список услуг, оказываемых УЦ, контактная и справочная информация представленына официальном сайте ГКУ «ЦИТ» в разделе «Удостоверяющий центр» в сети Интернет(http://uc.orb.ru/).
3. УЦ предназначендля обеспечения участников информационных систем средствами и спецификациями дляиспользования сертификатов ключей электронной подписи (далее – сертификат) в целяхобеспечения:
применения электронной подписи (далее – ЭП);
контроля целостности и конфиденциальности информации, представленнойв электронном виде, передаваемой в процессе взаимодействия участников информационныхсистем;
аутентификации участников информационных систем в процессе их взаимодействия.
4. Зарегистрированнымипользователями УЦ и владельцами сертификатов могут быть только физические лица.
Пользователями сертификатамогут быть физическое лицо, устройство или программное приложение.
Юридических лиц представляют физические лица, имеющие доверенностьот имени юридического лица на право пользоваться услугами УЦ.
Сертификаты, требующиеся для работы каких-либо устройств или программныхприложений, выдаются на ответственное лицо.
5. УслугаУЦ по предоставлению копий сертификатов в электронной форме, находящихся в реестресертификатов, предоставляется на безвозмездной основе.
Состав и стоимость дополнительных услуг, предоставляемыхУЦ определяются владельцем УЦ.
III. Услуги, предоставляемыеУЦ
6. В процессесвоей деятельности УЦ предоставляет пользователям УЦ следующие услуги:
созданиеи выдача закрытых и открытых ключей ЭП по обращениям пользователей УЦ с записьюих на ключевой носитель;
созданиесертификатов внутренних пользователей УЦ на бумажном носителе;
установлениесроков действия создаваемых сертификатов;
созданиесертификатов внутренних пользователей УЦ в электронной форме;
проверкауникальности ключей проверки ЭП в реестре сертификатов;
подтверждениеподлинности ЭП в документах, представленных в электроннойформе, по обращениям пользователей УЦ;
подтверждениеподлинности ЭП уполномоченного лица УЦ в созданныхим сертификатах по обращениям пользователей УЦ;
предоставлениекопий сертификатов в электронной форме, находящихся в реестре сертификатов, по запросампользователей УЦ;
ведениереестра сертификатов внутренних пользователей УЦ;
аннулирование(отзыв) сертификатов по обращениям владельцев сертификатов;
предоставлениепользователям УЦ сведений об аннулированных и приостановленных сертификатах;
приостановлениеи возобновление действия сертификатов по обращениям владельцев сертификатов;
формированиеи обновление справочно-ключевых наборов для организации защищенного обмена информацией;
распространениесредств ЭП.
IV. Права и обязанности УЦ и его пользователей
7. УЦ имеетправо:
запрашивать:
у заявителядокументы для подтверждения информации, содержащейся в заявлении на создание ключейЭП, дополнительные документы, подтверждающие достоверность представленныхим сведений, в случае наличия противоречий между сведениями, представленными заявителеми сведениями, полученными УЦ в соответствии с частью 2.2 статьи 18 Федеральногозакона от 6 апреля 2011года № 63-ФЗ «Об электронной подписи»;
у операторовбазовых государственных информационных ресурсов – сведения, необходимые для осуществленияпроверки достоверности документов и сведений, представленных заявителем, с использованиеминфраструктуры, обеспечивающей информационно-технологическое взаимодействие информационныхсистем, используемых для предоставления государственных и муниципальных услуг иисполнения государственных и муниципальных функций в электронной форме;
из государственныхинформационных ресурсов – выписки из единого государственного реестра юридическихлиц (в отношении заявителя – юридического лица), единого государственного реестраиндивидуальных предпринимателей (в отношении заявителя – индивидуального предпринимателя),Единого государственного реестра налогоплательщиков (в отношении заявителя – иностраннойорганизации);
отказатьв:
регистрациив УЦ лицам, обратившимся по вопросу предоставления копий сертификатов в электроннойформе;
приеме документов,не соответствующих требованиям нормативных правовых актов Российской Федерации;
предоставлении услугпо созданию ключей ЭП в случае невыполнения заявителем обязанностей, установленныхчастью 2 статьи 18 Федерального закона от6 апреля 2011 года № 63-ФЗ «Об электронной подписи»;
предоставлении услугпо созданию ключей ЭП без предоставления информации о причинахотказа;
аннулировании (отзыве)сертификата владельцу сертификата, подавшему заявление на аннулирование (отзыв)сертификата, в случае, если истек установленный срок действия закрытого ключа ЭП,соответствующего ключу ЭП в сертификате;
приостановлении или возобновлении действия сертификата владельцу сертификата, подавшемузаявление на приостановление или возобновление действия сертификата, в случае, еслиистек установленный срок действия закрытого ключа ЭП, соответствующего ключу ЭПв сертификате;
предоставлятькопии сертификатов в электронной форме, находящиеся в реестре сертификатов, всемлицам, обратившимся за ними в УЦ;
прекратить действие сертификата без заявления владельца сертификатав случае наличия у УЦ достоверных сведений о нарушении конфиденциальности ключаЭП владельца сертификата, а также невыполнения владельцем сертификатаобязанностей, установленных законодательством Российской Федерации в области ЭП,а также в случае появления у УЦ достоверных сведений о том, что документы, представленныезаявителем в целях создания и получения им сертификата не являются подлинными и /или не подтверждают достоверность информации, включенной в данныйсертификат, и/или в случае, если услуга по созданию и выдаче данного сертификатане оплачена в надлежащем порядке.
8. Внешние пользователи УЦ имеютправо:
получать:
списоканнулированных (отозванных) и приостановленных сертификатов, составленный УЦ;
сертификатуполномоченного лица УЦ;
копиюсертификата в электронной форме, находящегося в реестре сертификатов;
применять:
сертификатуполномоченного лица УЦ для проверки ЭП уполномоченного лицаУЦ в сертификатах, созданных УЦ;
копиюсертификата в электронной форме для проверки ЭПв соответствии со сведениями, указанными в сертификате;
списоканнулированных (отозванных) и приостановленных сертификатов, созданных УЦ, для проверкистатуса сертификатов;
обращатьсяв УЦ:
за подтверждениемподлинности ЭП в документах, представленных в электроннойформе;
за подтверждениемподлинности ЭП уполномоченного лица УЦ в созданныхим сертификатах;
с заявлениемна создание ключей ЭП.
9. Внутренниепользователи УЦ имеют права внешних пользователей УЦ, а также право:
пользоватьсяпредоставляемыми УЦ средствами защиты от несанкционированного доступа (в случаепредоставления таких средств);
обращатьсяв УЦ с заявлениями:
на аннулирование(отзыв) сертификата ключа ЭП в течениесрока действия соответствующего закрытого ключа ЭП;
на приостановлениедействия сертификата ключа ЭП в течение срока действия соответствующего закрытогоключа ЭП;
на возобновлениедействия сертификата ключа ЭП в течение срока действия соответствующего закрытогоключа ЭП.
10. УЦ обязан:
информироватьв письменной форме заявителей об условиях и порядке использования ЭПи средств ЭП, о рисках, связанных с использованием ЭП,и мерах, необходимых для обеспечения безопасности ЭПи их проверки;
вноситьв создаваемые сертификаты достоверную и актуальную информацию, подтвержденную соответствующимидокументами;
обеспечиватьактуальность информации, содержащейся в реестре сертификатов, и ее защиту от неправомерногодоступа, уничтожения, модификации, блокирования, иных неправомерных действий;
обеспечиватькруглосуточную доступность реестра сертификатов в сети Интернет, за исключениемпериодов планового или внепланового технического обслуживания;
обеспечиватьконфиденциальность созданных ключей ЭП;
не разглашать(не публиковать) информацию о внутренних пользователях УЦ, за исключением информации,используемой для идентификации владельцев сертификатов и заносимой в созданные сертификаты,за исключением случаев, предусмотренных законодательством Российской Федерации;
направлять в соответствии с частью 5 статьи 18 Федерального закона от 6апреля 2011 года № 63-ФЗ «Об электронной подписи» в единуюсистему идентификации и аутентификации сведения о лице, получившем сертификат ключаЭП (далее – квалифицированный сертификат), в объеме, необходимомдля регистрации в единой системе идентификации и аутентификации, и о полученномим квалифицированном сертификате (уникальный номер квалифицированного сертификата,даты начала и окончания его действия, наименование выдавшего его аккредитованного удостоверяющегоцентра);
безвозмездноосуществить регистрацию лица, которому выдан квалифицированный ключ ЭП в единойсистеме идентификации и аутентификации (по желанию такоголица);
отказать заявителюв создании сертификата в случае:
неподтверждения того, что он владеет ключом ЭП, который соответствуетключу ЭП, указанному в заявлении на создание ключей ЭП;
отрицательного результатапроверки в реестре сертификатов уникальности ключа ЭП, указанного в заявлении насоздание ключей ЭП;
соблюдать срок действияключей ЭП, используемых для подписания создаваемыхсертификатов, распределяя сроки их действия таким образом, чтобы по окончании такихсроков все сертификаты, подписанные ключами ЭП, прекратили свое действие;
обеспечить регистрациюпользователей УЦ по заявлениям на создание ключа ЭП (приложение № 2 (для юридического лица), приложение№ 3 (для физического лица) к настоящему Регламенту);
организовать работупо времени GMT (Greenwich MeanTime) с учетом часового пояса, синхронизировать по временивсе программные и технические средства обеспечения деятельности УЦ по назначению;
обеспечить сохранностьсозданного закрытого ключа ЭП до момента передачи пользователю УЦ;
обеспечить уникальностьрегистрационной информации внутренних пользователей УЦ, заносимой в реестр сертификатови используемой для идентификации владельцев сертификатов;
использоватьдля создания закрытого ключа ЭП уполномоченного лица УЦ и формирования ЭП толькосредства ЭП, сертифицированные по классу КС2или выше в соответствии с законодательством Российской Федерации;
использоватьзакрытый ключ ЭП уполномоченного лица УЦ только для подписи созданных им сертификатови списков отозванных сертификатов;
приниматьмеры по защите закрытого ключа ЭП уполномоченного лица УЦ в соответствии с положенияминастоящего Регламента;
уведомлятьв свободной форме владельца сертификата о фактах, которые стали известны УЦ, влияющихна возможности дальнейшего использования закрытого ключа ЭП и сертификата.
Публикацияинформации, используемой для идентификации владельцев сертификатов, осуществляетсяпутем включения ее в созданные сертификаты.
11. УЦ обязан вести реестр сертификатов пользователей УЦ.
Реестрсертификатов пользователей УЦ ведется в электронном виде, сертификаты представленыв форме электронных копий.
Реестрсертификатов пользователей УЦ является публичным и размещен в сети Интернет ( http://crl.uc.orb.ru/ kval /, http://crl2.uc.orb.ru/ kval /).
Реестрсписков отозванных сертификатов является публичным и размещен в сети Интернет ( http://crl.uc.orb.ru/pubservice/, http://crl2.uc.orb.ru/pubservice/).
Созданныйсертификат внутреннего пользователя УЦ автоматически записывается в реестр сертификатовпользователей УЦ. Данный процесс обеспечивается настройками программы ViPNet «Удостоверяющий и ключевой центр» и программы ViPNet «Сервис публикации».
Отозванныйсертификат внутреннего пользователя УЦ автоматически заносится в список отозванныхсертификатов и записывается в реестр отозванных сертификатов.
УЦ обязан осуществлять выдачу копий сертификатов в электронной формепо заявлениям пользователей УЦ.
Техническоеобслуживание серверов, на которых расположены реестры сертификатов пользователейУЦ, происходит поочередно с поддержанием доступа хотя бы к одному из адресов данныхреестров.
12. Внутренний пользователь УЦ обязан:
хранитьв тайне закрытый ключ ЭП, принимать все возможные меры для предотвращения его потери,раскрытия, модифицирования или несанкционированного использования;
не использоватьдля ЭП закрытые ключи ЭП в случае, если ему известно об их использованиидругими лицами;
использоватьзакрытый ключ ЭП только для целей, определенных соответствующими областями использования,определенными сертификатом, или в порядке, установленном законодательством РоссийскойФедерации.
Владелецсертификата, пользователь, не являющийся его владельцем, должны удостовериться,что назначение сертификата, определенное соответствующими областями использования,определенными сертификатом согласно настоящему Регламенту, соответствует предполагаемомуиспользованию.
V. Процедуры и механизмыработы УЦ
13. Перечень документов, необходимых для получения ЭП:
заявление на созданиеключа ЭП на бумажном носителе;
документ, удостоверяющийличность заявителяили доверенного лица;
доверенностьот заявителя на право доверенного лица предоставлять его интересы в УЦ.
В случаеесли от имени заявителя – физического лица действует доверенное лицо – физическоелицо на основании доверенности, доверенность должна быть нотариально заверена.
14. Заявлениена создание ключа ЭП должно быть заверено подписью заявителя,подается заявителем лично или доверенным лицом по доверенности.
Заявлениена создание ключа ЭП должно содержать:
а) дляфизического лица:
фамилию,имя, отчество;
пол;
датурождения;
месторождения;
ИНН;
СНИЛС;
адресэлектронной почты заявителя;
серию,номер документа, удостоверяющего личность;
кем икогда выдан (включая код подразделения) документ, удостоверяющий личность;
номераконтактных телефонов;
б) дляфизического лица, представляющего юридическое лицо:
наименованиеюридического лица;
фамилию,имя и отчество;
пол;
датурождения;
месторождения;
ИНН юридическоголица;
ОГРНюридического лица;
СНИЛС;
наименованиедолжности;
серию,номер документа, удостоверяющего личность;
кем икогда выдан (включая код подразделения) документ, удостоверяющий личность;
адресэлектронной почты заявителя;
юридическийадрес юридического лица.
Дополнительно(определяется заявителем) заявление на создание ключа ЭП может содержать следующуюинформацию, включаемую в идентификационные данные:
псевдоним;
номер мобильного телефона (для регистрации в единой системе идентификации и аутентификации).
К заявлениюна создание ключа ЭП физического лица, представляющего юридическое лицо, прилагаютсяоригинал доверенности или копии документов, подтверждающих правомочность действийфизического лица от имени юридического лица.
15. На основании документов, указанных в пункте 13 настоящего Регламента,сотрудник УЦ устанавливает право заявителя подать данные документы в УЦ. В случаеотсутствие такого права сотрудник УЦ обязан отказать в приеме документов.
16. Заявление на создание ключа ЭП рассматривается пунктомрегистрации в течение одного рабочего дня со дня его поступления в УЦ.
При подтверждениидостоверности информации, содержащейся в документах, указанных в пункте 13 настоящегоРегламента, производится процедура идентификации пользователя УЦ.
При выявлениинедостоверности информации, содержащейся в документах, указанных в пункте 13 настоящегоРегламента производится возврат заявления на создание ключа ЭП заявителю.
17. При соответствии информации, указанной в заявлении на созданиеключа ЭП, с записью в реестре пользователей УЦ заявителю присваивается статус идентификации«внутренний пользователь УЦ», при несоответствии – «внешний пользователь УЦ».
18. При наличии заявления на создание ключа ЭПдля внешнего пользователя УЦ производится процедура регистрации внешнего пользователяУЦ.
19. Регистрация внешнего пользователя УЦ осуществляется сотрудником пунктарегистрации УЦ на основании заявления на создание ключа ЭП.
Сотрудникпункта регистрации УЦ вносит информацию о регистрации внешнего пользователя УЦ вреестр пользователей УЦ.
Регистрациявнешнего пользователя УЦ может быть выполнена администратором УЦ непосредственнов программе VipNet «Удостоверяющий и ключевой центр» или по запросу программы VipNet «Центррегистрации».
По окончаниипроцедуры регистрации внешнего пользователя УЦ ему присваивается статус «внутреннийпользователь УЦ».
20. Процедура создания ключей ЭП выполняется толькодля внутренних пользователей УЦ.
Созданиеключей ЭП выполняется ответственным сотрудником УЦ на рабочем месте с программой VipNet «Центр регистрации» на основании принятого заявления на создание ключаЭП.
Созданныеключи ЭП записываются на отчуждаемый носитель, предоставляемый УЦ или заявителем.
Записьсозданных ключей ЭП на отчуждаемый носитель производится в соответствии с требованиямипо эксплуатации программного и/или аппаратного средства.
Предоставляемыйзаявителем ключевой носитель должен удовлетворять следующим требованиям:
соответствоватьперечню устройств, указанному к документации ViPNet «Информацияо внешних устройствах хранения данных» ФРКЕ:00004-04 90 09;
иметьUSB-интерфейс, не требующий дополнительных адаптеров;
бытьпроинициализированным (отформатированным);
содержатьисключительно данные инициализации.
Ключевыеносители, не удовлетворяющие указанным требованиям, для записи ключевой информациине принимаются.
Ключевойноситель, содержащий созданные ключи ЭП, передается заявителю. Факт выдачи ключейЭП заносится в журнал учета создания и выдачи ключей ЭП под роспись заявителя.
Послесоздания сертификата заявителю направляется официальное уведомление в соответствиис пунктом 32 настоящего Регламента.
По окончаниипроцедуры создания ключей ЭП внутреннему пользователю УЦ передаются:
ключиЭП, записанные на отчуждаемый носитель;
копиясертификата на бумажном носителе согласно пункта 54настоящего Регламента.
Созданныйсертификат в электронной форме, заверенный ЭП уполномоченного лица УЦ, предоставляетсявладельцу при его личном обращении в УЦ либо доверенному лицу, действующему по доверенности.
При необходимостирегистрируемый пользователь УЦ должен приобрести (получить) средство ЭП и шифрования, распространяемоеУЦ либо свободно распространяемое, совместимое с программным обеспечением УЦ.
21. Аутентификация внутреннего пользователя УЦ по сертификату осуществляется путем выполненияпроцедуры подтверждения ЭПс использованием сертификата согласно пункту 26 настоящего Регламента.
Даннаяпроцедура выполняется при подаче заявлений на аннулирование (отзыв) сертификата,приостановление действия сертификата и в процессе других электронных взаимодействий,не требующих личного присутствия внутреннего пользователя УЦ или его доверенноголица.
22. Владелец сертификата идентифицируется по значениям атрибутов поля Subject сертификата согласно пункту66 настоящего Регламента.
23. Аннулирование (отзыв) сертификата, созданного УЦ, осуществляется уполномоченнымлицом УЦ по заявлению на аннулирование (отзыв) сертификата его владельца или организации.
Заявление на аннулирование (отзыв)сертификата ключа ЭП может быть подано как в электронном, так и письменном виде(приложение № 4 (для юридического лица)или приложение № 5 (для физического лица) к настоящему Регламенту).Заявление на аннулирование (отзыв) сертификата заверяется собственноручнойили ЭП заявителя.
Заявление на аннулирование (отзыв)сертификата должно содержать:
фамилию, имя, отчество владельца;
серийный номер отзываемого сертификата;
дату создания сертификата;
ИНН, ОГРН, СНИЛС указанные в сертификате;
причина аннулирования (отзыв) сертификата;
дату, подпись заявителя.
Заявлениена аннулирование (отзыв) сертификата подается заявителем администратору УЦ.
Срокирассмотрения заявления на аннулирование (отзыв) сертификата составляет не более12 часов с момента его поступления в УЦ.
После аннулирования (отзыва) сертификата его владельцу направляетсяофициальное уведомление согласно пункту 33 настоящего Регламента.
УЦ можетпо собственной инициативе отозвать сертификат пользователя УЦ в случае установленногофакта компрометации соответствующего закрытого ключа ЭП с внесением записи в журналвнештатных ситуаций, уведомлением владельца отозванного сертификата и указаниемобоснованных причин отзыва сертификата.
24. Приостановление действия сертификата, созданного УЦ, осуществляетсяуполномоченным лицом УЦ по заявлению на приостановление действия сертификата. Заявлениена приостановление действия сертификата подается пользователем УЦ в УЦ.
Заявление на приостановлениедействия сертификата ключа ЭП может быть подано как на бумажном носителе, так ив электронном виде (приложение № 6 (для юридическоголица), приложение № 7 (для физического лица) к настоящему Регламенту). Заявление на приостановлениедействия сертификата ключа ЭП заверяется собственноручнойили ЭП заявителя.
Заявлениена приостановление действия сертификата содержит:
фамилию,имя, отчество заявителя;
серийныйномер сертификата, действие которого приостанавливается;
датусоздания сертификата;
ИНН,ОГРН, СНИЛС, указанные в сертификате;
срок,на который приостанавливается действие сертификата;
причинаприостановки действия сертификата;
дата,подпись заявителя.
Срокрассмотрения заявления на приостановление действия сертификата составляет один рабочийдень со дня его поступления в УЦ.
Послеприостановления действия сертификата его владельцу направляется официальное уведомлениесогласно пункту 34 настоящего Регламента.
УЦ можетпо собственной инициативе приостановить действие сертификата с уведомлением еговладельца о причинах приостановления действия сертификата.
25. Возобновление действия сертификата, осуществляется уполномо-ченным лицом УЦ по заявлениюна возобновление действия сертификата.
Заявлениена возобновление действия сертификата ключа ЭП (приложение № 8 (для юридического лица), приложение № 9(для физического лица) к настоящему Регламенту) подписывается заявителемсобственноручно.
Заявлениена возобновление действия сертификата содержит:
фамилию,имя, отчество заявителя;
серийныйномер сертификата, действие которого возобновляется;
датусоздания сертификата;
ИНН,ОГРН, СНИЛС, указанные в сертификате;
дату,подпись заявителя.
Срокрассмотрения заявления на возобновление действия сертификата составляет до трехрабочих дней со дня его поступления в УЦ.
Послевозобновления действия сертификата его владельцу направляется официальное уведомлениесогласно пункту 35 настоящего Регламента.
26. Проверка сертификата осуществляется УЦ согласно обращению пользователяУЦ на основании заявления на проверку подлинности сертификата, составленного в свободнойформе, в письменном или электронном виде (для внутренних пользователей УЦ). Приподаче заявления на проверку подлинности сертификата в письменном виде оно должнобыть подписано заявителем собственноручно, при подаче заявления на проверку подлинностисертификата в электронной форме – действующим ключом ЭП пользователя УЦ.
Обязательнымприложением к заявлению на проверку подлинности сертификата является файл, содержащийсертификат, подлежащий процедуре проверки. При необходимости могут быть запрошеныдополнительные данные:
файл,содержащий сертификат уполномоченного лица УЦ, являющегося издателем сертификата,подлежащий процедуре проверки;
файл,содержащий список отозванных сертификатов УЦ, являющегося издателем сертификата,использовавшийся для проверки ЭП уполномоченного лицаУЦ заявителем.
Срокрассмотрения заявления на проверку подлинности сертификата составляет до трех рабочихдней со дня его поступления в УЦ. Результаты проверки оформляются в виде отчета,содержащего следующую информацию:
времяи место проведения проверки;
сведенияо лицах, проводивших проверку;
основаниедля проведения проверки;
данные,представленные для проверки;
результатыпроверки;
оценкарезультатов проверки.
Отчетоформляется в электронной или письменной форме в зависимости от формы поступившегозаявления на проверку подлинности сертификата ключа ЭП и передается пользователюУЦ.
27. Хранение сертификата в реестре сертификатов УЦ осуществляется в течениесрока действия сертификата, определенного пунктом 52 настоящего Регламента.
Срокархивного хранения сертификата устанавливается в соответствии со сроком, определеннымпунктом 58 настоящего Регламента.
28. Подтверждение ЭПв электронном документе осуществляется УЦ в соответствии с обращением граждан наосновании заявления на подтверждение ЭПв электронном документе, составленного в свободной форме, которое подается администраторуУЦ лично либо по доверенности.
Заявлениена подтверждение ЭП в электронном документедолжно содержать информацию о дате и времени формирования ЭП в электронном документе.
Ответственностьза достоверность указанных даты и времени формированияЭП в электронном документевозлагается на заявителя.
Обязательнымприложением к заявлению на подтверждение ЭП в электронном документе является отчуждаемый носитель, содержащий:
файлэлектронного документа, к которому применена ЭП;
файл,содержащий ЭП формата PKCS#7Cryptographic Message Syntax Standard электронного документа;
файлсертификата уполномоченного лица УЦ, являющегося издателем подтверждаемого сертификата;
файлсписка отозванных сертификатов УЦ, являющегося издателем сертификата ключа ЭП электронного документа и использовавшийсядля проверки ЭП электронного документа заявителем.
29. Срок рассмотрения заявления на подтверждение ЭП в электронном документе составляет до трехрабочих дней с момента его поступления в УЦ.
В случаеотказа подтверждения ЭП вэлектронном документе заявителю возвращается заявление на подтверждение ЭП в электронномдокументе с резолюцией администратора УЦ.
В случаеподтверждения ЭП в электронномдокументе заявителю представляется ответ в письменном виде, заверенный собственноручнойподписью администратора УЦ и печатью УЦ.
Ответдолжен содержать:
результатпроверки соответствующим сертифицированным средством ЭП принадлежности ЭП в электронном документе владельцусертификата и отсутствия искажений в подписанном данной ЭП электронном документе;
детальныйотчет о выполненной проверке.
30. Детальный отчет о выполненной проверке включает в себя:
времяи место проведения проверки;
основаниядля проведения проверки;
сведенияоб эксперте (экспертах) или комиссии экспертов (фамилия(и),имя (имена), отчество(а), образование, специальность(и), стаж работы, ученая степеньи/или ученое звание, наименования занимаемых должностей), которому (которым) порученопроведение проверки;
вопросыи их обоснования, поставленные перед экспертом (экспертами);
объектыисследований и материалы, представленные для проведения проверки;
методыпроведения, содержание и результаты проверки;
оценкарезультатов проверки;
иные сведения в соответствии с Федеральным законом от6 апреля 2011 года № 63-ФЗ «Об электронной подписи».
Материалыи документы, подтверждающие заключение(я) эксперта (экспертов),прилагаются к детальному отчету и служат его составной частью.
Детальныйотчет составляется в письменной форме и заверяется собственноручной подписью (собственноручнымиподписями) эксперта (экспертов).
31. Сертификаты и списки отозванных сертификатов издаются УЦ в соответствиис рекомендациями X.509. Контроль корректности сертификатов может осуществлятьсяадминистратором УЦ или администратором программы VipNet «Центррегистрации» с использованием встроенных механизмов операционной системы Windows. Для проведения проверки сертификат должен быть экспортированв файл с расширением *.cer (список отозванных сертификатов– в файл с расширением *.crl).
Критериямикорректности сертификатов являются:
отсутствиесообщений об ошибках при экспорте сертификата и при вызове утилиты просмотра сертификата;
корректноеотображение сертификата системной утилитой;
соответствиемежду составами, содержаниями полей при просмотре техническими средствами УЦ и средствамиоперационной системы.
32. Уведомление о факте создания сертификата его владельца либо доверенноголица производится лично или с помощью электронной почты, указанной в заявлении насоздание ключей ЭП.
Срокуведомления о факте создания сертификата – не позднее 24 часов со времени созданиясертификата.
33. УЦ официально уведомляет о факте аннулирования (отзыва) сертификатаего владельца не позднее 24 часов со времени занесения сведений об аннулированном(отозванном) сертификате в список отозванных сертификатов.
Официальнымуведомлением о факте аннулирования сертификата является размещение списка отозванныхсертификатов, содержащего сведения об аннулированных (отозванных) сертификатах,в сети Интернет ( http://crl.uc.orb.ru/pubservice/, http://crl2.uc.orb.ru/pubservice/).
Временеманнулирования (отзыва) сертификата признается время занесения сведений об аннулированном(отозванном) сертификате в список отозванных сертификатов.
Временемопубликования списка отозванных сертификатов признается включенное в его структурувремя создания списка отозванных сертификатов.
УЦ включаетполный адрес (URL) списка отозванных сертификатов УЦ в издаваемые сертификаты пользователейУЦ.
34. УЦ официально уведомляет о факте приостановления действия сертификатаего владельца не позднее 24 часов с момента занесения сведений об этом сертификатев список отозванных сертификатов.
Официальнымуведомлением о факте приостановления действия сертификата является опубликованиесписка отозванных сертификатов, содержащим сведения о сертификате, действие которогоприостановлено, в сети Интернет (http://crl.uc.orb.ru/pubservice/, http://crl2.uc.orb.ru/pubservice/).
Временемприостановления действия сертификата признается время занесения сведений о нем всписок отозванных сертификатов.
Временемопубликования списка отозванных сертификатов признается включенное в его структурувремя создания списка отозванных сертификатов.
УЦ включаетполный адрес (URL) списка отозванных сертификатов в издаваемые сертификаты.
35. УЦ официально уведомляет о факте возобновления действия сертификатаего владельца не позднее 24 часов с момента исключения сведений о сертификате, действиекоторого приостановлено, из списка отозванных сертификатов.
Официальнымуведомлением о факте возобновления действия сертификата является опубликование спискаотозванных сертификатов, не содержащего сведений об этом сертификате, в сети Интернет(http://crl.uc.orb.ru/pubservice/, http://crl2.uc.orb.ru/pubservice/).
Списокотозванных сертификатов должен иметь более позднее время опубликования, чем списокотозванных сертификатов, в котором указан сертификат, действие которого приостановлено.Временем возобновления действия сертификата признается время официального уведомленияо факте возобновления действия сертификата.
36. Плановая замена ключей ЭП (закрытого и соответствующего ему открытогоключа ЭП) подписи уполномоченного лица УЦ выполняется в соответствии со сроком действиясертификата уполномоченного лица УЦ.
Процедураплановой замены ключей ЭП уполномоченного лица УЦ осуществляется в следующем порядке:
уполномоченное лицо УЦ формирует новый закрытый и соответствующий емуоткрытый ключи ЭП или запрос в вышестоящий УЦ в формате *. p 12;
уполномоченноелицо УЦ или вышестоящий УЦ изготавливает новый сертификат уполномоченного лица УЦи подписывает его ЭП;
администраторУЦ настраивает УКЦ для создания ключей ЭП на новом ключе ЭПуполномоченного лица УЦ.
37. Внеплановая замена ключей ЭП выполняется в случае компрометации илиугрозы компрометации закрытого ключа ЭП уполномоченного лица УЦ.
Процедуравнеплановой замены ключей ЭП уполномоченного лица УЦ выполняется в порядке, определенномпроцедурой плановой замены ключей ЭП уполномоченного лица УЦ.
Послевыполнения процедуры внеплановой замены ключей ЭП уполномоченного лица УЦ:
прекращаетсядействие всех сертификатов, подписанных таким ключом ЭП;
заносятсясведения об отозванных сертификатах в список отозванных сертификатов;
скомпрометированныйсертификат уполномоченного лица УЦ аннулируется (отзывается) путем занесения в списокотозванных сертификатов;
УЦ безвозмездносоздает сертификаты для всех владельцев сертификатов, чьи сертификаты прекращаютдействие в связи с внеплановой сменой.
38. Внеплановая смена ключа ЭП по причине, отличной от компрометации, выполняетсяв порядке, определенном процедурой плановой замены ключей ЭП уполномоченного лицаУЦ.
39. Срок действия закрытого ключа ЭП уполномоченного лица УЦ составляетодин год.
Началодействия закрытого ключа ЭП уполномоченного лица УЦ исчисляется с даты и времениначала действия соответствующего сертификата.
Максимальныйсрок, устанавливаемый в качестве срока действия сертификатов уполномоченного лицаУЦ, составляет шесть лет.
40. Процедура смены ключа ЭП владельца сертификатаидентична процедура создания ключей ЭП.
V I . Политика конфиденциальности
41. Ключевая информация администратора УЦ:
предназначена длязащиты ключевой информации, формируемой и хранимой в УЦ;
хранитсяв УЦ, архивации не подлежит;
объем– не более 3 Кб;
зашифрована на парольномключе защиты.
42. Ключевая информация УЦ, необходимая для выполнения его функций какключевого центра:
формируетсяи хранится в УЦ в течение срока действия ключей ЭП (но не более 1 года);
защищаетсяключами администратора УЦ;
объем– не более 1 Мб;
подлежитархивации.
43. Ключевая информация внутренних пользователей УЦ:
формируетсяи депонируется в УЦ до момента передачи;
архивациине подлежит;
защищаетсяключами ЭП администратора УЦ;
объем– не более 10 Кб на одного пользователя УЦ.
Программноеобеспечение ViPNet надежно удаляет ключевую информациюпосле передачи внутреннему пользователю УЦ или доверенному лицу.
44. Под конфиденциальной информацией подразумевают:
пароли(ПИН-коды) внутренних пользователей УЦ;
персональнаяи корпоративная информация пользователей УЦ, содержащаяся в УЦ, не подлежащая непосредственнойрассылке в качестве части сертификата или списка отозванных сертификатов;
информация,содержащаяся в журналах аудита УЦ;
отчетныематериалы о выполненных проверках деятельности УЦ, не публикуемые в соответствиис настоящим Регламентом.
45. К открытой информации относится информация, включаемая в сертификатыи списки отозванных сертификатов.
Открытаяинформация может публиковаться по решению УЦ, место, способ и время публикации такжеопределяются решением УЦ.
46. УЦ не должен раскрывать информацию, относящуюся к типу конфиденциальной, третьим лицам, за исключением случаев:
определенных настоящимРегламентом;
требующих раскрытияв соответствии с законодательством Российской Федерации или при наличии судебногоакта.
VII. Дополнительные положения
47. Срок предоставления любой услуги УЦ не должен превышать 3 рабочих днейпри наличии всех условий для ее предоставления.
48. Сертификат прекращает свое действие:
по истечении срока его действия;
на основании заявления владельца сертификата об аннулировании (отзыве)сертификата ключа ЭП, подаваемого в письменной или электронной форме;
в случае прекращения деятельности УЦ без передачи его функций другимлицам;
в иных случаях, предусмотренных законодательством Российской Федерациив области ЭП.
УЦ признает сертификат аннулированным в случаях, если:
не подтверждено, что владелец сертификата владеет ключом ЭП,соответствующим ключу проверки ЭП, указанному в сертификате;
установлено, что содержащийся в сертификате ключ проверки ЭПуже содержится в ином ранее созданном сертификате;
вступило в силу решение суда, которым установлено, что сертификат содержитнедостоверную информацию.
49. Уполномоченное лицо УЦ идентифицируется по следующим данным:
фамилия,имя, отчество;
организация:ГКУ «ЦИТ»;
подразделение;
адресэлектронной почты;
субъектРоссийской Федерации: Оренбургская область.
50. Средство ЭПдолжно соответствовать требованиям к средствам ЭП класса не ниже КС1 согласно приказу Федеральной службы безопасности РоссийскойФедерации от 27 декабря 2011 года № 796 «Об утверждении Требований к средствам электроннойподписи и Требований к средствам удостоверяющего центра».
51. Средства УЦдолжны соответствовать требованиям к средствам УЦ класса не ниже КС2 согласно приказу Федеральной службы безопасности РоссийскойФедерации от 27 декабря 2011 года № 796 «Об утверждении Требований к средствам электроннойподписи и Требований к средствам удостоверяющего центра».
52. Срок действия закрытого ключа ЭП пользователя УЦ, соответствующегосертификату, владельцем которого он является, составляет один год.
Началодействия закрытого ключа ЭП пользователя УЦ исчисляется с даты и времени началадействия соответствующего сертификата.
Максимальныйсрок, устанавливаемый в качестве срока действия сертификата, составляет пять лет.
Срокдействия сертификата устанавливается УЦ в момент его создания.
53. Закрытые ключи ЭП при их генерации должны записываться на отчуждаемыеносители.
Закрытыеключи ЭП на отчуждаемом носителе защищаются паролем (ПИН-кодом). Пароль (ПИН-код)формирует лицо, выполняющее процедуру генерации ключей ЭП, учитывая следующие требования:
длинапароля (ПИН-кода) не меньше 8 символов;
срокдействия пароля (ПИН-кода) – не более 12 месяцев;
пароль(ПИН-код) должен содержать символы цифр и/или букв латинского алфавита.
В случаеесли процедуру генерации ключей ЭП выполняет сотрудник УЦ, он должен сообщить сформированныйпароль (ПИН-код) владельцу закрытых ключей ЭП.
Ответственностьза сохранение пароля (ПИН-кода) возлагается на владельца закрытых ключей ЭП.
Не допускаетсяиспользование одинакового значения пароля (ПИН-кода) для защиты нескольких закрытыхключей ЭП.
СотрудникиУЦ, являющиеся владельцами закрытых ключей ЭП, также выполняют указанные в настоящемразделе меры защиты закрытых ключей ЭП.
54. Копия сертификата в электронной форме представляет собой электронныйдокумент, имеющий структуру, соответствующую стандарту Международного союза телекоммуникацийITU-T X.509 версии 3 и рекомендациям IETF (Internet Engineering Task Force) RFC 2459, представленный в кодировке Der или Base64.
55. Копия сертификата на бумажном носителе представляет собой документ,содержащий:
серийныйномер сертификата;
идентификационныеданные владельца сертификата;
идентификационныеданные издателя сертификата (идентификационные данные из сертификата уполномоченноголица УЦ);
сведенияо средстве ЭП уполномоченноголица УЦ;
сведенияо ключе ЭП владельца сертификата и алгоритме его формирования;
сведенияоб областях использования закрытого ключа ЭП и сертификата;
собственноручнуюподпись уполномоченного лица УЦ;
печатьУЦ.
Копиясертификата печатается на белой бумаге, листе формата А4,не содержащем средств защиты от копирования и подделки.
56. Источником комплектования архивного фонда УЦ является пункт регистрацииУЦ, обеспечивающий документирование. Архивированию подлежат:
реестрсертификатов пользователей УЦ;
сертификатыуполномоченного лица УЦ;
журналыаудита программно-аппаратных средств обеспечения деятельности УЦ;
реестрзарегистрированных пользователей УЦ;
заявленияна создание ключей ЭП;
заявленияна аннулирование (отзыв) сертификата;
заявленияна приостановление действия сертификата;
заявленияна возобновление действия сертификата;
служебныедокументы УЦ.
57. Архивные документы хранятся в специально оборудованном помещении –архивохранилище, в котором обеспечивается режим хранения архивных документов, установленныйзаконодательством Российской Федерации.
58. Срок хранения архивных документов – 11 лет.
59. Выделение архивных документов к уничтожению и их уничтожение осуществляетсяпостоянно действующей комиссией, формируемой из числа сотрудников УЦ и назначаемойприказом руководителя УЦ.
60. Количество программ VipNet «Центр регистрации», сетевых узлов и пользователей, которые могут бытьзарегистрированы в программе ViPNet «Центр управлениясетью», и сертификатов, которые могут быть созданы в УЦ, ограничивается лицензиейпроизводителя при поставке программного обеспечения. Распределение квот на регистрациюпользователей УЦ и число создаваемых запросов на сертификаты производится администраторомУЦ в программе ViPNet «Центр управления сетью» для каждогоиз пунктов регистрации.
При распределениилицензий администратор должен учитывать:
суммарноеколичество лицензий;
количествообслуживаемых центров регистрации;
распределениенагрузки по количеству обслуживаемых пользователей УЦ между пунктами регистрации.
61. Суммарное число лицензий на сертификаты не должно превышать общегочисла свободных лицензий для внутренних пользователей УЦ в данной сети.
62. При возникновении споров УЦ и пользователи УЦ (далее – стороны) предпринимаютнеобходимые меры для их урегулирования путем переговоров.
Спорымежду сторонами, не урегулированные в процессе переговоров, должны рассматриватьсяв соответствии с законодательством Российской Федерации.
63. УЦ не несет ответственности за негативные последствия, наступившиев результате нарушения пользователями УЦ положений настоящего Регламента.
Претензиик УЦ ограничиваются указанием на несоответствие его действий настоящему Регламенту.
64. Деятельность УЦ может быть прекращена в порядке, установленном законодательствомРоссийской Федерации.
VIII. Структура сертификата и списков отозванных сертификатов
65. УЦ создает сертификаты пользователей УЦ и уполномоченного лица УЦ вэлектронной форме формата X.509 версии 3.
66. Сертификаты содержат следующие базовые поля X.509:
| Signature: | ЭП уполномоченного лица УЦ |
| Issuer: | идентифицирующие данные уполномоченного лица УЦ |
| Validity: | даты начала и окончания срока действия сертификата |
| Subject: | идентифицирующие данные владельца сертификата |
| SubjectPublicKey-Information: | идентификатор алгоритма средства ЭП, с которым используется данный открытый ключ ЭП, значение открытого ключа ЭП |
| Version: | версия сертификата формата X.509 версия 3 |
| SerialNumber: | уникальный серийный (регистрационный) номер сертификата в реестре сертификатов УЦ |
67. Сертификаты содержатследующие дополнения:
| AuthorityKeyIdentifier: | идентификатор открытого ключа ЭП уполномоченного лица УЦ |
| SubjectKeyIdentifier: | идентификатор ключа ЭП владельца сертификата |
| ExtendedKeyUsage: | область (области) использования ключа ЭП, при котором электронный документ с ЭП будет иметь юридическое значение |
| CRLDistributionPoint: | точка распространения списка аннулированных (отозванных) сертификатов, созданных УЦ (может включаться или не включаться в соответствии с настройками УЦ) |
| KeyUsage: | назначение ключа ЭП |
| Basic Constraints: | определяет принадлежность сертификата УЦ и ограничение длины цепочки сертификатов для подчиненного УЦ |
68. УЦ обеспечиваетформирование ключей ЭП пользователей в соответствии с параметрами:
| Алгоритм подписи | Описание | Параметры ключа ЭП | Описание OID ISO | Длина ключа ЭП |
| ГОСТ Р 34.10-2012 | стандарт ЭП, основанный на арифметике эллиптических кривых. OID «1.2.643.2.2.19» | ГОСТ Р 34.10-2012 параметры по умолчанию | набор параметров по умолчанию (рекомендуется). OID «1.2.643.2.2. 35.1» | 512 |
| ГОСТ Р 34.10-2012 «Оскар» | набор параметров «КриптоПРО» (Параметры 2) OID «1.2.643.2.2. 35.2» | |||
| ГОСТ Р 34.10-2012 параметры подписи 3 | набор параметров «КриптоПРО» (Параметры 3) OID «1.2.643.2.2. 35.3» |
69. В сертификате поляидентификационных данных уполномоченного лица УЦ и владельца сертификатасодержат атрибуты имени формата X.500.
70. Обязательными атрибутамиполя идентификационных данных уполномоченного лица УЦ являются:
| commonName | наименование удостоверяющего центра |
| Organization-Name | наименование юридического лица, являющейся владельцем УЦ |
| organizationUnit-Name | наименование подразделения, сотрудником которого является уполномоченное лицо УЦ |
| | адрес электронной почты |
| countryName | RU |
| stateOrProvince-Name | субъект Российской Федерации, где зарегистрирована организация, являющаяся владельцем УЦ |
| localityName | наименование населенного пункта |
| INN | ИНН УЦ |
| OGRN | ОГРН УЦ |
| streetAddress | Юридический адрес УЦ |
71. Обязательными атрибутамиполя идентификационных данных владельца сертификата, являющегося физическимлицом, являются:
| commonName | фамилия, имя, отчество |
| surname | Фамилия |
| givenName | имя, отчество |
| | адрес электронной почты |
| countryName | RU |
| stateOrProvince-Name | субъект Российской Федерации, где зарегистрировано физическое лицо |
| localityName | наименование населенного пункта, где зарегистрировано физическое лицо |
| streetAddress | название улицы, номер дома, где зарегистрировано физическое лицо |
| INN | ИНН физического лица |
| SNILS | СНИЛС физического лица |
72. Обязательными атрибутамиполя идентификационных данных владельца сертификата, являющегося физическимлицом и представляющего юридическое лицо, являются:
| commonName | наименование юридического лица |
| surname | Фамилия |
| givenName | имя, отчество |
| countryName | RU |
| stateOrProvince-Name | субъект Российской Федерации, где зарегистрировано юридическое лицо |
| localityName | наименование населенного пункта, где зарегистрировано юридическое лицо |
| streetAddress | название улицы, номер дома, где зарегистрировано юридическое лицо |
| title | Должность |
| OGRN | ОГРН юридического лица |
| SNILS | СНИЛС |
| INN | ИНН юридического лица |
73. УЦ издает список отозванныхсертификатов пользователей УЦ и уполномоченного лица УЦ в электронной формеформата X.509 версии 2.
74. УЦ использует следующиедополнения:
| AuthorityKey-Identifier | идентификатор открытого ключа ЭП уполномоченного лица УЦ |
| ReasonCode | код причины отзыва сертификата |
IX. Программные итехнические средства
обеспечениядеятельности УЦ
75. Для реализации своих услуг и обеспеченияжизнедеятельности УЦ использует следующие программные и технические средства:
программный комплекс обеспечения реализации целевых функций УЦ;
технические средства обеспечения работы программного комплекса УЦ;
программные и программно-аппаратные средства защиты информации.
76. Программный комплекс обеспечения реализациицелевых функций УЦ включает в себя следующие программные компоненты:
ViPNet «Администратор»;
ViPNet «Центр управления сетью»;
ViPNet «Удостоверяющий и ключевой центр»;
ViPNet CSP ;
ViPNet «Сервис публикации»;
ViPNet «Центррегистрации»;
ViPNet «Администратор».
77. ViPNet«Администратор» является базовым компонентом программногокомплекса УЦ, включает в себя программы ViPNet«Центр управления сетью» и ViPNet «Удостоверяющий и ключевойцентр».
Программа ViPNet «Центр управлениясетью» предназначена для формирования и изменения структуры корпоративной сети,обеспечивает реализацию следующих функций УЦ:
регистрация сетевого узла;
распределение задач для сетевого узла («Координатор», «Клиент»,«Центр регистрации»);
регистрация клиентов (абонентов) в сети на сетевом узле;
задание и изменение разрешенных связей для сетевого узла;
формирование и рассылка адресных справочников для сетевого узла;
формирование справочников для программы ViPNet«Удостоверяющий и ключевой центр»;
рассылка для сетевого узла обновлений справочно-ключевойинформации, формируемой программой ViPNet«Удостоверяющий и ключевой центр»;
рассылка для сетевого узла списков отозванных сертификатов исписков сертификатов уполномоченных лиц УЦ своей исмежных сетей;
прием и передача в программу ViPNet«Удостоверяющий и ключевой центр» запросов на сертификаты, на обновлениесертификатов от пользователей корпоративной сети и центров регистрации,рассылка созданных сертификатов на сетевые узлы.
78. Программу ViPNet «Удостоверяющийи ключевой центр» с учетом выполнения функций можно условно разделить на двепрограммы: «Ключевой центр» и «Удостоверяющий центр».
Программа «Ключевой центр» предназначена для формированияпользовательской ключевой информации на основе информации, поступающей из центрауправления сетью. Созданные программой «Ключевой центр» ключи ЭП передаютсяпользователям, после чего при наличии соответствующего программного обеспеченияViPNet пользователи сети смогут безопаснообмениваться конфиденциальной информацией.
Программа«Ключевой центр» обеспечивает реализацию следующих функций УЦ:
формированиеключевых дискет для пользователей сети ViPNet;
формированиеключевых наборов для сетевых узлов;
формированиепаролей;
обновлениеключевых дискет и ключевых наборов.
79. Программа «Удостоверяющийцентр» предназначена для обслуживания следующих запросов на:
созданиесертификатов;
отзыв,приостановление и возобновление приостановленного действия сертификатов,сформированных на сетевых узлах сети ViPNet(пользователями корпоративной сети) или в центрах регистрации для внешнихпользователей.
Программа«Удостоверяющий центр» обеспечивает реализацию следующих функций:
созданиеключей ЭП и создание сертификатов уполномоченных лиц УЦ;
формированиезапросов в головной удостоверяющий центр на создание сертификатауполномоченного лица УЦ;
импортсертификатов уполномоченных лиц УЦ смежных сетей и головного УЦ;
ведениеэталонной копии реестра справочников сертификатовуполномоченных лиц УЦ, формирование и отправка в программу VipNet «Центр управления сетью» обновлений справочников сетевых узлов;
созданиеключей ЭП пользователей и создание сертификатов корпоративной сети по запросам программы VipNet «Центр управления сетью»;
рассмотрениезапросов на создание сертификатов от пользователей корпоративной сети;
рассмотрениезапросов на создание сертификатов внешних пользователей от программы VipNet «Центррегистрации»;
хранениеинформации о запросах на создание сертификатов и ведение эталонной копииреестра справочников созданных сертификатов от программы VipNet «Центррегистрации»;
рассмотрениезапросов на отзыв, приостановление и возобновление сертификатов;
отправкав программу VipNet «Центр управления сетью» обновлений списков отозванныхсертификатов;
ведениеэталонной копии списка аннулированных (отозванных) и приостановленныхсертификатов пользователей УЦ.
Программа«Удостоверяющий центр» обеспечивает возможность формирования и сертификацииключей ЭП для алгоритма ГОСТ Р 34.10-2012.
Ответственностьза эксплуатацию программы ViPNet «Администратор»возлагается на уполномоченное лицо УЦ.
80. Программа ViPNet CSP – средство ЭП УЦ. Данное средство (криптопровайдер) пользователь УЦ самостоятельно приобретаетили получает через официальный сайт производителя безвозмездно.
81. Программа ViPNet «Центр регистрации» обеспечивает реализациюследующих функций УЦ:
регистрацияперсональных данных внешних пользователей УЦ;
ведениереестра зарегистрированных внешних пользователей УЦ;
генерациясекретного ключа ЭП и сохранение его на персональном ключевом носителе внешнегопользователя УЦ;
формированиезапроса на сертификат;
отправказапроса в программу ViPNet «Удостоверяющий и ключевойцентр» (через программу ViPNet «Центр управлениясетью»);
приеми ввод в действие созданных сертификатов;
ведениереестра справочников запросов и созданных сертификатов;
формированиезапросов на отзыв, приостановление или возобновление сертификатов;
ведениежурнала событий и действий абонентов центра регистрации.
Ответственностьза эксплуатацию программы ViPNet «Центр регистрации»возлагается на УЦ.
82. Техническими средствамиобеспечения работы программного комплекса УЦ являются:
выделенныйсервер с программой ViPNet «Администратор» (ViPNet «Центр управления сетью» и ViPNet«Удостоверяющий и ключевой центр» могут быть установлены на разныхкомпьютерах);
компьютерс программой ViPNet «Центр регистрации»;
выделенныйсервер с программой ViPNet «Координатор»;
программно-аппаратныекомплексы защиты от несанкционированного доступа типа «электронный замок»;
телекоммуникационноеоборудование;
автоматизированныерабочие места сотрудников УЦ;
устройствапечати (принтеры).
Ответственностьза эксплуатацию технических средств и общесистемного программного обеспечениявозлагается на сотрудников УЦ.
83. Программными ипрограммно-аппаратными средствами защиты информации являются:
средствокриптографической защиты информации ViPNet CSP;
средствокриптографической защиты информации ViPNet«Координатор»;
средствокриптографической защиты информации ViPNet «Клиент»;
устройстваобеспечения температурно-влажностного режима и кондиционирования служебных ирабочих помещений УЦ;
устройстваобеспечения противопожарной безопасности помещений УЦ.
Ответственностьза эксплуатацию программных и программно-аппаратных средств защиты информациивозлагается на администратора УЦ.
84. Программы ViPNet «Удостоверяющий и ключевой центр» и ViPNet «Центр регистрации» обеспечивает реализациюследующих функций УЦ:
входадминистратора в программу ViPNet «Удостоверяющий иключевой центр»;
регистрацияадминистратора программы ViPNet «Удостоверяющий иключевой центр»;
созданиесертификата администратора программы ViPNet «Удостоверяющийи ключевой центр»;
формированиесписка отозванных сертификатов;
принятиезапроса на создание ключа ЭП;
отклонениезапроса на создание ключа ЭП;
созданиеключей ЭП;
принятиезапроса на отзыв сертификата;
удовлетворениезапроса на отзыв сертификата;
отклонениезапроса на отзыв сертификата;
невыполнениевнутренней операции программной компоненты;
системныесобытия общесистемного программного обеспечения.
85. При эксплуатациипрограммного комплекса обеспечения реализации целевых функций УЦ выполняетсярезервное копирование данных компонент программного комплексаУЦ. Периодичность создания резервных копий определяется настройками программы ViPNet «Удостоверяющий и ключевой центр» и можетварьироваться в зависимости от числа выполненных операций.
Переченьданных программного комплекса УЦ, подлежащих резервномукопированию, включает в себя:
спискисертификатов уполномоченных лиц программы ViPNet «Удостоверяющийи ключевой центр» и УЦ смежных сетей в электронном виде;
базуданных пользователей УЦ;
базуданных созданных сертификатов, включая очередь входящих запросов и историюзапросов на сертификаты;
журналыпрограммы ViPNet «Удостоверяющий и ключевой центр».
X . Обеспечение безопасности, инженерно-технические
меры защиты информации
86. Серверы ителекоммуникационное оборудование размещаются в выделенном помещении вшкафу-стойке.
Остальныетехнические средства УЦ размещаются в рабочих помещениях УЦ согласно схемеорганизации рабочих мест сотрудников ГКУ «ЦИТ».
87. Помещение УЦ оборудованосистемой сигнализации, выведенной на пульт охраны.
Рабочиеи служебные помещения УЦ не подключены к системе контроля доступа и оборудованымеханическими замками.
Ключимеханических замков рабочих помещений УЦ выдаются сотрудникам УЦ пораспоряжению руководителя УЦ в соответствии со схемой организации рабочих мест сотрудниковГКУ «ЦИТ». Ключи также имеют руководитель и заместитель руководителя ГКУ «ЦИТ».
88. Технические средства УЦ подключенык общегородской сети электроснабжения.
Серверы,телекоммуникационное оборудование УЦ подключены к источникам бесперебойногопитания, обеспечивающим их работу в течение часа после прекращения основногоэлектроснабжения.
Техническиесредства, используемые на рабочих местах сотрудников УЦ, также обеспеченыисточниками бесперебойного питания.
Служебныепомещения УЦ, используемые для архивного хранения документов на бумажных,магнитных и оптических носителях, серверное помещение оборудованы средствами вентиляциии кондиционирования воздуха, обеспечивающими соблюдение установленныхпараметров температурно-влажностного режима, вентиляции и очистки воздуха.
89. Помещение УЦ оборудованопожарной сигнализацией. Пожарная безопасность помещений УЦ обеспечивается всоответствии с нормами и требованиями, установленными законодательствомРоссийской Федерации.
90. Документальный фонд УЦ как фондообразователя подлежит хранению в соответствии сзаконодательством Российской Федерации по делопроизводству и архивному делу.
91. Выделение к уничтожению иуничтожение документов УЦ, не подлежащих архивному хранению, осуществляетсясотрудниками УЦ, обеспечивающими документирование.
XI . Структура УЦ, обязанности и функции администратора и оператораУЦ
92. СтруктураУЦ:
администратор УЦ;
оператор центра регистрацииУЦ.
93. Администратором УЦ можетявляться только уполномоченное лицо УЦ.
АдминистраторУЦ выполняет следующие функции:
управление деятельностью УЦ;
координация деятельности центра регистрации УЦ;
взаимодействие с пользователями УЦ в части разрешения вопросов,связанных с применением средств ЭП,распространяемых УЦ, с подтверждением ЭП уполномоченноголица УЦ в сертификатах, созданных УЦ в электронной форме, или подтверждениясобственноручной подписи уполномоченного лица УЦ в копиях сертификатов,созданных УЦ на бумажном носителе.
администрированиепрограммы ViPNet «Удостоверяющий и ключевой центр»;
администрированиепрограммы ViPNet «Центр управления сетью»;
обеспечениесоблюдения правил безопасной эксплуатации программного и аппаратного комплексаУЦ в целом;
осуществлениенастройки операционной системы и прикладного программного обеспечения;
обеспечениесинхронизации времени на серверах времени и контроль засинхронизацией времени на компьютерах пользователей УЦ;
осуществлениеконтроля за соблюдением правил эксплуатации исоблюдением мер защиты от несанкционированного доступа;
осуществлениепроверки целостности программного обеспечения и данных компонент УЦ;
осуществлениеаудита событий по журналам программных компонент УЦ, журналам операционнойсистемы и аппаратных средств защиты от несанкционированного доступа;
контрольцелостности журналов и архивов журналов;
осуществлениерегистрации абонентских пунктов и пользователей сети ViPNet;
назначениесвязи между объектами сети;
формированиеи рассылка справочников для абонентских пунктов и программы ViPNet«Удостоверяющий и ключевой центр», а также обновления ключевой и справочнойинформации;
обеспечениевзаимодействия программы ViPNet «Центр управлениясетью» с другими сетями ViPNet.
94. Для выполнения своихфункций администратору УЦ необходимо:
обладатьпаролями входа в операционную систему с правами, достаточными для выполнениясвоих функций. Иметь полный доступ к программе ViPNet«Администратор» и ее рабочим каталогам;
осуществлятьпервичную генерацию ключевой информации в программе ViPNet«Удостоверяющий и ключевой центр» и абонентских пунктов сети;
осуществлятьформирование симметричных ключей шифрования для абонентских пунктов сети;
осуществлятьформирование и своевременную смену мастер-ключей своейсети и для межсетевого взаимодействия;
обеспечиватьсвоевременной передачи в программу ViPNet «Центруправления сетью» сформированной ключевой и справочной информации.
95. Администратор УЦ приадминистрировании программы ViPNet «Удостоверяющий и ключевойцентр» выполняет следующие функции:
формируетключ ЭП уполномоченного лица, издает корневой сертификат УЦ и запросы насертификаты уполномоченного лица к вышестоящему УЦ
издаетсертификаты по запросам центра регистрации УЦ и запросам на обновлениесертификатов;
отзывает,приостанавливает и возобновляет сертификаты по запросам пользователей УЦ или позапросам программы ViPNet «Центр регистрации»;
осуществляетэкспорт и отправку в программу ViPNet «Центруправления сетью» справочников сертификатов УЦ, пользователей УЦ, списковотозванных сертификатов.
96. В обязанности администратора УЦ входят:
своевременное создание архивов баз данных и их восстановление присбоях;
настройка и ведение журналов программа ViPNet«Удостоверяющий и ключевой центр»;
ведение документации программы ViPNet«Удостоверяющий и ключевой центр» в соответствии с настоящим Регламентом идолжностными инструкциями.
97. Оператор центра регистрации УЦ выполняетследующие функции:
осуществляет регистрацию внешних пользователей УЦ и ведение реестравнешних пользователей УЦ;
создает запросы на создание обновления и отзыв сертификатоввнешних пользователей УЦ;
осуществляет (при необходимости) проверку сертификатов внешнихпользователей УЦ.
98. Администратор совместно с оператором программыViPNet «Центр регистрации» выполняют следующиефункции:
организация и выполнение мероприятий по защите ресурсов УЦ;
формирование и обновление справочно-ключевых наборов дляорганизации защищенного обмена информацией;
обеспечение взаимодействия с другими УЦ на основе кросс-сертификации;
создание и предоставление ключей ЭП согласно заявлениям пользователейУЦ;
создание и предоставление сертификатов в электронной форме по заявлениямпользователей УЦ;
создание и предоставление копий сертификатов на бумажном носителепо заявлениям их владельцев;
аннулирование (отзыв) сертификатов по заявлениям пользователей УЦ,являющихся владельцами сертификатов;
приостановление и возобновление действия сертификатов по заявлениямпользователей УЦ, являющихся владельцами сертификатов;
предоставление пользователям УЦ сведений об аннулированных иприостановленных сертификатах;
предоставление копий сертификатов, находящихся в реестре созданныхсертификатов, по запросам пользователей УЦ;
техническое обеспечение процедуры подтверждения ЭПв документах, представленных в электронной форме, подлинности ЭПуполномоченного лица УЦ в созданных сертификатах по заявлениям пользователейУЦ;
организация и выполнение мероприятий по эксплуатации программных итехнических средств обеспечения деятельности УЦ;
организация и выполнение мероприятий по техническому сопровождениюраспространяемых средств ЭП;
направление в единую систему идентификации и аутентификациисведений о лице, получившем квалифицированный сертификат, в объеме, необходимомдля регистрации в единой системе идентификации и аутентификации, и полученномим квалифицированном сертификате (уникальный номер квалифицированногосертификата, даты начала и окончания его действия, наименование выдавшего егоаккредитованного удостоверяющего центра).
99. Для выполнения своих функций оператору программы VipNet «Центр регистрации» необходимо:
иметьдействительный ключ ЭП и сертификат для подписи запросов к УЦ;
обладатьпаролями входа в операционную систему с правами, достаточными для выполнениясвоих обязанностей;
иметьполный доступ к программе ViPNet «Администратор» (ViPNet «Центр регистрации») и ее рабочим каталогам.
100. Организацию доступа к техническим средствамУЦ, размещенных на рабочих местах сотрудников УЦ, обеспечивают сотрудники УЦ,ответственные за эксплуатацию технических средств.
Доступк техническим средствам УЦ осуществляется администраторами УЦ при:
регистрациипользователей УЦ, сетевых объектов, управлении сетью в центре управления сетью;
создании ключевой информации для зарегистрированных пользователей УЦ;
создании сертификатов по запросам пользователей УЦ;
отзыве сертификатов пользователей УЦ;
регистрациипользователей УЦ в программе VipNet «Центр регистрации», создание запросов на регистрациюпользователей УЦ в программе VipNet «Центр управления сети»;
формировании ключей ЭП в программе VipNet «Центр регистрации», создание запросов на создание сертификатов ключаЭП в программе ViPNet «Удостоверяющий и ключевойцентр»;
создании иотзыве сертификатов по запросам программы VipNet «Центр регистрации».
101. Все рабочие места сотрудников УЦ, на которыхустановлены программы ViPNet «Администратор» (ViPNet «Центр управления сетью», ViPNet«Удостоверяющий и ключевой центр», ViPNet «Центррегистрации», ViPNet «Сервис публикации»), оснащеныпрограммно-аппаратными комплексами защиты от несанкционированного доступасогласно паспорту автоматизированного рабочего места. Доступ системныхадминистраторов общесистемного программного обеспечения серверов для выполнениярегламентных работ осуществляется в присутствии администратора УЦ.
102. Аутентификация администратора УЦпредусматривает:
аутентификацию пользователя компьютера и операционной системы сиспользованием устройств аутентификации к аппаратным средствам защиты отнесанкционированного доступа;
аутентификациюпользователя программы ViPNet «Клиент» (или CSP ) на узле ViPNet, зарегистрированном вприкладных задачах, отвечающих за роли администратора (в программах ViPNet «Центр регистрации», ViPNet«Центр управления сетью», ViPNet «Удостоверяющий иключевой центр» или ViPNet «Сервис публикации»);
аутентификациюпользователя программ ViPNet, соответствующеговыполняемой роли администратора УЦ.
103. В перечень объектов доступа, предоставляемыхадминистратору УЦ при взаимодействии с программно-аппаратными средствами УЦ,входят:
устройствааутентификации к аппаратным средствам защиты от несанкционированного доступа («электронныйзамок») с правами администратора УЦ;
учетныезаписи и пароли пользователей операционной системы на подконтрольныхтехнических средствах с правами, необходимыми для выполнения своихобязанностей;
ключеваяинформация пользователя программы ViPNet «Клиент»(или CSP )для аутентификации на подконтрольных компьютерах;
паролиадминистратора сетевых узлов ViPNet дляаутентификации с правами администратора УЦ на подконтрольных компьютерах;
журналыаудита операционной системы и программно-аппаратных средств УЦ и их настройкина подконтрольных технических средствах;
программаViPNet «Администратор» (программы ViPNet«Центр управление сетью») или программа ViPNet «Центррегистрации» в зависимости от полномочий;
журналыаудита программного обеспечение ViPNet;
программаViPNet «Администратор», аутентификационнаяинформация администратора программы ViPNet«Удостоверяющий и ключевой центр»;
секретныйключ ЭП уполномоченного лица УЦ для администраторов, выполняющих данную роль;
журналыаудита программы ViPNet «Администратор».
104. Контролю целостности подлежат следующиекомпоненты программного обеспечения, эксплуатируемого УЦ:
программноеобеспечение средств ЭП и криптографической защитыинформации;
программаViPNet «Администратор»;
программаViPNet «Центр регистрации»;
программаViPNet «Сервис публикации».
Составпрограмм и справочно-ключевой информации, подлежащих контролю целостности,определяется документацией программного обеспечения ViPNet«Правила пользования»ФРКЕ:00106-03 99 01 ПП, «Правилапользования» ФРКЕ:00109-07 99 01 ПП, «Правила пользования» ФРКЕ.00116-03 99 01 ПП.
Системаконтроля целостности основывается на аппаратном контроле целостностиобщесистемного программного обеспечения до загрузки операционной системы.
Даннаясистема обеспечивается использованием сертифицированного устройства типа«электронный замок».
Программнаясоставляющая системы контроля целостности осуществляет проверку контрольныхсумм, подлежащих контролю программ и справочно-ключевой информации, при каждомзапуске программ или в процессе работы по требованию администратора УЦ.
Контрольцелостности программного обеспечения средств ЭПи криптографической защиты информации, а также справочно-ключевой информации УЦосуществляется средствами ЭП и криптографической защитыинформации.
Периодичностьвыполнения мероприятий по контролю целостности – при каждом перезапускепрограммного обеспечения УЦ, но не реже одного раза в сутки.
Ответственностьза выполнение мероприятий по контролю целостности программных средстввозлагается на группу администраторов безопасности УЦ.
105. Контролю целостности подлежат средствапросмотра, файлы конфигурации и данных журналов (содержимое подкаталогов log каталогов установки программных средств УЦ).
Компонентыподсистемы ведения журналов, не изменяющиеся в процессе работы программногообеспечения, подлежат контролю целостности с использованием устройств типа«электронный замок».
Программнаясоставляющая подсистемы контроля целостности осуществляет проверку контрольныхсумм файлов конфигурации и данных журналов при каждом запуске программногообеспечения и при каждом вызове функций просмотра или настроек журнала событий.При обнаружении искажений журналов факт обнаружения фиксируется в служебномжурнале, доступ к программному обеспечению возможен только с правамиадминистратора УЦ.
Настройкиоперационной системы должны предоставлять права на доступ к подкаталогам log в каталогах установки программных компонент УЦ толькодля пользователей, обеспечивающих эксплуатацию данной компоненты программногообеспечения.
Периодичностьвыполнения мероприятий по контролю целостности – при каждом перезапускепрограммного обеспечения УЦ, но не реже чем раз в сутки.
Ответственностьза выполнение мероприятий по контролю целостности журналов возлагается нагруппу администраторов безопасности и аудита УЦ.
106. Контроль целостности технических средств УЦобеспечивается опечатыванием корпусов устройств, препятствующих ихнеконтролируемому вскрытию.
Опечатываниеустройств выполняется перед вводом технических средств в эксплуатацию и послевыполнения регламентных работ.
Контрольцелостности технических средств УЦ осуществляется в начале каждой рабочейсмены.
Ответственностьза выполнение мероприятий по контролю целостности технических средств УЦ возлагаетсяна администратора УЦ.
107. Защита конфиденциальной информации,передаваемой между программно-техническими средствами обеспечения деятельностиУЦ и программными средствами, предоставляемыми УЦ пользователям УЦ в процессеобмена документами в электронной форме, осуществляется путем шифрованияинформации с использованием шифровальных (криптографических) средств,сертифицированных в соответствии с законодательством Российской Федерации.
Вкачестве шифровальных (криптографических) средств, используемых для защитыконфиденциальной информации пользователями УЦ, используется программа ViPNet «Клиент».
Требуемыйуровень безопасности (класс 1В) обеспечивается использованием программногообеспечения ViPNet, сертифицированного Федеральнойслужбой по техническому и экспортному контролю Российской Федерации иФедеральной службой безопасности Российской Федерации.
108. Поступающая в УЦ информация:
запросына создание сертификата;
запросына отзыв, приостановление и возобновление сертификатов;
заявленияна аннулирование (отзыв), приостановление и возобновление действия сертификатав электронной форме;
спискисертификатов уполномоченного лица других УЦ.
109. Передаваемая из УЦ информация:
бланкикопий сертификатов для вывода на бумажный носитель;
спискисертификатов уполномоченного лица;
спискисертификатов пользователей УЦ и их статусы;
списокзапросов на сертификаты пользователей УЦ и их статус;
списокзапросов на аннулирование (отзыв), приостановление и возобновление действиясертификатов пользователей УЦ и их статус.
110. Уполномоченное лицо УЦ должно иметь высшеепрофессиональное образование и профессиональную подготовку в областиинформационной безопасности.
СотрудникиУЦ должны иметь высшее профессиональное образование или пройти курсы повышенияквалификации в области информационной безопасности.
Профессиональнаяпереподготовка персонала УЦ не осуществляется.
111. Доступ сотрудников УЦ к документальному фондуорганизации организован в соответствии с их должностными инструкциями ифункциональными обязанностями.
112. УЦ должен иметь разрешения (лицензии) на всевиды деятельности, связанные с предоставлением услуг, указанных в разделе II I настоящего Регламента.
Системыбезопасности УЦ и защиты информации УЦ создаются и поддерживаются совместно сюридическими лицами, осуществляющими свою деятельность на основании лицензий,полученных в соответствии с законодательством Российской Федерации надоговорной основе.
Всемеры по защите информации в УЦ должны применяться в соответствии с приказамируководителя УЦ.
Дляобеспечения своей деятельности УЦ должен использовать средства ЭП и криптографической защиты информации,сертифицированные в соответствии с законодательством Российской Федерации.
Исключительныеимущественные права на информационные ресурсы УЦ находятся в собственности УЦ.
ПользователямУЦ предоставляются неисключительные имущественные права на копии сертификатов исписков отозванных сертификатов, создаваемые УЦ соответствии с настоящим Регламентом.
Приложение № 1
к
регламенту
работы удостоверяющего центра государственногоказенного учреждения «Центр информационных технологий Оренбургской области»
Структуры записейаудита
1. Структура записи аудитапрограммного обеспечения удостоверяющего и ключевого центра
| Поле | Описание |
| Тип события | информация, предупреждение, ошибка |
| Время события (по Гринвичу, UTC) | дата и время, когда произошло событие |
| Источник события | имя источника события |
| Идентификатор события | идентификатор события |
| Сообщение | детализирующая информация |
2.Структура записи события по степени детализации информации
| Уровень детализации | Событие | Поле |
| Минимальный | вход администратора | дата, идентификатор, имя |
| завершение работы | дата, код завершения | |
| зарегистрирован новый администратор | дата, идентификатор, имя | |
| создан мастер-ключ своей сети | дата, тип ключа: основной, персональный ключ, ключ защиты | |
| создан сертификат администратора | дата, серийный номер, имя сертификата владельца, тип объекта: корневой сертификат, запрос PKCS#10 к внешнему удостоверяющему центру | |
| Средний | создан сертификат абонента | дата, серийный номер, имя сертификата владельца, основание для создания: запрос центра регистрации, запрос абонента на обновление сертификата, формирование ключевой дискеты абонента |
| принят запрос на сертификат абонента | дата, серийный номер, имя сертификата объекта, основания: запрос центра регистрации, запрос абонента на обновление сертификата | |
| отклонен запрос на создание сертификата | дата, серийный номер, имя сертификата администратора | |
| принят запрос на отзыв сертификата | дата, серийный номер запроса, имя сертификата издателя запроса, серийный номер сертификата, основания для отзыва, приостановления, возобновления | |
| отклонен запрос на отзыв сертификата | дата, серийный номер запроса, имя сертификата издателя запро-са, серийный номер сертификата | |
| создан список отозванных сертификатов | дата, серийный номер списка отозванных сертификатов, имя сертификата издателя списка отозванных сертификатов, основание: инициатива администратора, запрос на отзыв | |
| Максимальный | создана ключевая дискета абонента | дата, идентификатор, тип генерации: индивидуальная, автоматическая, компрометация, код завершения операции |
| создан ключевой набор сетевого узла | дата, идентификатор, тип ключевого набора (полный, обновление), тип генерации: индивидуальная, автоматическая, компрометация, код завершения операции | |
| создан межсетевой мастер-ключ | дата, тип ключа, номер сети, серийный номер ключа, код завершения операции | |
| импортирован межсетевой мастер-ключ | дата, тип ключа, номер сети, серийный номер ключа, код завершения операции | |
| импортирован сертификат администратора смежной сети | дата, серийный номер, имя сертификата владельца, код завершения операции | |
| импортирован список отозванных сертификатов смежной сети | дата, серийный номер, имя сертификата издателя, код завершения операции | |
| экспортирован ключевой набор | дата, идентификатор, тип набора (ключевая дискета; ключевой набор; дистрибутив, резервный набор персональных ключей, код завершения операции) |
3. Структура записи аудита программы ViPNet «Клиент», «Координатор» (события IP-трафика, проходящего черезкомпьютер)
| Поле | Описание |
| Начало интервала | дата и время создания новой записи при регистрации пакета с определенными характеристиками |
| Конец интервала | дата и время последней регистра |