Приложение к Приказу от 15.10.2015 г № 602 Временный регламент
Регламент взаимодействия удостоверяющего центра защищенной корпоративной сети передачи данных министерства социальной политики нижегородской области с удостоверяющими центрами внешних организаций
1.1.Регламент взаимодействия удостоверяющего центра защищенной корпоративной сети передачи данных министерства социальной политики Нижегородской области (далее - УЦ ЗКСПД) с удостоверяющими центрами внешних организаций (далее - Регламент) предназначен для организации защищенного обмена информацией и установления отношений доверия между УЦ ЗКСПД и удостоверяющими центрами внешних организаций, оказывающими услуги по организации защищенного от несанкционированного доступа электронного документооборота (ЭДО) пользователей ЗКСПД с внешними организациями и выдаче сертификатов ключей подписи пользователям внешних организаций.
1.2.Целью настоящего Регламента является создание условий для организации защищенного от несанкционированного доступа ЭДО пользователей ЗКСПД с внешними организациями через открытые и (или) защищенные каналы связи и правовых условий использования электронной подписи (далее - ЭП) в электронных документах (далее - ЭД), при соблюдении которых ЭП в ЭД признается равнозначной собственноручной подписи в документе на бумажном носителе в соответствии с Федеральным законом от 06 апреля 2011 года N 63-ФЗ "Об электронной подписи".
1.3.Регламент разработан с учетом требований законодательства Российской Федерации, нормативных документов Федеральной службы безопасности Российской Федерации, других федеральных органов исполнительной власти Российской Федерации и министерства социальной политики Нижегородской области.
1.4.Настоящий регламент является неотъемлемой частью Соглашения между УЦ ЗКСПД и удостоверяющим центром внешней организации о взаимном признании сертификатов ключей подписи уполномоченных лиц удостоверяющих центров и организации взаимодействия.
1.5.Подписание Соглашения означает, что Стороны:
1.5.1.Признают сертификаты ключей подписи уполномоченных лиц УЦ каждой из Сторон.
1.5.2.Проводят все необходимые процедуры, предусмотренные Регламентом и обеспечивающие подтверждение подлинности ЭП в ЭД, если сертификат ключа подписи подписавшего ЭД заверен ЭП уполномоченного лица УЦ любой из Сторон.
1.5.3.Проводят все необходимые процедуры, предусмотренные Регламентом и обеспечивающие подтверждение подлинности ЭП в ЭД, если сертификат ключа подписи подписавшего ЭД заверен ЭП уполномоченного лица УЦ другой Стороны или ЭП уполномоченного лица иного УЦ при наличии кросс-сертификата этого УЦ, выпущенного противоположной Стороной.
2.Термины и определения
2.1.ЭД (электронный документ) - документ, зафиксированный на электронном носителе (в виде набора символов, звукозаписи или изображения) и предназначенный для передачи во времени и пространстве с использованием средств вычислительной техники и электросвязи с целью хранения и (или) использования.
2.2.ЭП (электронная подпись) - информация в электронной форме, полученная в результате криптографического преобразования информации с использованием закрытого ключа ЭП, которая присоединена к ЭД или иным образом связана с ЭД и позволяющая идентифицировать владельца сертификата открытого ключа ЭП, а также установить отсутствие искажения информации в ЭД.
2.3.Закрытый ключ ЭП - уникальная последовательность символов, известная владельцу сертификата открытого ключа ЭП и предназначенная для создания в ЭД ЭП с использованием средств ЭП (подписание ЭД). Закрытый ключ ЭП действует на определенный момент времени (действующий закрытый ключ ЭП). Закрытый ключ ЭП действует, если:
2.3.1.Наступил момент времени ввода в действие закрытого ключа ЭП.
2.3.2.Срок действия закрытого ключа ЭП не истек.
2.3.3.Сертификат открытого ключа ЭП, соответствующий данному закрытому ключу ЭП, не аннулирован (не отозван) и действие его не приостановлено.
2.4.Открытый ключ ЭП - уникальная последовательность символов, соответствующая закрытому ключу ЭП, предназначенная для подтверждения с использованием средств ЭП подлинности ЭП в ЭД.
2.5.Сертификат ключа ЭП - ЭД с ЭП уполномоченного лица УЦ или бумажный документ, подписанный уполномоченным лицом УЦ, подтверждающий соответствие между закрытым ключом ЭП и информацией, идентифицирующей владельца ключа ЭП. Содержит информацию о владельце ключа ЭП, сведения об открытом ключе ЭП, его назначении и области применения, название УЦ и другие сведения. Сертификат ключа ЭП действует на определенный момент времени (действительный сертификат ключа ЭП). Сертификат ключа ЭП действует, если:
2.5.1.Наступил момент времени ввода в действие сертификата ключа ЭП.
2.5.2.Срок действия сертификата ключа ЭП не истек.
2.5.3.Сертификат ключа ЭП не аннулирован (не отозван) и действие его не приостановлено.
2.6.СОС (список отзыва сертификатов ключей ЭП) - ЭД с ЭП уполномоченного лица УЦ, включающий в себя список серийных номеров сертификатов ключей подписи, которые на определенный момент времени были аннулированы или действие которых было приостановлено.
2.7.Ключевой дистрибутив - зашифрованный на парольном ключе файл, формируемый УКЦ для зарегистрированных пользователей УЦ. Включает в себя необходимую первичную ключевую информацию для обеспечения защищенного взаимодействия с УЦ, первичный закрытый ключ ЭП и сертификат ключа ЭП пользователя, сертификат ключа ЭП уполномоченного лица УЦ, другие файлы, необходимые для реализации функций ЭП.
2.8.Ключевой носитель - носитель данных с ключевым дистрибутивом, содержащим ключевую и парольную информацию пользователя УЦ, включая:
2.8.1.Открытый и закрытый ключи ЭП.
2.8.2.Сертификат ключа ЭП.
2.8.3.СОС УЦ и доверенных УЦ.
2.9.Подразделение ЗИ - подразделение, обеспечивающее информационную безопасность (в том числе защиту персональных данных, за исключением сведений, составляющих государственную тайну) в министерстве социальной политики Нижегородской области (далее - Министерство) и подведомственных Министерству учреждениях (далее - Учреждения).
2.10.ЗКСПД - защищенная корпоративная сеть передачи данных Министерства.
2.11.АРМ (автоматизированное рабочее место) - программно-технический комплекс, предназначенный для автоматизации деятельности определенного вида.
2.12.НСД (несанкционированный доступ к информации) - доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации, а также получение доступа к информации лицом, имеющим право на доступ к этой информации, в объеме, превышающем необходимый для выполнения служебных обязанностей.
2.13.Компрометация ключевой информации - факт доступа постороннего лица к ключевой информации, а также подозрение на факт доступа постороннего лица к ключевой информации, а именно:
2.13.1.Постороннему лицу мог стать доступным файл ключевого дистрибутива.
2.13.2.Существует подозрение на получение пароля доступа к ключам пользователя посторонним лицом.
2.13.3.Постороннему лицу мог стать доступным съемный носитель с ключевой информацией.
2.13.4.Постороннее лицо могло получить неконтролируемый физический доступ или доступ по локальной сети к ключевой информации, хранящейся на АРМ пользователя УЦ.
2.14.ПО - программное обеспечение.
2.15.СКЗИ (средства криптографической защиты информации) - программные или программно-аппаратные средства, осуществляющие криптографическое преобразование информации.
2.16.Средства ЭП - программные или программно-аппаратные средства, обеспечивающие реализацию хотя бы одной из следующих функций:
2.16.1.Подписание ЭД с использованием закрытого ключа ЭП.
2.16.2.Подтверждение с использованием открытого ключа ЭП подлинности ЭП в ЭД.
2.16.3.Создание закрытых и открытых ключей ЭП.
2.17.УЦ (Удостоверяющий центр) - подразделение, осуществляющее функции по созданию и выдаче системы открытых и закрытых ключей ЭП, а также иные функции в соответствии с Федеральным законом от 06 апреля 2011 года N 63-ФЗ "Об электронной подписи".
2.18.ЦУС (центр управления сетью) - программное обеспечение, предназначенное для конфигурирования и управления ЗКСПД.
2.19.УКЦ (удостоверяющий и ключевой центр) - программное обеспечение, которое выполняет функции формирования и хранения первичной ключевой информации (мастер-ключи шифрования и межсетевые мастер-ключи), формирования ключей шифрования, выполнения процедур смены мастер-ключей и смены ключей при компрометации, формирования персональных ключей защиты пользователей и криптографически надежных парольных фраз (паролей), а также записи персональных ключей пользователей на аппаратные носители ключей.
2.20.Оператор УЦ - физическое лицо, являющееся сотрудником УЦ и наделенное полномочиями в соответствии с Положением и Регламентом.
2.21.Администратор УЦ - физическое лицо, являющееся сотрудником УЦ и наделенное полномочиями в соответствии с Положением и Регламентом.
2.22.Администратор безопасности УЦ - физическое лицо, являющееся сотрудником УЦ и наделенное полномочиями в соответствии с Положением и Регламентом.
2.23.Уполномоченное лицо УЦ - физическое лицо, являющееся сотрудником УЦ и наделенное УЦ полномочиями по заверению сертификатов ключей ЭП и СОС, а также наделенное полномочиями в соответствии с Положением и Регламентом.
2.24.Пользователь УЦ - физическое лицо, зарегистрированное в УЦ.
2.25.Владелец сертификата ключа ЭП - пользователь УЦ, на имя которого УЦ выдал сертификат ключа ЭП и который владеет соответствующим закрытым ключом ЭП, позволяющим с помощью средств ЭП создавать ЭП в ЭД (подписывать ЭД).
2.26.Внешняя организация - юридическое лицо, не входящее в структуру Министерства, осуществляющее с ЗКСПД информационное взаимодействие.
2.27.Доверенный УЦ - УЦ внешней организации, с которым УЦ установил доверенные отношения на основании Соглашения о взаимодействии и взаимном признании сертификатов ключей ЭП уполномоченных лиц УЦ (Приложение 4).
2.28.Кросс-сертификат ключа ЭП - сертификат ключа ЭП уполномоченного лица доверенного УЦ, передаваемый в УЦ с открытым ключом ЭП уполномоченного лица доверенного УЦ и ЭП уполномоченного лица доверенного УЦ. Обеспечивает признание ЭП, сертификат ключа ЭП которой выдан в доверенном УЦ.
2.29.Плановая смена ключей - смена ключей, не вызванная компрометацией ключей, осуществляемая в соответствии с документацией на СКЗИ.
2.30.Срок действия сертификата ключа ЭП - 1 год с момента введения в действие ключа ЭП.
2.31.Доверенный способ передачи информации - способ передачи информации, определенный и используемый двумя или несколькими юридическими или физическими лицами на основе взаимной договоренности и обеспечивающий требуемую степень ее защищенности.
3.Установление доверительных отношений между УЦ ЗКСПД
и УЦ внешней организации
3.1.Установление доверительных отношений между двумя УЦ Сторон является организационно-технической процедурой, в результате которой участники ЭДО, получившие сертификаты ключей подписи в одном УЦ, получают возможность проверить подлинность ЭП в ЭД участников ЭДО, получивших сертификаты в другом УЦ.
3.2.Для установления доверительных отношений каждая из Сторон (УЦ ЗКСПД и УЦ внешней организации) оформляет на бумажном носителе список сертификатов ключей подписи удостоверяющего центра (Приложение 1), включающий сертификаты ключей подписи уполномоченных лиц УЦ и выпущенные кросс-сертификаты ключей подписи уполномоченных лиц доверенных УЦ, которыми будут заверяться ключи подписи пользователей, зарегистрированных в данном УЦ и в доверенных УЦ. К списку прилагаются распечатанные на бумажных носителях соответствующие сертификаты ключей подписи, указанные в списке. Список подписывается руководителем УЦ ЗКСПД и руководителем УЦ внешней организации, заверяется печатями УЦ ЗКСПД и УЦ внешней организации и передается под расписку другой Стороне.
3.3.Список отозванных сертификатов и сертификаты ключей подписи уполномоченных лиц УЦ внешней организации в электронном виде передаются в УЦ ЗКСПД, а сертификаты ключей подписи уполномоченных лиц УЦ ЗКСПД и СОС ЗКСПД в электронном виде передаются в УЦ внешней организации.
3.4.В каждом из УЦ Сторон производится сравнение электронных сертификатов ключей подписи уполномоченных лиц УЦ другой Стороны с распечатанными сертификатами на бумажных носителях и ввод их в действие. При этом сертификаты заверяются ЭП уполномоченного лица соответствующего УЦ.
3.5.При любом изменении в списке сертификатов ключей подписи уполномоченных лиц УЦ соответствующая Сторона оформляет в соответствии с пунктом 3.2 Регламента новый список с приложенными сертификатами уполномоченных лиц УЦ и передает его другой Стороне.
4.Организация защищенного взаимодействия между УЦ ЗКСПД
и УЦ внешней организации
4.1.Защищенное взаимодействие между УЦ ЗКСПД и УЦ внешней организации осуществляется на основании технической документации к СКЗИ Сторон.
5.Порядок взаимодействия УЦ Сторон при формировании новых
списков отозванных сертификатов, при смене ключей
подписи уполномоченных лиц УЦ
5.1.При изменении СОС в случае отзыва или приостановки действия сертификатов ключей подписи пользователей УЦ новый СОС высылается в УЦ каждой из Сторон. Полученные СОС подписываются уполномоченным лицом УЦ и размещаются в точках публикации УЦ.
5.2.Уполномоченные лица УЦ каждой из Сторон обязаны производить периодическую (плановую) замену своих ключей подписи не реже заданного срока действия ключа подписи. В целях обеспечения действительности сертификатов ключей подписи пользователей УЦ, заверенных подписью уполномоченного лица соответствующего УЦ, замена ключей подписи уполномоченного лица УЦ должна быть произведена до окончания их срока действия не менее чем за срок действия сертификатов пользователей УЦ.
5.3.В случае компрометации ключей подписи уполномоченное лицо УЦ обязано:
5.3.1.Немедленно сообщить об этом ответственным лицам УЦ другой Стороны.
5.3.2.Аннулировать сертификат ключа подписи и отправить новые СОС в УЦ другой Стороны.
5.3.3.Сформировать новые ключи подписи и сертификат ключа подписи.
5.4.После выполнения действий, описанных в пункте 5.3, производится оформление на бумажном носителе нового списка сертификатов ключей подписи УЦ в соответствии с разделом 3.2 Регламента и передача новых сертификатов уполномоченного лица УЦ в электронном виде в УЦ другой Стороны.
5.5.Уполномоченное лицо УЦ осуществляет сравнение новых электронных сертификатов уполномоченных лиц УЦ другой Стороны с сертификатами, распечатанными на бумажных носителях, и вводит их в действие.