Приложение к Распоряжению от 12.08.2009 г № 08-О/Д Положение
Положение об организации выдачи и отзыва ключей и сертификатов ключей электронной цифровой подписи уполномоченных лиц органов исполнительной власти волгоградской области и подведомственных им организаций
1.Общие положения
1.1.Настоящее Положение об организации выдачи и отзыва ключей и сертификатов ключей электронной цифровой подписи уполномоченных лиц органов исполнительной власти Волгоградской области и подведомственных им организаций (далее - Положение) определяет порядок взаимодействия органов исполнительной власти Волгоградской области и подведомственных им организаций с удостоверяющим центром - Государственным учреждением "Центр информационных технологий Волгоградской области" (далее - Удостоверяющий центр) при организации выдачи, плановой замены, приостановления и возобновления действия, отзыва сертификатов ключей электронных цифровых подписей.
1.2.Действие настоящего Положения распространяется на органы исполнительной власти Волгоградской области, подведомственные им организации и Удостоверяющий центр.
2.Термины и сокращения, используемые в Положении
Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Уполномоченное лицо, владелец сертификата ключа подписи, пользователь Удостоверяющего центра - государственный служащий органа исполнительной власти Волгоградской области или сотрудник организации, подведомственной органу исполнительной власти Волгоградской области, на имя которого Удостоверяющим центром выдан сертификат открытого ключа подписи и который владеет соответствующим закрытым ключом, позволяющим с помощью средств электронной цифровой подписи создавать свою ЭЦП в электронных документах (подписывать электронные документы).
Ответственное лицо - сотрудник органа исполнительной власти или подведомственной органу исполнительной власти Волгоградской области организации, наделенный локальным правовым актом полномочиями осуществлять взаимодействие с Удостоверяющим центром с целью осуществления организации выдачи и отзыва сертификатов ключей ЭЦП уполномоченных лиц соответствующей организации.
Закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи.
Открытый ключ электронной цифровой подписи - уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе.
Ключ - упоминаемые совместно закрытый ключ электронной цифровой подписи и открытый ключ электронной цифровой подписи, принадлежащие одному и тому же уполномоченному лицу.
Сертификат ключа подписи (СКП) - документ на бумажном носителе или электронный документ с электронной цифровой подписью ответственного сотрудника Удостоверяющего центра, содержащий открытый ключ электронной цифровой подписи и выдаваемый Удостоверяющим центром уполномоченным лицам для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
Список отозванных сертификатов - электронный документ, удостоверенный ЭЦП уполномоченного лица Удостоверяющего центра, содержащий список серийных номеров сертификатов, которые были отозваны до окончания срока их действия.
Плановая замена ключей - смена ключей, не вызванная компрометацией ключей, в связи с окончанием их срока действия, установленного Удостоверяющим центром.
Компрометация ключа - утрата доверия к тому, что используемые закрытые ключи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся следующие ситуации:
- утрата ключевых носителей;
- утрата ключевых носителей с их последующим обнаружением;
- увольнение сотрудников, имевших доступ к ключевым носителям;
- нарушение целостности печатей на сейфах с ключевыми носителями, если используется процедура опечатывания;
- утрата ключей от сейфов (помещений) в момент нахождения в них ключевых носителей;
- утрата ключей от сейфов (помещений) в момент нахождения в них ключевых носителей с последующим обнаружением;
- доступ посторонних лиц к ключевой информации.
Носитель ключевой информации/ключевой носитель - переносной носитель информации (USB-совместимое запоминающее устройство), содержащий один или несколько ключей.
Средства криптографической защиты информации (СКЗИ) - средства вычислительной техники, используемые при криптографическом преобразовании информации для обеспечения ее безопасности.
ОИВ ВО - орган исполнительной власти Волгоградской области.
ГУ "ЦИТ ВО"/Удостоверяющий центр - Государственное учреждение "Центр информационных технологий Волгоградской области".
3.Порядок выдачи ключей и сертификатов ключей подписи
3.1.Для изготовления и получения уполномоченными лицами закрытых ключей, сертификатов ключей подписей и ключевых носителей в Удостоверяющий центр ответственным лицом представляются следующие документы:
заверенная копия приказа о назначении ответственного лица;
обобщенная заявка на изготовление ключей и сертификатов ключей подписей в трех экземплярах в бумажном виде и в электронном виде на переносном носителе информации по форме, приведенной в приложении 1 к настоящему Положению;
заявления уполномоченных лиц о присоединении к регламенту и регистрации в Удостоверяющем центре по форме, приведенной в приложении 2 к настоящему Положению;
заявления уполномоченных лиц на выпуск ключей и СКП по форме, приведенной в приложении 3 к настоящему Положению;
доверенности, выданные уполномоченными лицами ответственному лицу на представление их интересов в Удостоверяющем центре, по форме, приведенной в приложении 4 к настоящему Положению;
доверенность ответственному лицу на получение материальных средств и оформление (подписание) документов по форме, приведенной в приложении 5 к настоящему Положению.
3.2.При обращении ответственного лица в Удостоверяющий центр необходимо предъявление паспорта ответственного лица.
3.3.Минимальные технические требования к автоматизированному рабочему месту уполномоченного лица размещены на сайте Удостоверяющего центра (gucitvo.volganet.ru).
3.4.Прием документов Удостоверяющим центром осуществляется по предварительной записи. Запись на прием осуществляется по телефону Удостоверяющего центра.
3.5.Сотрудник Удостоверяющего центра, осуществляющий прием документов, выполняет проверку комплектности и корректности заполнения представленных документов и назначает дату выдачи Удостоверяющим центром ключей и СКП.
3.6.Удостоверяющий центр имеет право отказать в изготовлении или смене ключей уполномоченных лиц в случае несоответствия комплектности или содержания представленных документов требованиям настоящего Положения, о чем в адрес соответствующего ОИВ ВО или подведомственной ему организации направляется уведомление в письменной форме или в форме электронного документа, подписанного ЭЦП ответственного сотрудника Удостоверяющего центра.
3.7.В назначенную дату Удостоверяющий центр передает ответственному лицу конверт для каждого уполномоченного лица и дистрибутив программного продукта СКЗИ.
Конверт, передаваемый уполномоченному лицу, содержит:
а) ключевой носитель, содержащий ключи и СКП уполномоченного лица в электронном виде;
б) СКП на бумажном носителе;
в) лицензию на использование программного продукта СКЗИ.
Ответственное лицо сверяет комплектность содержимого конверта и расписывается в двух экземплярах сертификатов ключей подписи для каждого уполномоченного лица, в журналах Удостоверяющего центра об учете СКЗИ и закрытых ключей, в накладных. Один экземпляр сертификата ключа подписи для каждого уполномоченного лица хранится в Удостоверяющем центре.
3.8.Материальные ценности и документы, полученные в соответствии с п. 3.7 настоящего Положения, ответственное лицо передает в соответствующее структурное подразделение ОИВ ВО или подведомственной ОИВ ВО организации для постановки на учет и выдачи уполномоченным лицам.
3.9.Уполномоченное лицо обязано изменить пароль доступа к ключевому носителю сразу после получения им такого носителя.
3.10.Для использования электронной цифровой подписи на автоматизированных рабочих местах уполномоченными лицами осуществляется установка программного продукта СКЗИ, драйвера ключевого носителя, личного СКП и СКП уполномоченного лица Удостоверяющего центра.
3.11.На сайте Удостоверяющего центра (gucitvo.volganet.ru) размещены:
а) дистрибутив с драйверами ключевого носителя;
б) сертификат ключа подписи уполномоченного лица Удостоверяющего центра;
в) сертификаты уполномоченных лиц ОИВ ВО и подведомственных им организаций;
г) список отозванных сертификатов Удостоверяющего центра;
д) инструкции по установке программных продуктов, указанных в настоящем пункте.
3.12.При необходимости Удостоверяющим центром осуществляется консультирование уполномоченных лиц по вопросам установки программных продуктов, указанных в настоящем пункте.
4.Порядок плановой и внеплановой замены, отзыва, приостановления и возобновления действия ключей и сертификатов ключей подписи уполномоченных лиц
4.1.Порядок плановой замены ключей и сертификатов ключей подписи уполномоченных лиц.
4.1.1.Удостоверяющим центром осуществляется координация мероприятий по плановой замене ключей и сертификатов ключей подписи уполномоченных лиц. Для этого ответственный сотрудник Удостоверяющего центра уведомляет орган исполнительной власти Волгоградской области путем подготовки и направления в адрес соответствующего ответственного лица электронного документа о необходимости осуществления замены ключей и сертификатов ключей подписи уполномоченных лиц в сроки, установленные в данном уведомлении.
4.1.2.Для осуществления плановой замены ключей и сертификатов ключей подписи уполномоченных лиц в Удостоверяющий центр ответственным лицом представляются документы, указанные в пункте 3.1 настоящего Положения, а также ключевые носители, полученные ранее в Удостоверяющем центре.
4.1.3.При плановой замене ключей и сертификатов ключей подписи уполномоченных лиц предоставляются заявления уполномоченных лиц на выпуск сертификатов ключей подписи уполномоченных лиц по типовому образцу согласно приложению N 8 к настоящему Положению.
Заявления уполномоченных лиц о присоединении к регламенту и регистрации в Удостоверяющем центре, доверенность на получение материальных средств, приведенные в приложениях N 2, 5 к настоящему Положению соответственно, при плановой замене ключей и сертификатов ключей подписи уполномоченных лиц не предоставляются.
4.1.4.С целью обеспечения непрерывности электронного документооборота при плановой замене ключей и сертификатов ключей подписи уполномоченных лиц применяется порядок действий, указанный в пунктах 4.1.4 - 4.1.7 настоящего Положения.
4.1.5.Ответственный сотрудник Удостоверяющего центра направляет по электронной почте в адрес ответственного лица ОИВ ВО специальные электронные файлы для автономной генерации уполномоченными лицами ключей подписи и запроса на сертификаты ключей подписи уполномоченных лиц.
4.1.6.Используя инструкцию, размещенную на сайте Удостоверяющего центра (gucitvo.volganet.ru), уполномоченное лицо генерирует на ключевой носитель ключи ЭЦП, формирует запрос на сертификат ключа подписи уполномоченного лица и сохраняет его в файл.
4.1.7.Ответственное лицо осуществляет передачу файлов запросов в виде электронного архива путем направления в Удостоверяющий центр средствами электронной связи на адрес электронной почты ca@volganet.ru и согласовывает по телефону дату выдачи сертификатов ключей подписи уполномоченных лиц.
4.1.8.В назначенную дату Удостоверяющий центр передает ответственному лицу сертификаты ключей подписи уполномоченных лиц.
Ответственное лицо расписывается в двух экземплярах сертификатов ключей подписи уполномоченных лиц, в журнале поэкземплярного учета ключевых документов. Один экземпляр сертификата ключа подписи уполномоченного лица хранится в Удостоверяющем центре, второй экземпляр передается уполномоченному лицу (через ответственное лицо).
Пользоваться вновь сгенерированными ключами уполномоченное лицо может только после получения сертификата ключа подписи уполномоченного лица на бумажном носителе.
(п. 4.1 в ред. распоряжения Комитета информационных технологий и телекоммуникаций Администрации Волгоградской обл. от 19.04.2010 N 05-о/д)
4.2.Порядок внеплановой замены ключей и сертификатов ключей подписи уполномоченных лиц; порядок отзыва, приостановления и возобновления действия сертификатов ключей подписи уполномоченных лиц.
4.2.1.Внеплановая замена ключей и сертификатов ключей подписи осуществляется в следующих случаях:
а) компрометация ключа;
б) изменение идентификационных данных уполномоченных лиц и/или областей использования ключа, указанных в заявлении на изготовление ключей;
в) выход из строя ключевого носителя.
4.2.2.Внеплановая замена ключей осуществляется в порядке, приведенном в разделе 3 Положения, с особенностями, установленными в пунктах 4.2.3 - 4.2.7 Положения.
4.2.3.В случае компрометации закрытого ключа ЭЦП владелец СКП по установленной в заявлении на регистрацию в Удостоверяющем центре ключевой фразе немедленно по телефону информирует Удостоверяющий центр о необходимости отзыва СКП. Удостоверяющий центр, получивший сообщение о компрометации закрытого ключа, немедленно отзывает СКП.
4.2.4.Для отзыва СКП уполномоченного лица, изготовленного Удостоверяющим центром, ОИВ ВО или подведомственная ОИВ ВО организация представляет в адрес Удостоверяющего центра заявление по форме, приведенной в приложении 6 к настоящему Положению, оформленное на бумажном носителе или в виде электронного документа, подписанное ЭЦП руководителя ОИВ ВО или подведомственной ОИВ ВО организации или ЭЦП владельца отзываемого СКП.
4.2.5.Заявление об отзыве СКП на бумажном носителе представляется ответственным лицом ОИВ ВО или подведомственной ОИВ ВО организации в Удостоверяющий центр лично.
4.2.6.Заявление об отзыве СКП в виде электронного документа направляется на адрес электронной почты Удостоверяющего центра (ca@volganet.ru).
4.2.7.Удостоверяющий центр обязан в течение одного рабочего дня с момента получения заявления, предусмотренного пунктами 4.2.5, 4.2.6 Положения, выполнить действия, связанные с отзывом сертификата, и официально уведомить о факте отзыва СКП его владельца. Официальным уведомлением о факте отзыва СКП является опубликование списка отозванных сертификатов, содержащего сведения об отозванном сертификате, по адресам, указанным в изготовленных СКП.
4.2.8.Приостановление действия сертификата ключа подписи, изготовленного Удостоверяющим центром, осуществляется ОИВ ВО, подведомственной ОИВ ВО организацией или владельцем такого СКП любым из перечисленных ниже способом:
а) путем представления в Удостоверяющий центр заявления по форме, приведенной в приложении 7 к настоящему Положению, оформленного на бумажном носителе или в виде электронного документа, подписанного ЭЦП уполномоченного лица или руководителя ОИВ ВО или подведомственной ОИВ ВО организации;
б) обратившись в Удостоверяющий центр по телефону и назвав ключевую фразу своего СКП. В данном случае заявление, оформляемое в соответствии с требованиями подпункта "а" настоящего пункта, должно быть представлено в адрес Удостоверяющего центра не позднее одного рабочего дня с момента устного обращения о приостановлении действия сертификата ключа подписи.
4.2.9.Заявление о приостановлении действия сертификата ключа подписи на бумажном носителе представляется ответственным лицом ОИВ ВО или подведомственной ОИВ ВО организации в Удостоверяющий центр лично.
4.2.10.Заявление о приостановлении действия сертификата ключа подписи в виде электронного документа направляется на адрес электронной почты Удостоверяющего центра (ca@volganet.ru).
4.2.11.При обращении уполномоченного лица или ответственного лица ОИВ ВО или подведомственной ОИВ ВО организации в Удостоверяющий центр по телефону и их аутентификации по ключевой фразе, определенной ими при регистрации в Удостоверяющем центре, уполномоченное лицо или ответственное лицо указывает открытые регистрационные данные, действие которого приостанавливается.
4.2.12.Возобновление действия сертификата ключа подписи уполномоченного лица не требует дополнительных действий и осуществляется Удостоверяющим центром с момента окончания срока приостановления, указанного в заявлении на приостановление действия сертификата.