ТЕРМИНЫ И ОПРЕДЕЛЕНИЯca.amurobl.ru/docs/rca_amur_root.pdfсертификации и защите государственной тайны ФСБ России:

2

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ ....................................................................................................... 4

1. Введение ......................................................................................................................................... 6 1.1. Обзорная информация ........................................................................................................... 6 1.2. Наименование и идентификация документа ....................................................................... 6

1.3. Сведения об удостоверяющем центре ................................................................................. 6 2. Регламент РУЦ АО ........................................................................................................................ 9

2.1 Присоединение к Регламенту ................................................................................................ 9 2.2 Срок действия Регламента ................................................................................................... 10 2.3 Изменение (дополнение) Регламента ................................................................................. 10

2.4 Применение Регламента ....................................................................................................... 11 2.5 Прекращение действия Регламента .................................................................................... 11

3. Общие положения ....................................................................................................................... 13 3.1 Назначение РУЦ АО ............................................................................................................. 13

3.2. Пользователи РУЦ АО ........................................................................................................ 13 3.3. Услуги, предоставляемые РУЦ АО .................................................................................... 14 3.4. Вознаграждение РУЦ АО.................................................................................................... 15

3.5. Прекращение деятельности ................................................................................................ 15 4. Права и обязанности субъектов РУЦ АО .................................................................................. 16

4.1. Права РУЦ АО ..................................................................................................................... 16 4.2. Права пользователей РУЦ АО ............................................................................................ 17

4.3. Обязанности РУЦ АО .......................................................................................................... 19 4.4. Обязанности пользователей РУЦ АО ................................................................................ 22

4.5. Ответственность сторон ...................................................................................................... 25 4.6. Форс-мажор .......................................................................................................................... 26 4.7. Разрешение споров .............................................................................................................. 27

5. Процедуры и механизмы ............................................................................................................ 33

5.1 Область действия .................................................................................................................. 33

5.2 Описание подпроцессов ....................................................................................................... 34 5.2.1 Подпроцесс «Предоставление информации в РУЦ АО» ........................................ 34

5.2.2 Подпроцесс «Присоединение к Регламенту»........................................................... 37 5.2.3 Подпроцесс «Создание сертификата» ...................................................................... 38 5.2.4 Подпроцесс «Аннулирование сертификата» ........................................................... 39 5.2.5 Подпроцесс «Приостановление действия сертификата» ........................................ 40

5.2.6 Подпроцесс «Возобновление действия сертификата» ............................................ 41 5.2.7 Подпроцесс «Подтверждение получения сертификата» ........................................ 41 5.2.8 Подпроцесс «Предоставление сервиса OCSP» ........................................................ 42 5.2.9 Подпроцесс «Предоставление сервиса TSP» ........................................................... 42 5.2.9 Подпроцесс «Получение информации из РУЦ АО» ............................................... 42

5.3 Ведение журналов ................................................................................................................. 47 5.4 Архивное хранение ............................................................................................................... 48

6. Структуры сертификатов ключей проверки электронной подписи и списков отозванных

сертификатов .................................................................................................................................... 50 6.1. Структура сертификата ключа проверки электронной подписи ..................................... 50 6.2. Структура списка отозванных СКП ЭП ............................................................................ 50 6.3. Формат СКП ЭП на бумажном носителе .......................................................................... 51

7. Обеспечение безопасности информации РУЦ АО ................................................................... 53 7.1. Инженерно-технические меры защиты информации ....................................................... 53

7.1.1. Размещение технических средств РУЦ АО ............................................................ 53 7.1.2. Физический доступ в помещения ............................................................................. 53 7.1.3. Электроснабжение и кондиционирование воздуха ................................................ 53 7.1.4. Подверженность воздействию влаги ....................................................................... 54

7.1.5. Предупреждение и защита от возгорания ............................................................... 54

3

7.1.6. Хранение документированной информации ........................................................... 54 7.1.7. Уничтожение документированной информации .................................................... 54

7.2. Программно-аппаратные меры защиты информации ...................................................... 54 7.2.1. Организация доступа к техническим средствам РУЦ АО ..................................... 54 7.2.2. Организация доступа к программным средствам РУЦ АО ................................... 55

7.2.3. Контроль целостности программного обеспечения ............................................... 55 7.2.4. Контроль целостности технических средств .......................................................... 55 7.2.5. Защита внешних сетевых соединений ..................................................................... 56 7.2.6. Перечень информации, подлежащей защите .......................................................... 56 7.2.7. Резервирование информации и восстановление после аварий ............................. 57

7.3. Организационно-правовые меры защиты информации ................................................... 57 7.3.1. Предъявляемые требования к персоналу РУЦ АО ................................................. 57 7.3.2. Профессиональная переподготовка и повышение квалификации персонала ..... 58 7.3.3. Организация сменной работы................................................................................... 58

7.3.4. Организация доступа персонала к документам и документации ......................... 58 7.3.5. Охрана здания и помещений .................................................................................... 58

7.4. Обработка персональных данных ...................................................................................... 58

7.4.1. Цели обработки персональных данных ................................................................... 58 7.4.2. Порядок получения персональных данных ............................................................. 59 7.4.3. Перечень обрабатываемых персональных данных ................................................ 60 7.4.4. Общие принципы обработки персональных данных ............................................. 61

7.4.5. Сроки обработки персональных данных и порядок отзыва согласия на обработку

персональных данных ................................................................................................ 62

7.4.6. Меры по обеспечению информационной безопасности, принимаемые РУЦ АО

при обработке персональных данных ...................................................................... 62 Приложение №1. Заявление о присоединении к Регламенту для юридических лиц ............... 64

Приложение №2. Доверенность доверенного лица, наделенного правом получения

ключевого носителя и сертификата ключа проверки электронной подписи ............................ 65

Приложение №3. Доверенность полномочного представителя юридического лица,

наделенного правом использования электронной подписи ........................................................ 66

Приложение №4. Заявление на приОстановление действия сертификата ключа проверки

электронной подписи ...................................................................................................................... 67 Приложение №5. Заявление на аннулирование сертификата ключа проверки электронной

подписи ............................................................................................................................................. 68

Приложение №6. Заявление на возобновление действия сертификата ключа проверки

электронной подписи ...................................................................................................................... 69 Приложение №7. Заявление на создание квалифицированного сертификата ключа проверки

электронной подписи ...................................................................................................................... 70 Приложение №8. Приказ о назначении ответственного лица по работе с СКЗИ ..................... 72

Приложение №9. Форма журнала поэкземплярного учета СКЗИ (форма №1) ....................... 73 Приложение №10. Форма журнала поэкземплярного учета СКЗИ (форма №2) ..................... 74

Приложение №11. Формат сертификата ключа проверки электронной подписи..................... 75 Приложение №12. Ограничения на использование сертификатов ключей проверки

электронной подписи ...................................................................................................................... 79 Приложение №13. Правила заполнения заявлений на создание сертификатов ключей

проверки электронной подписи ..................................................................................................... 80

4

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Региональный удостоверяющий центр Амурской области (РУЦ АО) –

удостоверяющий центр государственного бюджетного учреждения «Центр

информационных технологий Амурской области», обеспечивающий выдачу

сертификатов ключей проверки электронных подписей участникам

государственных информационных систем исполнительных органов

государственной власти Амурской области;

Электронный документ (ЭД) - документ, в котором информация

представлена в электронно-цифровой форме;

Электронная подпись (ЭП) - информация в электронной форме, которая

присоединена к другой информации в электронной форме (подписываемой

информации) или иным образом связана с такой информацией и которая

используется для определения лица, подписывающего информацию;

Сертификат ключа проверки электронной подписи (СКП ЭП,

сертификат) - электронный документ или документ на бумажном носителе,

выданные удостоверяющим центром либо доверенным лицом

удостоверяющего центра и подтверждающие принадлежность ключа проверки

электронной подписи владельцу сертификата ключа проверки электронной

подписи;

Владелец сертификата ключа проверки электронной подписи - лицо,

которому в установленном Федеральным законом от 6 апреля 2011 года №63-

ФЗ «Об электронной подписи» порядке выдан сертификат ключа проверки

электронной подписи;

Средства электронной подписи (средства ЭП) - шифровальные

(криптографические) средства, используемые для реализации хотя бы одной из

следующих функций - создание электронной подписи, проверка электронной

подписи, создание ключа электронной подписи и ключа проверки электронной

подписи;

Средства удостоверяющего центра (средства РУЦ АО) - программные и

(или) аппаратные средства, используемые для реализации функций

удостоверяющего центра;

5

Уполномоченное лицо удостоверяющего центра – физическое лицо,

являющееся сотрудником удостоверяющего центра и наделенное

полномочиями по заверению от имени удостоверяющего центра СКП ЭП и

списков отозванных сертификатов, издаваемых РУЦ АО;

Информационная система общего пользования (ИСОП) -

информационная система, участники электронного взаимодействия в которой

составляют неопределенный круг лиц и в использовании которой этим лицам

не может быть отказано;

Корпоративная информационная система (КИС) - информационная

система, участники электронного взаимодействия в которой составляют

определенный круг лиц;

Участники электронного взаимодействия - осуществляющие обмен

информацией в электронной форме государственные органы, органы местного

самоуправления, организации, а также граждане;

Рабочий день РУЦ АО – промежуток времени с 9 часов 00 минут до 18

часов 00 минут по местному времени каждого дня недели за исключением

субботы, воскресенья и праздничных дней;

Регламент РУЦ АО - основной руководящий документ, отражающий

обязанности пользователей и членов группы администраторов, протоколы

работы, принятые форматы данных, а также основные организационно-

технические мероприятия, необходимые для функционирования РУЦ АО;

Ролевое разграничение - политика разграничения доступа, основанная

на создании и использовании профилей прав пользователя;

6

1. ВВЕДЕНИЕ

Настоящий документ описывает порядок предоставления услуг

удостоверяющего центра и правила их использования участниками

корпоративных информационных систем и информационных систем общего

пользования.

Настоящий документ является соглашением, налагающим обязательства

на все вовлеченные стороны, а также средством официального уведомления и

информирования всех сторон во взаимоотношениях, возникающих в процессе

предоставления и использования услуг РУЦ АО.

1.1. Обзорная информация

Настоящий документ разработан в соответствии с действующим

законодательством Российской Федерации, регулирующим деятельность

удостоверяющих центров (Федеральным законом от 6 апреля 2011 года №63-

ФЗ «Об электронной подписи»), и описывает правила, механизмы и условия

предоставления и использования услуг удостоверяющего центра, включая

права, обязанности и ответственность владельцев и пользователей СКП ЭП,

протоколы работы, принятые форматы данных и основные организационно-

технические мероприятия.

1.2. Наименование и идентификация документа

Наименование документа: Регламент регионального удостоверяющего

центра Амурской области.

Объектный идентификатор: не присвоен.

Версия документа: 2.0.

Дата: 25.02.2013.

Актуальная редакция настоящего документа доступна по ссылкам:

- http://ca.amurobl.ru/docs/rca_amur_root.pdf

- http://ca.amur-cit.ru/docs/rca_amur_root.pdf

1.3. Сведения об удостоверяющем центре

Удостоверяющий центр государственного бюджетного учреждения

«Центр информационных технологий Амурской области» (далее ГБУ ЦИТ АО)

действует как региональный удостоверяющий центр Амурской области (далее

http://ca.amurobl.ru/docs/rca_amur_root.pdf

http://ca.amur-cit.ru/docs/rca_amur_root.pdf

7

РУЦ АО) на основании постановления правительства Амурской области №727

от 27 октября 2011 года.

Деятельность РУЦ АО в качестве удостоверяющего центра

осуществляется на основании лицензий Центра по лицензированию,

сертификации и защите государственной тайны ФСБ России:

на осуществление мероприятий по техническому обслуживанию

шифровальных (криптографических) средств, регистрационный номер 334Х от

21 июня 2011 года;

на осуществление мероприятий по распространению шифровальных

(криптографических) средств, регистрационный номер 333Р от 21 июня 2011

года;

на осуществление мероприятий по предоставлению услуг в области

шифрования информации, регистрационный номер 335Y от 21 июня 2011 года;

Реквизиты удостоверяющего центра:

Полное наименование: государственное бюджетное учреждение

Амурской области «Центр информационных технологий Амурской области».

Юридический адрес: 675000, г. Благовещенск, ул. Ленина, д.135.

Фактический адрес: 675023, г. Благовещенск, ул. Ленина, д.135.

Банковские реквизиты:

л/с 20935001351 в министерстве финансов Амурской области

р/с 40601810700003000001 в ГРКЦ ГУ Банка России по Амурской

области БИК: 041012001

ИНН/КПП: 2801150749/280101001

ОГРН: 1102801004789

Код по ОКВЭД: 72.60

Код по ОКПО: 61407307

Контактные телефоны, адрес электронной почты:

Телефон: +7 (4162) 596-291, (4162) 596-287;

Сайт: http://ca.amurobl.ru/, http://ca.amur-cit.ru/;

e-mail: [email protected].

http://ca.amurobl.ru/

http://ca.amur-cit.ru/

mailto:[email protected]

8

Объектный идентификатор (OID) РУЦ АО, зарегистрирован в

общемировом дереве идентификаторов объектов и имеет значение:

1.3.6.1.4.1.37362: (http://www.oid-info.com/cgi-bin/display?oid=1.3.6.1.4.1.37362).

Данный идентификатор и/или подчиненные объекты могут входить в

состав издаваемых РУЦ АО сертификатов.

Удостоверяющий центр ГБУ «Центр информационных технологий

Амурской области» изготавливает квалифицированные сертификаты ключа

проверки электронной подписи и является аккредитованным на соответствие

требованиям Федерального закона от 6 апреля 2011 года № 63 «Об электронной

подписи», что подтверждается свидетельством №129, выданным 14 декабря

2012 года Министерством связи и массовых коммуникаций Российской

Федерации.

http://www.oid-info.com/cgi-bin/display?oid=1.3.6.1.4.1.37362

9

2. РЕГЛАМЕНТ РУЦ АО

Регламент РУЦ АО, именуемый в дальнейшем «Регламент», разработан в

соответствии с действующим законодательством Российской Федерации,

регулирующим деятельность удостоверяющих центров.

Настоящий Регламент является договором присоединения на основании

статьи 428 Гражданского кодекса Российской Федерации.

Настоящий Регламент определяет условия предоставления и правила

пользования услугами РУЦ АО, включая права, обязанности, ответственность

сторон, форматы данных, основные организационно-технические мероприятия,

направленные на обеспечение работы РУЦ АО.

Действие настоящего Регламента и иных актов, принимаемых для

обеспечения работы РУЦ АО, подчиняются требованиям норм

законодательства Российской Федерации. В случае если настоящий Регламент

либо иные акты полностью или частично противоречат нормативным актам

органов государственной власти, применяются акты органов государственной

власти. Признание Регламента частично противоречащим актам органов

государственной власти влечет недействительность такого документа

исключительно в части, противоречащей акту органа государственной власти, в

остальном содержании, настоящий Регламент сохраняет свою силу.

Настоящий Регламент вступает в силу с момента опубликования на сайте

РУЦ АО по адресу: http://ca.amur-cit.ru/docs/rca_amur_root.pdf .

2.1 Присоединение к Регламенту

Присоединение к настоящему Регламенту осуществляется в порядке,

описанном в главе 5. Процедуры и механизмы.

С момента регистрации заявления о присоединении к Регламенту (далее –

Заявление) в РУЦ АО лицо, подавшее Заявление, считается присоединившемся

к Регламенту и является стороной Регламента.

РУЦ АО вправе отказать любому лицу в приеме и регистрации Заявления

о присоединении к Регламенту без объяснения причин, кроме случаев,

установленных законодательством Российской Федерации.

http://ca.amur-cit.ru/docs/rca_amur_root.pdf

10

Факт присоединения лица к Регламенту является полным принятием им

условий настоящего Регламента и всех его приложений в редакции,

действующей на момент регистрации Заявления в реестре РУЦ АО. Лицо,

присоединившееся к Регламенту, принимает дальнейшие изменения

(дополнения), вносимые в Регламент, в соответствии с условиями настоящего

Регламента.

После присоединения к Регламенту РУЦ АО и сторона,

присоединившаяся к Регламенту, считаются вступившими в соответствующие

договорные отношения на неопределённый срок.

2.2 Срок действия Регламента

Срок действия Регламента – 5 лет.

Если РУЦ АО официально не уведомит стороны, присоединившиеся к

Регламенту, о прекращении действия Регламента, Регламент автоматически

пролонгируется на следующие 5 лет. Официальное уведомление о прекращении

действия Регламента осуществляется путем размещения соответствующей

информации на сайте РУЦ АО.

2.3 Изменение (дополнение) Регламента

Внесение изменений (дополнений) в Регламент, включая приложения к

нему, производится РУЦ АО в одностороннем порядке.

Уведомление о внесении изменений (дополнений) в Регламент

осуществляется РУЦ АО путем обязательного размещения указанных

изменений (дополнений) на сайте РУЦ АО по адресу: http://ca.amurobl.ru/;

http://ca.amur-cit.ru/.

Все изменения (дополнения), вносимые РУЦ АО в Регламент по

собственной инициативе и не связанные с изменением действующего

законодательства Российской Федерации вступают в силу и становятся

обязательными по истечении одного месяца с даты размещения указанных

изменений и дополнений в Регламенте на сайте РУЦ АО.

Все изменения (дополнения), вносимые удостоверяющим центром в

Регламент в связи с изменением действующего законодательства Российской

http://ca.amurobl.ru/

http://ca.amur-cit.ru/

11

Федерации вступают в силу одновременно с вступлением в силу изменений

(дополнений) в указанных актах.

Любые изменения и дополнения в Регламенте с момента вступления в

силу равно распространяются на всех лиц, присоединившихся к Регламенту, в

том числе присоединившихся к Регламенту ранее даты вступления изменений

(дополнений) в силу. В случае несогласия с изменениями (дополнениями)

сторона Регламента имеет право до вступления в силу таких изменений

(дополнений) на прекращение договорных отношений в порядке,

предусмотренном п.2.5. настоящего Регламента.

Все приложения, изменения и дополнения к настоящему Регламенту

являются его неотъемлемой частью.

2.4 Применение Регламента

Стороны понимают термины, применяемые в настоящем Регламенте,

строго в контексте общего смысла Регламента.

В случае противоречия и/или расхождения названия какого-либо раздела

Регламента со смыслом какого-либо пункта в нем содержащегося, стороны

считают доминирующим смысл и формулировки каждого конкретного пункта.

В случае противоречия и/или расхождения положений какого-либо

приложения к настоящему Регламенту с положениями самого Регламента,

стороны считают доминирующим смысл и формулировки Регламента.

2.5 Прекращение действия Регламента

Действие настоящего Регламента может быть прекращено по инициативе

одной из сторон в следующих случаях:

по собственному желанию одной из сторон;

нарушения одной из сторон условий настоящего Регламента.

В случае расторжения договорных отношений инициативная сторона

письменно уведомляет другую сторону о своих намерениях за десять

календарных дней до даты расторжения Регламента. Регламент считается

расторгнутым после выполнения сторонами своих обязательств и проведения

взаиморасчетов согласно условиям Регламента.

12

Прекращение действия Регламента не освобождает стороны от

исполнения обязательств, во зникших до указанного дня прекращения действия

Регламента, и не освобождает от ответственности за его неисполнение

(ненадлежащее исполнение).

13

3. ОБЩИЕ ПОЛОЖЕНИЯ

3.1 Назначение РУЦ АО

РУЦ АО предназначен для обеспечения участников государственных

информационных систем средствами и спецификациями для использования

средств электронной подписи в целях обеспечения:

применения ЭП;

контроля целостности информации, представленной в электронном

виде, передаваемой в процессе взаимодействия участников

информационных систем;

аутентификации участников информационных систем в процессе

взаимодействия;

конфиденциальности информации, представленной в электронном

виде, передаваемой в процессе взаимодействия участников

информационных систем.

3.2. Пользователи РУЦ АО

Пользователями (потребителями) услуг РУЦ АО называются лица,

которые входят в одну или несколько из ниже перечисленных групп:

Группа 1: пользователи СКП ЭП (пользователи, не имеющие

собственных сертификатов, но использующие сертификаты других

пользователей для каких-либо целей) – доверяющая сторона;

Группа 2: зарегистрированные в РУЦ АО лица, являющиеся

владельцами СКП ЭП.

Зарегистрированные в РУЦ АО лица, являющиеся владельцами СКП ЭП,

все сертификаты которых признаются РУЦ АО недействительными, относятся

к пользователям Группы 1.

Проходить процедуру регистрации в РУЦ АО и быть владельцем СКП ЭП

может как физическое лицо, так и юридическое. В последнем случае наряду с

указанием наименования юридического лица указывается физическое лицо,

действующее от имени юридического лица на основании учредительных

документов юридического лица или доверенности.

14

При невозможности личного присутствия владельца СКП ЭП для

совершения определенных процедур пользователь РУЦ АО должен выдать

лицу, пребывающему вместо владельца СКП ЭП, доверенность на совершение

определенных действий (Приложения №№ 6,7).

3.3. Услуги, предоставляемые РУЦ АО

В процессе своей деятельности РУЦ АО предоставляет своим

пользователям следующие виды услуг:

- внесение в реестр РУЦ АО регистрационной информации о

пользователях РУЦ АО;

- изготовление СКП ЭП пользователей РУЦ АО в электронной форме;

- изготовление для владельцев СКП ЭП копии СКП ЭП на бумажном

носителе;

- формирование ключа электронной подписи и ключа проверки

электронной подписи, по обращениям пользователей РУЦ АО, с

записью их на ключевой носитель;

- ведение реестра изготовленных СКП ЭП пользователей РУЦ АО;

- предоставление копий СКП ЭП в электронной форме, находящихся в

реестре изготовленных сертификатов, по запросам пользователей РУЦ

АО;

- аннулирование (отзыв) СКП ЭП по обращениям владельцев;

- приостановление и возобновление действия СКП ЭП по обращениям

владельцев;

- предоставление пользователям РУЦ АО сведений об аннулированных

и приостановленных СКП ЭП;

- подтверждение подлинности электронных подписей в документах,

представленных в электронной форме, по обращениям пользователей

РУЦ АО;

- подтверждение подлинности электронных подписей РУЦ АО в

изготовленных им СКП ЭП по обращениям пользователей РУЦ АО;

- распространение средств ЭП по обращениям пользователей РУЦ АО;

- другие виды услуг.

15

3.4. Вознаграждение РУЦ АО

Состав и размер вознаграждения за предоставляемые услуги

определяется, утверждается и вводится в действие руководством ГБУ ЦИТ АО.

Услуга по предоставлению копий СКП ЭП в электронной форме,

находящихся в реестре изготовленных сертификатов, предоставляется на

безвозмездной основе.

В случае выполнения внеплановой замены ключей удостоверяющего

центра, услуга по изготовлению СКП ЭП пользователей Группы 2 РУЦ АО

предоставляется на безвозмездной основе.

Оплата осуществляется в российских рублях в безналичном порядке с

использованием платежных поручений или иным способом, предусмотренным

законодательством РФ.

3.5. Прекращение деятельности

Деятельность РУЦ АО может быть прекращена в порядке, установленном

законодательством РФ.

В случае прекращения деятельности РУЦ АО выданные СКП ЭП

аннулируются. Реестр РУЦ АО, включающий реестр зарегистрированных

пользователей РУЦ АО, реестр изготовленных СКП ЭП и список отозванных

сертификатов (далее СОС), передаются в архив уполномоченного федерального

органа исполнительной власти.

16

4. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ РУЦ АО

4.1. Права РУЦ АО

РУЦ АО имеет право:

не проводить регистрацию лиц, обратившихся по вопросу предоставления

копий СКП ЭП в электронной форме, находящихся в реестре РУЦ АО;

отказать в предоставлении услуг по регистрации пользователям РУЦ АО,

подавшим заявление на регистрацию, без предоставления информации о

причинах отказа;

отказать в изготовлении ключей не зарегистрированным пользователям

РУЦ АО, подавшим заявление на изготовление ключей, без предоставления

информации о причинах отказа;

отказать в изготовлении ключей зарегистрированным пользователям РУЦ

АО, подавшим заявление на изготовление ключей, с указанием причин отказа;

отказать в изготовлении СКП ЭП зарегистрированным пользователям

РУЦ АО, подавшим заявление на изготовление СКП ЭП, с указанием причин

отказа;

отказать в аннулировании (отзыве) СКП ЭП владельцу сертификата,

подавшему заявление на аннулирование (отзыв) сертификата в случае, если

истек установленный срок действия СКП ЭП;

отказать в приостановлении или возобновлении действия СКП ЭП

владельцу сертификата, подавшему заявление на приостановление или

возобновление действия сертификата, в случае если истек установленный срок

действия СКП ЭП;

аннулировать (отозвать) СКП ЭП пользователя РУЦ АО в случае

установленного факта компрометации соответствующего ключа ЭП с

уведомлением владельца аннулированного (отозванного) СКП ЭП и указанием

обоснованных причин;

приостановить действие СКП ЭП пользователя РУЦ АО с уведомлением

владельца приостановленного СКП ЭП и указанием обоснованных причин;

17

запрашивать дополнительную информацию у пользователей РУЦ АО при

изготовлении и выдаче СКП ЭП, в случае, если такая информация необходима

для формулирования и подтверждения сведений в СКП ЭП.

4.2. Права пользователей РУЦ АО

Права пользователей РУЦ АО зависят от принадлежности их группам,

описанным в пункте 3.2. Пользователи РУЦ АО.

Пользователи РУЦ АО Группы 1 имеют право:

получать и применять список аннулированных (отозванных) и

приостановленных СКП ЭП, изготовленный РУЦ АО, для проверки статуса

СКП ЭП;

получить СКП ЭП уполномоченного лица РУЦ АО;

получить копию СКП ЭП в электронной форме, находящегося в реестре

РУЦ АО;

применять СКП ЭП уполномоченного лица РУЦ АО для проверки ЭП

РУЦ АО в СКП ЭП, изготовленных РУЦ АО;

применять копии СКП ЭП в электронной форме для проверки ЭП

электронного документа в соответствии со сведениями, указанными в СКП ЭП;

обратиться в РУЦ АО за подтверждением подлинности ЭП в документах,

представленных в электронной форме;

обратиться в РУЦ АО за подтверждением подлинности ЭП

уполномоченного лица РУЦ АО в изготовленных им СКП ЭП;

обратиться в РУЦ АО для внесения в реестр РУЦ АО регистрационной

информации о пользователе с целью в дальнейшем стать владельцем СКП ЭП;

обратиться в РУЦ АО за получением (приобретением) средств ЭП;

обратиться в РУЦ АО с заявлением в бумажной форме на изготовление

СКП ЭП;

получить и установить на свое рабочее место изготовленный СКП ЭП в

электронной форме;

создавать, передавать, обрабатывать, хранить электронные документы в

рамках своих должностных обязанностей и сведений, содержащихся в СКП ЭП;

18

требовать признания документов, заверенных ЭП, равнозначными

документам на бумаге, заверенным собственноручной подписью владельца

СКП ЭП, при соблюдении инструкций и Регламентов организатора системы;

обращаться в РУЦ АО за проведением экспертизы подлинности ЭП в

электронном документе, циркулирующем в информационной системе;

не принимать к исполнению электронные документы, в случае если:

СКП ЭП, использованный при подписи документа, не действителен

(аннулирован, закончился срок действия) на момент подписания;

не подтверждена подлинность ЭП в электронном документе;

электронная подпись используется в нарушение сведений,

установленных в СКП ЭП;

документ сформирован и подписан ненадлежащим образом, либо

выявлены нарушения, связанные с оформлением документа,

которые могут повлечь признание документа недействительным.

требовать разбора конфликтных ситуаций в порядке, установленном

настоящим Регламентом;

получать в РУЦ АО консультации по вопросам работы с ЭП и средств

криптографической защиты информации (далее СКЗИ).

Права пользователей Группы 2

Зарегистрированные в РУЦ АО лица до положительного результата

аутентификации имеют права пользователей Группы 1, а также имеют право

применять ключи ЭП и СКП ЭП, владельцами которых они являются, для

формирования ЭП в электронных документах в соответствии со сведениями

указными в СКП ЭП.

Зарегистрированные в РУЦ АО лица после положительной

аутентификации имеют права пользователей Группы 1, а также дополнительно

к ним следующие права:

обратиться в РУЦ АО для аннулирования (отзыва) СКП ЭП в течение

срока его действия;

19

обратиться в РУЦ АО для приостановления действия СКП ЭП в течение

срока его действия;

обратиться в РУЦ АО для возобновления действия СКП ЭП в течение

срока его действия.

4.3. Обязанности РУЦ АО

РУЦ АО обязан:

организовывать проверку на предмет соответствия деятельности РУЦ АО

требованиям настоящего Регламента, устранять недостатки в своей

деятельности и предоставлять необходимые материалы для проверки согласно

законодательству РФ;

использовать для изготовления ключа ЭП уполномоченного лица РУЦ

АО и формирования электронной подписи средства ЭП и средства РУЦ АО,

получившие подтверждение соответствия требованиям, установленным в

соответствии с 63-ФЗ;

использовать ключ ЭП уполномоченного лица РУЦ АО только для

подписи издаваемых им СКП ЭП и СОС;

принимать меры по защите ключа ЭП уполномоченного лица РУЦ АО в

соответствии с положениями настоящего Регламента и законодательства РФ;

обеспечить работоспособность аппаратных и программных средств РУЦ

АО;

организовать работу своих служб по GMT (Greenwich Mean Time) с

учетом часового пояса (г. Москва) и синхронизировать по времени все

программные и технические средства обеспечения деятельности по

предназначению;

разработать схему подключения телекоммуникационных средств РУЦ

АО, используемых в информационных системах, к сетям общего пользования,

согласовать с владельцем информационной системы схему доступа

пользователя (потребителя) информационной системы к

телекоммуникационным ресурсам;

20

обеспечить регистрацию пользователей РУЦ АО по заявлениям на

регистрацию в соответствии с порядком регистрации, изложенным в настоящем

Регламенте;

обеспечить уникальность регистрационной информации владельцев СКП

ЭП, заносимой в реестр РУЦ АО и используемой для идентификации

владельцев СКП ЭП;

не разглашать (не публиковать) регистрационную информацию

пользователей РУЦ АО, за исключением информации, заносимой в

изготавливаемые сертификаты;

изготовить ключ ЭП и ключ проверки ЭП зарегистрированному

пользователю РУЦ АО по его заявлению с использованием

сертифицированных средств ЭП;

изготовить СКП ЭП зарегистрированному пользователю РУЦ АО по его

заявлению, в соответствии с форматом и порядком идентификации владельца

СКП ЭП, определенным в настоящем Регламенте;

обеспечить уникальность регистрационных (серийных) номеров

изготавливаемых СКП ЭП пользователей РУЦ АО;

обеспечить уникальность значений ключей проверки ЭП в изготовленных

СКП ЭП пользователей РУЦ АО;

аннулировать (отозвать) СКП ЭП:

- по истечении срока его действия;

- при утрате юридической силы сертификата соответствующих

СКЗИ, используемых в информационных системах;

- в случае, если РУЦ АО стало достоверно известно о прекращении

действия документа, на основании которого оформлен СКП ЭП;

- по заявлению в письменной форме владельца СКП ЭП;

- в иных установленных законодательством РФ или соглашением

сторон случаях.

приостановить действие СКП ЭП:


- в иных установленных законодательством РФ случаях.

21

возобновить действие СКП ЭП:


- в иных установленных законодательством РФ или соглашением

сторон случаях.

вести реестр всех изготовленных СКП ЭП пользователей РУЦ АО в

течение установленного срока хранения;

осуществлять выдачу копий СКП ЭП в электронной форме по

обращениям пользователей РУЦ АО;

публиковать на сайте РУЦ АО актуальный СОС;

публиковать на сайте РУЦ АО Регламент и другие документы,

необходимые для работы РУЦ АО и пользователей РУЦ АО;

уведомлять владельца СКП ЭП о фактах, которые стали известны РУЦ

АО и которые существенным образом могут сказаться на возможности

дальнейшего использования СКП ЭП;

организовать проверку готовности пользователей РУЦ АО к

самостоятельному использованию СКЗИ и составление заключений о

возможности эксплуатации СКЗИ (с указанием типа и номеров используемых

СКЗИ, номеров аппаратных, программных и аппаратно-программных средств,

где установлены или к которым подключены СКЗИ, с указанием также номеров

печатей (пломбиров), которыми опечатаны (опломбированы) технические

средства, включая СКЗИ, и результатов проверки функционирования СКЗИ);

разрабатывать мероприятия по обеспечению функционирования и

безопасности применяемых СКЗИ в соответствии с условиями выданных на

них сертификатов, а также в соответствии с эксплуатационной и технической

документацией к этим средствам;

организовать обучение лиц, использующих СКЗИ, правилам работы с

ними;

вести поэкземплярный учет используемых СКЗИ, эксплуатационной и

технической документации к ним;

вести учет обслуживаемых пользователей РУЦ АО, а также физических

лиц, непосредственно допущенных к работе с СКЗИ;

22

осуществлять контроль за соблюдением условий использования СКЗИ,

установленных эксплуатационной и технической документацией к СКЗИ,

сертификатом на СКЗИ и настоящим Регламентом;

организовать расследование с составлением заключений по фактам

нарушения условий использования СКЗИ, которые могут привести к снижению

уровня защиты конфиденциальной информации, вести разработку и принимать

меры по предотвращению возможных опасных последствий подобных

нарушений;

разрабатывать схему организации криптографической защиты

конфиденциальной информации.

4.4. Обязанности пользователей РУЦ АО

Права пользователей РУЦ АО зависят от принадлежности их группам,

описанным в пункте 3.2. Пользователи РУЦ АО.

Пользователи РУЦ АО Группы 1 обязаны:

выполнять требования Регламента;

при использовании СКП ЭП пользоваться сертифицированными СКЗИ;

использовать СКП ЭП только в соответствии со сведениями, указанными

в них;

немедленно уведомлять РУЦ АО о фактах, которые существенным

образом могут сказаться на возможности дальнейшего использования

выданных СКП ЭП;

при несогласии с условиями Регламента немедленно прекратить работу с

СКП ЭП, выданными РУЦ АО.

Пользователи РУЦ АО Группы 2 обязаны:

выполнять требования Регламента;

при использовании СКП ЭП и генерации ключей пользоваться

сертифицированными СКЗИ;

немедленно уведомлять РУЦ АО о фактах, которые существенным

образом могут сказаться на возможности дальнейшего использования

выданных СКП ЭП, о фактах утраты или недостачи СКЗИ, ключей ЭП, ключей

от помещений, хранилищ, личных печатей и о других фактах, которые могут

23

привести к разглашению защищаемых сведений конфиденциального характера,

а также о причинах и условиях возможной утечки таких сведений;

при несогласии с условиями Регламента немедленно прекратить работу с

СКП ЭП, выданными РУЦ АО;

хранить в тайне ключ ЭП, принимать все возможные меры для

предотвращения его потери, раскрытия, искажения и несанкционированного

использования;

уничтожить ключи ЭП, срок действия которых закончен, которые были

сгенерированы ошибочно и не подлежат использованию либо были

скомпрометированы и их копии;

не применять ключ ЭП, если стало известно, что этот ключ используется

или использовался ранее другими лицами;

точно информировать о цели использования СКП ЭП при обращении в

РУЦ АО с запросом о выдаче СКП ЭП;

применять ключ ЭП только в соответствии с областями действия,

указанными в соответствующем СКП ЭП;

немедленно обратиться в РУЦ АО с заявлением на аннулирование (отзыв)

СКП ЭП в случае потери, раскрытия, искажения ключа ЭП, а также в случае,

если стало известно, что этот ключ используется или использовался ранее

другими лицами;

не использовать ключ ЭП, связанный с СКП ЭП, заявление на

аннулирование (отзыв) которого подано в РУЦ АО, в течение времени,

исчисляемого с момента времени подачи заявления на аннулирование (отзыв)

СКП ЭП в РУЦ АО до момента официального уведомления об аннулировании

(отзыве) сертификата;

не использовать ключ ЭП, связанный с СКП ЭП, заявление на

приостановление действия которого подано в РУЦ АО, в течение времени,

исчисляемого с момента времени подачи заявления на приостановление

действия СКП ЭП в РУЦ АО до момента официального уведомления о

приостановлении действия СКП ЭП;

24

не использовать ключ ЭП, связанный с СКП ЭП, который аннулирован

(отозван) или действие его приостановлено;

вести поэкземплярный учет используемых СКЗИ, эксплуатационной и

технической документации к ним;

организовать обучение лиц, использующих СКЗИ, правилам работы с

ними;

не разглашать конфиденциальную информацию, к которой они

допущены, рубежи ее защиты, в том числе сведения о ключах ЭП;

соблюдать требования к обеспечению безопасности конфиденциальной

информации с использованием СКЗИ;

сообщать в РУЦ АО о ставших им известными попытках посторонних

лиц получить сведения об используемых СКЗИ или ключах ЭП;

сдать СКЗИ, эксплуатационную и техническую документацию к ним,

ключи ЭП при увольнении или отстранении от исполнения обязанностей,

связанных с использованием СКЗИ;

информировать РУЦ АО о случаях, предусматривающих

приостановление действия сертификата (болезнь, отпуск, смена должности);

при установке СКЗИ проверять целостность и соответствие

устанавливаемого дистрибутива СКЗИ распространяемому производителями;

производить верификацию всех имеющихся ЭП в используемых

электронных документах в информационной системе Организатора согласно

установленным правилам и процедурам;

при верификации ЭП произвести проверку соответствия назначения

сертификата предлагаемому к использованию в документе и статуса

сертификата при помощи актуального списка отозванных сертификатов при

помощи средств ЭП, установленных на АРМ;

признавать электронный документ, заверенный действительной ЭП

владельца СКП ЭП в соответствии с правилами и инструкциями, равнозначным

документу на бумаге, заверенному собственноручной подписью владельца СКП

ЭП.

25

4.5. Ответственность сторон

Сторона, не исполнившая или ненадлежащим образом исполнившая свои

обязательства по Регламенту, обязана в полном объеме возместить убытки,

причиненные другой стороне.

Стороны несут ответственность за достоверность предоставляемых

сведений.

Стороны не несут ответственность за неисполнение либо ненадлежащее

исполнение своих обязательств по Регламенту, а также возникшие в связи с

этим убытки в случаях, если это является следствием встречного неисполнения

либо ненадлежащего встречного исполнения своих обязательств по Регламенту

другой стороной.

РУЦ АО не несет ответственность за неисполнение либо ненадлежащее

исполнение своих обязательств по Регламенту, а также возникшие в связи с

этим убытки в случаях:

если РУЦ АО обоснованно полагался на сведения, указанные в

заявлении пользователя РУЦ АО;

подделки, подлога либо иного искажения уполномоченным

представителем пользователя РУЦ АО либо третьими лицами

информации, содержащейся в заявлении либо иных документах,

предоставленных одной стороне от имени другой стороны.

РУЦ АО не несет никакой ответственности в случае нарушения

пользователями РУЦ АО положений Регламента. Претензии к РУЦ АО

ограничиваются указанием на несоответствие его действий настоящему

Регламенту.

РУЦ АО несет ответственность за убытки при использовании ключа ЭП и

СКП ЭП пользователя РУЦ АО только в случае, если данные убытки возникли

вследствие компрометации ключа ЭП уполномоченного лица РУЦ АО, либо

вследствие несоответствий сведений в СКП ЭП сведениям, указанным в

заявлении пользователя РУЦ АО.

26

В случае, если сторона проявит недобросовестность при исполнении

своих обязательств по Регламенту, то другая сторона вправе публично

известить об этом других пользователей РУЦ АО.

Выплата пени и возмещение убытков не освобождает стороны от

выполнения обязательств в натуре.

Ответственность сторон, не урегулированная положениями Регламента,

регулируется законодательством РФ.

4.6. Форс-мажор

Стороны освобождаются от ответственности за полное или частичное

неисполнение своих обязательств по настоящему Регламенту, если это

неисполнение явилось следствием форс-мажорных обстоятельств, возникших

после присоединения к настоящему Регламенту.

Форс-мажорными обстоятельствами (обстоятельства непреодолимой

силы) признаются чрезвычайные (т.е. находящиеся вне разумного контроля

сторон) и непредотвратимые при данных условиях обстоятельства, включая

военные действия, массовые беспорядки, стихийные бедствия, забастовки,

пожары, взрывы и иные техногенные катастрофы, действия (бездействие)

государственных и муниципальных органов, повлекшие невозможность

исполнения стороной/сторонами своих обязательств по настоящему

Регламенту.

В случае возникновения форс-мажорных обстоятельств, срок исполнения

сторонами своих обязательств по настоящему Регламенту отодвигается

соразмерно времени, в течение которого действуют такие обстоятельства.

Сторона, для которой создалась невозможность исполнения своих

обязательств по настоящему Регламенту, должна немедленно известить в

письменной форме другую сторону о наступлении, но в любом случае не

позднее 5 (пяти) календарных дней после начала их действия, предполагаемом

сроке действия и прекращении форс-мажорных обстоятельств, а также

представить документальные доказательства существования названных

обстоятельств и их влиянии на исполнение Регламента и других соглашений.

27

Не извещение или несвоевременное извещение о наступлении

обстоятельств непреодолимой силы влечет за собой утрату права ссылаться на

эти обстоятельства.

В случае, если невозможность полного или частичного исполнения

сторонами какого-либо обязательства по Регламенту или другим соглашениям

обусловлена действием форс-мажорных обстоятельств и существует свыше 1

(одного) месяца, то каждая из сторон вправе отказаться в одностороннем

порядке от дальнейшего исполнения этого обязательства (либо внесения в

соглашения соответствующих изменений и дополнений) путем направления

одной из сторон другой стороне письменного уведомления (но не позднее, чем

за 10 (десять) календарных дней до отказа от исполнения обязательства) и в

этом случае ни одна из сторон не обязана возмещать реальный ущерб, а

финансовые расчеты производятся за фактически оказанные по настоящему

Регламенту или другим соглашениям услуги.

4.7. Разрешение споров

Сторонами в споре, в случае его возникновения, считаются РУЦ АО и

пользователь РУЦ АО, а также сторонами в споре могут быть несколько

пользователей РУЦ АО. При возникновении споров стороны предпринимают

все необходимые шаги для урегулирования спорных вопросов, которые могут

возникнуть, путем переговоров.

В случае невозможности разрешения споров путем переговоров они

будут разрешаться в Арбитражном суде Амурской области в порядке,

предусмотренным законодательством РФ.

Применение ЭП в информационной системе может приводить к

конфликтным ситуациям, заключающимся в оспаривании сторонами авторства

и/или содержимого электронного документа, подписанного ЭП.

Разрешение подобных конфликтных ситуаций производится в

соответствии с действующим законодательством РФ и особенностями самой

ЭП, с применением специального сертифицированного программного

обеспечения для выполнения необходимых проверок и документирования

данных, используемых при выполнении необходимых проверок.

28

Разрешение конфликтной ситуации выполняется экспертной комиссией,

состоящей из представителей сторон. Состав экспертной комиссии, порядок ее

формирования, регламент ее работы, рассмотрение результатов определяется

соглашением сторон и порядком разрешения конфликтных ситуаций.

Дополнительно могут привлекаться авторитетные, независимые специалисты в

области криптографической защиты информации.

Разрешение конфликтной ситуации выполняется по инициативе РУЦ АО

или любого пользователя РУЦ АО и состоит из:

1. предъявления претензии одной стороны другой;

2. формирования экспертной комиссии;

3. работы экспертной комиссии по разрешению конфликтной

ситуации;

4. составление акта экспертной комиссией, определяющего

последующие действия сторон.

Претензии друг к другу рассматриваются сторонами на основании

официально врученных уведомлений в письменном виде.

Стороны вправе решать возникающие претензии в рабочем порядке. По

факту претензии стороны проводят внутреннее расследование и официально

информируют друг друга о его результатах в течение 14 (четырнадцати)

календарных дней с даты получения претензии. Сторона, предъявившая

претензию, в срок 7 (семь) календарных дней после получения результатов

расследования от другой стороны, должна рассмотреть достаточность

представленных объяснений и направить официальное уведомление о снятии

претензии или предложение о создании экспертной комиссии по разрешению

спорной ситуации.

Оспаривание результатов работы экспертной комиссии и возмещение

пострадавшей стороне нанесенного ущерба выполняется в установленном

действующим законодательством РФ порядке.

Разрешая конфликтные ситуации при нарушении процедур

криптографической защиты информации и/или установлении авторства и/или

29

подлинности электронных документов, заверенных ЭП, стороны исходят из

того, что:

в соответствии с действующим законодательством РФ, документ в

электронном виде, заверенный ЭП, является документом, имеющим

юридическую силу, аналогичным бумажному, снабженному

подписью и печатью;

электронный документ порождает обязательства одной стороны

перед другой, если документ оформлен надлежащим образом,

заверен ЭП и доставлен другой стороне. При этом ЭП верна,

используется в соответствии со сведениями, указанными в СКП

ЭП, а СКП ЭП действовал на момент создания ЭП;

подтверждением того, что электронный документ принят стороной-

получателем, является получение стороной-отправителем

надлежащим образом оформленной электронной квитанции о

принятии его документа, или получение того же самого документа

подписанного ЭП стороны-получателя (при наличии);

используемая в информационной системе система защиты

информации, которая обеспечивает ЭП и шифрование, достаточна

для защиты информации от несанкционированного доступа,

подтверждения целостности, подлинности и авторства электронных

документов, а также разрешения конфликтных ситуаций по ним;

математические свойства алгоритма ЭП, реализованного в

соответствии со стандартами Российской Федерации ГОСТ Р 34.10-

2001 (или ГОСТ Р 34.10-94) и ГОСТ Р 34.11-94, свидетельствуют о

невозможности подделки значения ЭП любым лицом, не

обладающим ключом ЭП;

разбор конфликтной ситуации в отношении авторства, целостности

и подлинности электронного документа заключается в

доказательстве подписания конкретного электронного документа на

конкретном ключе ЭП.

30

Комиссия определяет и проверяет следующее (при наличии):

предмет разногласий на основании письма стороны-инициатора

разбирательства и разъяснений сторон;

правомерность предъявления претензии на основании текста

заключенных соглашений, приложений к ним, Регламента;

прикладное ПО;

дистрибутивы СКЗИ;

документы в электронной форме, относящиеся к предмету

разногласий;

документы в бумажной форме, относящиеся к предмету

разногласий;

ключи проверки ЭП сторон;

СКП ЭП уполномоченного лица РУЦ АО из реестра

уполномоченного федерального органа;

истинность ЭП СКП ЭП сторон;

СКП ЭП сторон в бумажном виде;

истинность ЭП электронного документа;

наличие и содержание подтверждения по электронному документу;

даты и время поступления, отправки электронного документа и

подтверждения по нему;

исправность используемых ключевых носителей;

данные электронного архива принятых, отправленных документов;

данные базы данных регистрационных записей (журнал

регистрации приема и отправки электронных документов).

Экспертиза оспариваемого электронного документа осуществляется в

присутствии всех членов экспертной комиссии.

Экспертиза осуществляется в три этапа:

Этап 1. Подготовка оборудования и программного обеспечения и

тестирование их работоспособности:

31

производится конфигурирование операционной системы,

осуществляется проверка персонального компьютера на предмет

отсутствия вирусов и программных закладок;

производится установка эталонного программного обеспечения

СКЗИ. Для установки эталонного программного обеспечения СКЗИ

используется дистрибутив, представленный разработчиком СКЗИ;

членам экспертной комиссии предоставляется возможность

убедиться в работоспособности, установленного программного

обеспечения путем проведения тестов, в порядке, предусмотренном

документацией на СКЗИ.

Этап 2. Контроль целостности оспариваемого электронного документа

путем проверки ЭП при помощи СКП ЭП, представленного РУЦ АО,

производится посредством стандартной процедуры проверки ЭП,

предусмотренной СКЗИ.

Этап 3. Аутентификация отправителя оспариваемого электронного

документа путем проверки принадлежности, актуальности и целостности СКП

ЭП, использованного комиссией для проверки ЭП, производится проверкой

подписанных сторонами и заверенных РУЦ АО СКП ЭП в бумажном виде.

Подтверждением подлинности оспариваемого электронного документа

является единовременное наличие следующих условий:

проверка ЭП оспариваемого электронного документа на СКП ЭП,

файл которого предъявлен РУЦ АО, дала положительный

результат;

подтверждена принадлежность, актуальность и целостность СКП

ЭП, с помощью которого проводилась проверка ЭП оспариваемого

электронного документа;

ЭП использовалась в соответствии со сведениями, указанными в

СКП ЭП.

Результаты экспертизы оформляются в виде письменного заключения -

акта экспертной комиссии, подписываемого всеми членами комиссии. Акт

32

составляется немедленно после завершения третьего этапа экспертизы. В акте

фиксируются результаты всех этапов, проведенной экспертизы, а также все

существенные реквизиты оспариваемого электронного документа. Акт

составляется в нескольких экземплярах - по одному для представителей сторон.

Акт комиссии является окончательным и пересмотру не подлежит.

Подтверждение подлинности электронного документа, зафиксированное

в акте, будет означать, что этот документ имеет юридическую силу. Акт,

составленный экспертной комиссией, является доказательством при

дальнейшем разбирательстве спора в суде.

Стороны признают решения экспертной комиссии по спорам,

оформленные актом в соответствии с процедурами, описанными выше,

обязательными для сторон и обязуются исполнять решения экспертной

комиссии по указанным вопросам в установленные в сроки.

Уклонение какой-либо стороны от участия в создании или работе

экспертной комиссии может привести к невозможности ее создания и работы,

но не исключает возможность урегулирования конфликта в судебном порядке.

В случае недостижения соглашения сторон, отсутствия согласия по спорным

вопросам и отказа от добровольного исполнения решения комиссии, споры и

все материалы по настоящему соглашению передаются на рассмотрение суда.

33

5. ПРОЦЕДУРЫ И МЕХАНИЗМЫ

5.1 Область действия

Данная глава описывает процесс оказания услуг удостоверяющего центра

ГБУ «Центр информационных технологий Амурской области», который

включает в себя следующие подпроцессы и процедуры:

Подпроцессы:

1. Предоставление информации в РУЦ АО

Проц

едур

ы

Предоставление информации при личной явке

Предоставление информации доверенным лицом

Предоставление информации почтовым сообщением

Предоставление информации по e-mail

Предоставление информации по телефону

Предоставление OCSP запроса

Предоставление TSP запроса

2. Присоединение к Регламенту

3. Создание сертификата

4. Аннулирование сертификата

5. Приостановление действия сертификата

6. Возобновление действия сертификата

7. Подтверждение получения сертификата

8. Предоставление сервиса OCSP

9. Предоставление сервиса TSP

10. Получение информации из РУЦ АО

Проц

едур

ы

Получение информации при личной явке

Получение информации доверенным лицом

Получение информации по e-mail

34

Получение информации по телефону

Получение ответа OCSP сервиса

Получение ответа TSP запроса

Получение информации из списка отозванных сертификатов

5.2 Описание подпроцессов

5.2.1 Подпроцесс «Предоставление информации в РУЦ АО»

Данный подпроцесс регламентирует порядок предоставления

информации в РУЦ АО для присоединения организации к Регламенту, для

создания сертификата, аннулирования сертификата, приостановления и

возобновления действия сертификата, получения сервиса OCSP или TSP.

Пользователи РУЦ АО предоставляют информацию в следующем виде:

заявления в бумажном виде и документы, подтверждающие

указанные данные в заявлениях;

устные заявления по телефону;

обращения по e-mail;

обращения по протоколам OCSP и TSP;

обращения по протоколам HTTP/HTTPS.

Подпроцессы Входные данные Процедура

Присоединение к

Регламенту

1. Заявление о присоединении к Регламенту

в 2-х экземплярах;

2. Копия выписки из ЕГРЮЛ, заверенная

организацией, полученная не позднее 6

месяцев до дня обращения в РУЦ АО;

3. Копия устава организации, заверенная

организацией;

4. Копия свидетельства о регистрации

юридического лица (ОГРН);

5. Копия свидетельства о постановке

юридического лица на учет в налоговом

органе (ИНН).

6. Копия приказа о назначении (избрании)

руководителя организации.

Предоставление информации при

личной явке

Предоставление информации

доверенным лицом


почтовым сообщением

Создание сертификата

1. Заявление на создание

квалифицированного сертификата ключа

проверки электронной подписи;

2. Копия выписки из ЕГРЮЛ, заверенная

организацией, полученная не позднее 6

месяцев до дня обращения в РУЦ АО;






35

Подпроцессы Входные данные Процедура

3. Подтверждение полномочий владельца

сертификата (доверенность), если

необходима;

4. Копия страхового свидетельства

государственного пенсионного

страхования (СНИЛС) владельца

сертификата, заверенная организацией;

5. Копия паспорта владельца сертификата,

заверенная организацией.


Аннулирование

сертификата

Заявление на аннулирование сертификата

ключа проверки электронной подписи.





Приостановление

действия сертификата

Заявление на приостановление действия

сертификата ключа проверки электронной

подписи.





Предоставление информации по

телефону

Возобновление действия


Заявление на возобновление действия

сертификата ключа проверки электронной

подписи.





Подтверждение

получения сертификата

Бланк сертификата ключа проверки

электронной подписи на бумажном

носителе.





Предоставление сервиса

OCSP

OCSP-запрос Предоставление OCSP запроса

Предоставление сервиса

TSP

TSP-запрос Предоставление TSP запроса

В общем виде, предоставление пакета документов осуществляется после

направления в адрес РУЦ АО подписанных и скрепленных печатью документов

в электронном виде.

Авторизация пользователей РУЦ АО для совершения тех или иных

действий осуществляется в соответствии с документами, представленными

заявителем, и документами пользователя РУЦ АО, хранящимися в реестре РУЦ

АО, и имеет некоторые особенности.

36

5.2.1.1 Процедура «Предоставление информации при личной явке»

Администратор РУЦ АО аутентифицирует пользователя РУЦ АО путем

проверки документа, удостоверяющего личность, и в случае, если

пользователем РУЦ АО является юридическое лицо, - документа,

подтверждающего правомочия обращаться в РУЦ АО от имени юридического

лица.

Проверка полномочий представителя юридического лица, имеющего

право действовать без доверенности от имени юридического лица,

осуществляется на основании учредительных документов юридического лица и

документов, подтверждающих его избрание (назначение), составленные в

соответствии с порядком избрания (назначения), установленным уставом

юридического лица.

Проверка полномочий представителя юридического лица, действующего

по доверенности юридического лица, осуществляется на основании

учредительных документов юридического лица и доверенности от имени

юридического лица за подписью его руководителя или иного лица,

уполномоченного на это его учредительными документами, с приложением

оттиска печати этой организации.

5.2.1.2 Процедура «Предоставление информации доверенным лицом»

Аутентификация доверенного лица пользователя РУЦ АО

осуществляется путем проверки документа, удостоверяющего личность, и

доверенности, подтверждающей право заявителя действовать от имени

пользователя РУЦ АО, образец которой приведен в Приложение №2.

Доверенность доверенного лица, наделенного правом получения ключевого

носителя и сертификата ключа проверки электронной подписи.

Аутентификация пользователя РУЦ АО осуществляется способом,

описанным в пункте 5.2.1.1 Процедура «Предоставление информации при

личной явке».

37

5.2.1.3 Процедура «Предоставление информации почтовым сообщением»

Аутентификация автора почтового отправления осуществляется

способом, описанным в пункте 5.2.1.1 Процедура «Предоставление

информации при личной явке».

5.2.1.4 Процедура «Предоставление информации по e-mail»

Процедура используется для предварительной проверки пакета

документов, направляемых в РУЦ АО в бумажном виде.

Аутентификация автора e-mail сообщения осуществляется способом,

описанным в пункте 5.2.1.1 Процедура «Предоставление информации при

личной явке».

5.2.1.5 Процедура «Предоставление информации по телефону»

При подозрении на компрометацию ключа ЭП пользователь РУЦ АО

может обратиться в РУЦ АО по телефону для осуществления приостановления

действия сертификата. При этом аутентификация пользователя РУЦ АО

осуществляется по совокупности представленных им данных:

Серийный номер сертификата и данные владельца сертификата,

действие которого нужно остановить;

Срок, на который приостанавливается действие сертификата;

Ключевую фразу пользователя РУЦ АО, содержащуюся в памятке

клиента.

После проверки состава и комплектности соответствующего подпроцессу

пакета документов, администратор РУЦ АО регистрирует полученные

документы в соответствии с инструкцией и переходит к оказанию необходимой

услуги, либо сообщает руководителю РУЦ АО, который принимает решение об

отказе в приеме документов.

5.2.2 Подпроцесс «Присоединение к Регламенту»

Данный подпроцесс регламентирует порядок установления

правоотношений между РУЦ АО и его пользователями.

38

Входящая информация поступает из подпроцесса «Предоставление

информации в РУЦ АО», исходящая информация поступает в подпроцесс

«Получение информации из РУЦ АО».

Администратор РУЦ АО проверяет право пользователя РУЦ АО на

присоединение к Регламенту в соответствии с законодательством,

дополнительными соглашениями РУЦ АО и данными бухгалтерского отдела.

В случае наличия возможности установления правоотношений между

РУЦ АО и заявителем, администратор РУЦ АО регистрирует Заявление на

присоединение к Регламенту, скрепляет печатью и передает его заявителю.

В противном случае комплект документов заявителя возвращается с

объяснением причины невозможности присоединения к Регламенту РУЦ АО.

5.2.3 Подпроцесс «Создание сертификата»

Данный подпроцесс регламентирует порядок создания сертификатов в

РУЦ АО.




Администратор РУЦ АО проверяет возможность создания сертификата

для данного пользователя РУЦ АО. В случае наличия возможности

изготовления запрошенного сертификата для данного пользователя РУЦ АО,

администратор в соответствии с инструкцией создает ключ ЭП и сертификат на

ключевом носителе, соответствующий формату, определенному в 6.1.

Структура сертификата ключа проверки электронной подписи.

Администратор распечатывает две копии сертификата на бумажном

носителе по форме, определенной в пункте

6.3. Формат СКП ЭП на бумажном носителе, заверяет их личной

подписью и печатью.

Администратор РУЦ АО распечатывает памятку клиента, содержащую

пин-код на ключевой контейнер, ключевую фразу и руководство по

обеспечению безопасности использования электронной подписи и средств

39

квалифицированной ЭП. Памятка клиента и ключевой носитель, содержащий

СКП ЭП и ключ ЭП, упаковываются в конверт.

Администратор РУЦ АО приостанавливает действие сертификата до

подтверждения получения пользователем РУЦ АО комплекта документов, за

исключением предоставления информации при личной явке пользователем

РУЦ АО.

5.2.4 Подпроцесс «Аннулирование сертификата»

Данный подпроцесс регламентирует порядок аннулирования

сертификатов в РУЦ АО.




РУЦ АО должен официально уведомить пользователя РУЦ АО и всех

лиц, зарегистрированных в РУЦ АО, об аннулировании сертификата не позднее

одного рабочего дня с момента наступления описанного события.

РУЦ АО аннулирует сертификат пользователя РУЦ АО в следующих

случаях:

• по заявлению на аннулирование сертификата ключа проверки

электронной подписи пользователя РУЦ АО;

• по заявлению руководителя предприятия/организации пользователя

РУЦ АО в случае отзыва доверенности пользователя РУЦ АО или

изменения его полномочий;

• по истечении срока, на который действие сертификата было

приостановлено, аннулирование производится автоматически;

• на основании решения РУЦ АО в случае прекращения действия

договорных отношений в отношении стороны, присоединившейся к

Регламенту;

• при компрометации ключа ЭП уполномоченного лица РУЦ АО.

Временем аннулирования сертификата пользователя РУЦ АО

признается время компрометации ключа уполномоченного лица

РУЦ АО, фиксирующееся в реестре РУЦ АО.

40

Администратор РУЦ АО осуществляет обработку заявления на

аннулирование сертификата ключа проверки электронной подписи и вносит

информацию об аннулировании в реестр РУЦ АО. Обработка заявления на

аннулирование ключа проверки электронной подписи должна быть

осуществлена не позднее рабочего дня следующего за рабочим днем, в течение

которого указанное заявление было принято РУЦ АО.

5.2.5 Подпроцесс «Приостановление действия сертификата»

Данный подпроцесс регламентирует порядок приостановления действия

сертификатов РУЦ АО.




УЦ приостанавливает действие сертификата пользователя РУЦ АО в

следующих случаях:

• по заявлению на приостановление действия сертификата ключа

проверки электронной подписи пользователя РУЦ АО;

• по заявлению пользователя РУЦ АО в устной форме по телефону;

• в иных случаях, предусмотренных положениями настоящего

Регламента, по решению РУЦ АО.

Обработка заявления на приостановление действия сертификата ключа

проверки электронной подписи в бумажной форме должна быть осуществлена

администратором РУЦ АО не позднее рабочего дня следующего за рабочим

днём, в течение которого заявление было принято РУЦ АО.

Администратор РУЦ АО приостанавливает действие СКП ЭП

пользователя РУЦ АО и заносит информацию об этом в реестр РУЦ АО.

Действие сертификата приостанавливается на исчисляемый в днях срок.

Минимальный срок приостановления действия сертификата составляет 30

(тридцать) дней.

Если в течение срока приостановления действия сертификата действие

этого сертификата не будет возобновлено, то данный сертификат аннулируется

РУЦ АО.

41

5.2.6 Подпроцесс «Возобновление действия сертификата»

Данный подпроцесс регламентирует порядок возобновления действия





Администратор РУЦ АО возобновляет действие сертификата

пользователя РУЦ АО и вносит информацию об этом в реестр РУЦ АО по

заявлению на возобновление действия сертификата ключа проверки

электронной подписи пользователя РУЦ АО. Заявление на возобновление

действия сертификата ключа проверки электронной подписи должно быть

подано в РУЦ АО до истечения срока приостановления соответствующего

сертификата.

Возобновление действия сертификата и официальное уведомление о

возобновлении действия сертификата должны быть осуществлены не позднее

рабочего дня следующего за рабочим днем, в течение которого было подано

заявление в РУЦ АО.

5.2.7 Подпроцесс «Подтверждение получения сертификата»

Данный подпроцесс регламентирует порядок подтверждения получения





После получения сертификата пользователь РУЦ АО должен

ознакомиться с содержанием сертификата, подписать две копии сертификата на

бумажном носителе и отправить их в РУЦ АО в соответствии с подпроцессом

«Предоставление информации в РУЦ АО».

Администратор РУЦ АО при получении бумажной копии сертификата,

подписанной пользователем РУЦ АО, сверяет полученные данные с данными

из реестра РУЦ АО. В случае если данные в бумажной копии сертификата

42

верны, администратор РУЦ АО сохраняет её в архиве РУЦ АО и переходит к

подпроцессу «Возобновление действия сертификата».

В случае если данные в полученных документах не совпадают с данными

в реестре РУЦ АО, администратор РУЦ АО сообщает об этом Руководителю

РУЦ АО, который принимает решение об отказе в принятии документов.

В случае поступления в РУЦ АО почтового/электронного сообщения,

содержащего иную информацию, обработка данных почтовых/электронных

сообщений производится Руководителем РУЦ АО по правилам обработки

входящих сообщений почты.

5.2.8 Подпроцесс «Предоставление сервиса OCSP»

Данный подпроцесс регламентирует порядок предоставления сервиса

OCSP РУЦ АО.




Администратор РУЦ АО отвечает за предоставление ответов службой

OCSP в соответствии с процедурой 5.2.9.4 Процедура «Получение ответа OCSP

сервиса»

5.2.9 Подпроцесс «Предоставление сервиса TSP»

Данный подпроцесс регламентирует порядок предоставления сервиса TSP

РУЦ АО.




Администратор РУЦ АО отвечает за предоставление ответов службой

TSP в соответствии с процедурой 5.2.9.5 Процедура «Получение ответа TSP

сервиса».

5.2.9 Подпроцесс «Получение информации из РУЦ АО»

Данный подпроцесс регламентирует порядок получения информации из

РУЦ АО после создания сертификата, аннулирования сертификата,

приостановления действия сертификата, возобновления действия сертификата,

43

подтверждения получения сертификата, получения сервиса OCSP или

получения сервиса TSP.

Пользователь РУЦ АО получает информацию из РУЦ АО в виде:

• сертификата в бумажном виде;

• ключа ЭП и сертификата на ключевом носителе;

• памятки клиента с ключевой фразой, пин-кодом и руководством по

обеспечению безопасности использования квалифицированной

электронной подписи и средств квалифицированной электронной

подписи в бумажном виде;

• ответов на обращения к списку отозванных сертификатов по

протоколам HTTP/HTTPS;

• ответов на обращения по протоколу OCSP;

• ответов на обращения по протоколу TSP.

Пользователь РУЦ АО получает информацию из РУЦ АО посредством

выполнения процедур:

• получения информации при личной явке;

• получения информации почтовым сообщением;

• получения информации через доверенное лицо;

• получения информации из списков отозванных сертификатов;

• получения ответа на OCSP запрос;

• получения ответа на TSP запрос.

Подпроцессы Выходные данные Процедура

Присоединение к Регламенту

Подписанное Заявление о

присоединении к Регламенту;

Получение информации при


Получение информации


Создание сертификата

1. Два экземпляра СКП ЭП в

бумажном виде;

2. Ключ ЭП и СКП ЭП на ключевом

носителе;

3. Памятка клиента с ключевой

фразой, пин-кодом и

руководством по обеспечению

безопасности использования

квалифицированной ЭП и средств

квалифицированной ЭП.

Получение информации при


Получение информации


44

Подпроцессы Выходные данные Процедура

Предоставление сервиса OCSP OCSP-запрос Получение ответа на OCSP запрос

Предоставление сервиса TSP TSP-запрос Получение ответа на TSP запрос

5.2.9.1 Процедура «Получение информации при личной явке»

Процедура «Получение информации при личной явке» определяет

порядок получения информации пользователем РУЦ АО от РУЦ АО после

выполнения процедур «Создание сертификата» и «Присоединение к

Регламенту».

Администратор РУЦ АО возвращает пользователю РУЦ АО один

экземпляр подписанного и скрепленного печатью Заявление на присоединение

к Регламенту.

После выполнения подпроцесса «Создание сертификата» администратор

РУЦ АО аутентифицирует посетителя и проверяет документ удостоверяющий

личность.

Администратор РУЦ АО выдает пользователю РУЦ АО комплект

документов, который в себя включает:

• два экземпляра СКП ЭП в бумажном виде;

• ключ ЭП и СКП ЭП на ключевом носителе;

• памятка клиента с ключевой фразой, пин-кодом и руководством по

обеспечению безопасности использования квалифицированной ЭП

и средств квалифицированной ЭП.

Пользователь РУЦ АО подписывает один экземпляр сертификата в

бумажном виде и передает его администратору РУЦ АО.

Администратор РУЦ АО сохраняет в архиве РУЦ АО экземпляр

сертификата в бумажном виде, подписанный пользователем РУЦ АО.

5.2.9.2 Процедура «Получение информации доверенным лицом»

Процедура «Получение информации доверенным лицом» определяет

порядок получения информации пользователем РУЦ АО от РУЦ АО после

окончания подпроцесса «Создание сертификата».

45

Входящая информация поступает из подпроцесса «Создание

сертификата». Выходная информация передаётся в подпроцесс

«Подтверждение получения сертификата».

Администратор РУЦ АО аутентифицирует посетителя и проверяет

документ удостоверяющий личность, а также доверенность доверенного лица,

наделённого правом получения ключевого носителя и СКП ЭП.

Администратор РУЦ АО выдаёт доверенному лицу комплект документов

для пользователя РУЦ АО, который в себя включает:

• два экземпляра СКП ЭП в бумажном виде;

• ключ ЭП и СКП ЭП на ключевом носителе;

• памятка клиента с ключевой фразой, пин-кодом и руководством по

обеспечению безопасности использования квалифицированной ЭП

и средств квалифицированной ЭП.

Доверенное лицо передаёт пользователю РУЦ АО комплект документов.

Пользователь РУЦ АО после получения документов из РУЦ АО

подписывает сертификаты. Один подписанный оригинал сертификата

пользователь РУЦ АО отправляет по почте в РУЦ АО в соответствии с

процедурой «Предоставление информации почтовым сообщением».

5.2.9.3 Процедура «Получение информации из списков отозванных

сертификатов»

Процедура «Получение информации из списков отозванных

сертификатов» определяет порядок получения информации от РУЦ АО после

окончания подпроцессов «Приостановления действия сертификата»,

«Аннулирования сертификата», «Возобновления действия сертификата».

Входящая информация поступает из подпроцессов «Приостановления

действия сертификата», «Аннулирования сертификата», «Возобновления

действия сертификата».

Пользователь РУЦ АО получает информацию о статусе сертификата из

опубликованных на серверах РУЦ АО списков отозванных сертификатов

(СОС).

46

Официальным уведомлением о факте аннулирования, приостановления

или возобновления действия сертификата является опубликование первого

(наиболее раннего) списка отозванных сертификатов, содержащего сведения об

отозванном сертификате, и изданного не ранее времени наступления

произошедшего случая. Временем аннулирования приостановления или

возобновления действия сертификата признается время издания указанного

списка отозванных сертификатов, хранящееся в поле thisUpdate списка

отозванных сертификатов.

Период публикации СОС составляет 1 (один) день.

Информация о размещении списка отозванных сертификатов заносится в

изданные РУЦ АО сертификаты ключей подписей в расширение CRL

Distribution Point сертификата ключа проверки электронной подписи.

5.2.9.4 Процедура «Получение ответа OCSP сервиса»


сервиса OCSP».

Пользователь РУЦ АО получает информацию о статусе сертификата из

ответа на OCSP запрос. OCSP-ответы представляются в форме ЭД,

подписанного ЭП с использованием сертификата Службы актуальных статусов

сертификатов (Оператора Службы актуальных статусов сертификатов).

OCSP-ответ признается действительным при одновременном выполнении

следующих условий:

• подтверждена подлинность ЭП Службы актуальных статусов

сертификатов (Оператора Службы актуальных статусов

сертификатов) в OCSP-ответе;

• сертификат Службы актуальных статусов сертификатов (Оператора

Службы актуальных статусов сертификатов) на момент

подтверждения подлинности ЭП OCSP-ответа действителен;

• ключ ЭП Службы актуальных статусов сертификатов (Оператора

Службы актуальных статусов сертификатов) на момент формирования

OCSP-ответа действителен;

47

• сертификат Службы актуальных статусов сертификатов (Оператора

Службы актуальных статусов сертификатов) содержит в расширении

Extended Key Usage область использования - Подпись ответа службы

OCSP (1.3.6.1.5.5.7.3.9);

5.2.9.5 Процедура «Получение ответа TSP сервиса»


сервиса TSP».

Пользователь РУЦ АО получает информацию о штампе времени

сертификата из ответа на TSP запрос.

Служба штампов времени по запросам пользователей РУЦ АО формирует

и предоставляет пользователям РУЦ АО штампы времени. Штамп времени,

относящийся к подписанному ЭП ЭД, признается действительным при

одновременном выполнении следующих условий:

• подтверждена подлинность ЭП Службы штампов времени (Оператора

Службы штампов времени) в штампе времени;

• сертификат Службы штампов времени (Оператора Службы штампов

времени) на момент подтверждения подлинности ЭП штампа времени

действителен;

• ключ ЭП Службы штампов времени (Оператора Службы штампов

времени) на момент формирования штампа времени действителен;

• сертификат Службы штампов времени (Оператора Службы штампов

времени) содержит в расширении Extended Key Usage область

использования - Установка штампа времени (1.3.6.1.5.5.7.3.8);

5.3 Ведение журналов

Используемые или хранимые СКЗИ, эксплуатационная и техническая

документация к ним, ключевые документы подлежат поэкземплярному учету

по установленным формам. При этом программные СКЗИ должны учитываться

совместно с аппаратными средствами, с которыми осуществляется их штатное

функционирование. Если аппаратные или аппаратно-программные СКЗИ

подключаются к системной шине или к одному из внутренних интерфейсов

48

аппаратных средств, то такие СКЗИ учитываются также совместно с

соответствующими аппаратными средствами.

Единицей поэкземплярного учета ключевых документов считается

ключевой носитель многократного использования. Если один и тот же

ключевой носитель многократно используют для записи ключей, то его каждый

раз следует регистрировать отдельно.

Пользователи РУЦ АО ведут у себя «Журнал поэкземплярного учета

СКЗИ, эксплуатационной и технической документации к ним, ключевых

документов (форма 2)» (Приложение №16).

РУЦ АО ведет у себя «Журнал поэкземплярного учета СКЗИ,

эксплуатационной и технической документации к ним, ключевых документов

(форма 1)» (Приложение №15). Помимо этого РУЦ АО ведет у себя другие

журналы (в том числе и в электронном виде), необходимые для

протоколирования происходящих процессов в РУЦ АО, ведения

делопроизводства и для его надлежащего функционирования.

5.4 Архивное хранение

Документы, подлежащие архивному хранению.

1) Архивному хранению подлежат следующие документы РУЦ АО:

а) аннулированные СКП ЭП уполномоченного лица РУЦ АО;

б) копии свидетельств о государственной регистрации и о постановке

организации (пользователей РУЦ АО) на налоговый учет;

в) аннулированные СКП ЭП пользователей РУЦ АО;

г) регистрационные карты пользователей РУЦ АО;

д) заявления на изготовление СКП ЭП;

е) заявления на аннулирование (отзыв) СКП ЭП;

ж) заявления на приостановление действия СКП ЭП;

з) заявления на возобновление действия СКП ЭП;

и) служебные документы РУЦ АО.

2) Документы РУЦ АО на бумажных носителях, в том числе и СКП ЭП

пользователей РУЦ АО, хранятся в порядке, установленном

законодательством РФ об архивах и архивном деле.

49

Документы, подлежащие архивному хранению, являются документами

временного хранения. Срок хранения архивных документов – 5 (пять) лет.

Выделение архивных документов к уничтожению и уничтожение

осуществляется комиссией, формируемой из числа сотрудников РУЦ АО.

50

6. СТРУКТУРЫ СЕРТИФИКАТОВ КЛЮЧЕЙ ПРОВЕРКИ

ЭЛЕКТРОННОЙ ПОДПИСИ И СПИСКОВ ОТОЗВАННЫХ СЕРТИФИКАТОВ

6.1. Структура сертификата ключа проверки электронной подписи

РУЦ АО издает СКП ЭП пользователей РУЦ АО в электронной форме

формата X.509 версии 3 и СОС в электронной форме формата X.509 версии 2.

РУЦ АО издает СКП ЭП пользователей в соответствии со следующими

требованиями и рекомендациями:

Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной

подписи»;

Приказ ФСБ РФ от 27 декабря 2011 г. N 795 "Об утверждении

Требований к форме квалифицированного сертификата ключа

проверки электронной подписи";

Методические рекомендации по разработке электронных сервисов

и применению технологии электронной подписи при

межведомственном электронном взаимодействии. Версия 2.4.4;

Методические рекомендации Минкомсвязи России по составу

квалифицированного сертификата ключа проверки электронной

подписи Версия 1.9.

Общий вид состава СКП ЭП приведен в Приложение №11. Формат

сертификата ключа проверки электронной подписи.

Состав СКП ЭП пользователя может быть дополнен в рамках

необязательных полей владельцем корпоративной информационной системы.

6.2. Структура списка отозванных СКП ЭП

Поле Описание

Базовые поля

Version Версия (2)

signatureAlgorithm алгоритм электронной подписи уполномоченного лица удостоверяющего

центра (ГОСТ Р 34.11/34.10-2001)

signatureValue значение электронной подписи уполномоченного лица удостоверяющего

центра

Issuer уникальное имя (Distinguished name, далее – DN)

удостоверяющего центра

thisUpdate Дата издания данного списка отозванных сертификатов

nextUpdate Дата следующего обновления списка отозванных

Сертификатов

userCertificate Уникальный номер отозванного сертификата

revocationDate Дата отзыва сертификата

51

reasonCode Код причины отзыва сертификата

"0" Не указан

"1" Компрометация ключа

"2" Компрометация ЦС

"3" Изменение принадлежности

"4" Сертификат заменен

"5" Прекращение работы

"6" Приостановка действия

Расширения списка отозванных сертификатов

Authority Key Identifier

(OID.2.5.29.35)

Идентификатор ключа уполномоченного лица удостоверяющего центра

szOID_CERTSRV_CA_VERSION

(OID.1.3.6.1.4.1.311.21.1)

Версия сертификата уполномоченного лица удостоверяющего центра

szOID_CRL_NUMBER

(OID.2.5.29.20)

Порядковый номер списка отозванных сертификатов

szOID_CRL_NEXT_PUBLISH

(OID.1.3.6.1.4.1.311.21.4)

Дата следующей публикации списка отозванных

сертификатов

6.3. Формат СКП ЭП на бумажном носителе

Государственное бюджетное учреждение

"Центр информационных технологий Амурской области"

Региональный удостоверяющий центр Амурской области

Cертификат открытого ключа

Сведения о сертификате:

Этот сертификат:

Подтверждает удаленному компьютеру идентификацию вашего компьютера

Защищает сообщения электронной почты

Кому выдан:

Иванов Иван Иванович

Кем выдан:

УЦ ГБУ ЦИТ Амурской области

Действителен с 5 марта 2013 г. 2:37:00 UTC по 5 июня 2014 г. 2:52:00 UTC Версия: 3 (0x2)

Серийный номер: 4709 1614 0000 0000 0016

Издатель сертификата: CN = РУЦ АО ГБУ ЦИТ Амурской области, OU = Отдел информационной безопасности, O = ГБУ Центр

информационных технологий Амурской области, STREET = ул. Ленина д. 135, L = Благовещенск, S = 28 Амурская область, C =

RU, E = [email protected], ОГРН = 1102801004789, ИНН = 002801150749

Срок действия:

Действителен с: 5 марта 2013 г. 2:37:00 UTC

Действителен по: 5 июня 2014 г. 2:52:00 UTC

Владелец сертификата: SN = Иванов, G = Иван Иванович, T = директор, STREET = г Москва ул. Ленина д 75, CN = Иванов

Иван Иванович, OU = отдел сбыта, O = ГБУ Центр мира, L = г Москва, S = г Москва, C = RU, E = [email protected], ИНН = 002801150749, ОГРН = 1102801004789, СНИЛС = 12345678910

Открытый ключ:

Алгоритм открытого ключа:

Название: ГОСТ Р 34.10-2001

Идентификатор: 1.2.643.2.2.19

Параметры: 30 12 06 07 2a 85 03 02 02 24 00 06 07 2a 85 03 02 02 1e 01

Значение: 0440 8872 1AC8 9A8C CCD9 307C 9430 2120 F5FC 6F17 5A73 C6E7 F76E 9BAD BE68 CD7F 5DC0 8EA3 D6CF D877 CAD5

5346 918A D35F D60A AB77 1BDE E8B9 3037 59F3 98BB BCC9 0F63

Расширения сертификата X.509 1. Расширение 2.5.29.15 (критическое)

Название: Использование ключа

Значение: Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных (f0)

2. Расширение 2.5.29.37

Название: Улучшенный ключ

Значение: Класс средств РУЦ АО КС1 (1.2.643.100.114.1) Класс средств РУЦ АО КС2 (1.2.643.100.114.2) Пользователь Центра

Регистрации, HTTP, TLS клиент (1.2.643.2.2.34.6) Проверка подлинности клиента (1.3.6.1.5.5.7.3.2) Защищенная электронная

почта (1.3.6.1.5.5.7.3.4)


Название: Идентификатор ключа субъекта Значение: 58 f1 29 6c 6c a3 93 af 1c d8 22 44 d7 18 98 ba 6e 46 9b 78


Название: Идентификатор ключа центра сертификатов

Значение: Идентификатор ключа=a9 cd 11 c3 86 24 4f 85 7c d8 ed 7c 5c 8d 80 38 d9 0b 3d df Поставщик сертификата: Адрес

каталога: CN=УЦ ГБУ ЦИТ Амурской области OU=Отдел информационной безопасности O=ГБУ Центр информационных

технологий Амурской области STREET=ул. Ленина д. 135 L=Благовещенск S=28 Амурская область C=RU [email protected]

ОГРН=1102801004789 ИНН=002801150749 Серийный номер сертификата=77 45 57 5b d1 73 fe 97 41 07 16 7e 08 c1 ac 56


52

Название: Точки распространения списков отзыва (CRL)

Значение: [1]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя: URL=http://ca.amur-

cit.ru/rca_amur_root(q).crl [2]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя:

URL=http://ca.amurobl.ru/rca_amur_root(q).crl

6. Расширение 1.3.6.1.5.5.7.1.1

Название: Доступ к информации о центрах сертификации

Значение: [1]Доступ к сведениям центра сертификации Метод доступа=Протокол определения состояния сертификата через сеть

(1.3.6.1.5.5.7.48.1) Дополнительное имя: URL=http://ca.amur-cit.ru/ocsp.srf [2]Доступ к сведениям центра сертификации Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1) Дополнительное имя:

URL=http://ca.amurobl.ru/ocsp.srf [3]Доступ к сведениям центра сертификации Метод доступа=Поставщик центра сертификации

(1.3.6.1.5.5.7.48.2) Дополнительное имя: URL=http://ca.amur-cit.ru/ocsp.srf [4]Доступ к сведениям центра сертификации Метод

доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2) Дополнительное имя: URL=http://ca.amur-

cit.ru/rca_amur_root(q).crt [5]Доступ к сведениям центра сертификации Метод доступа=Поставщик центра сертификации

(1.3.6.1.5.5.7.48.2) Дополнительное имя: URL=http://ca.amurobl.ru/ocsp.srf


Название: Период использования закрытого ключа

Значение: Действителен с 5 марта 2013 г. 12:37:00 Действителен по 5 июня 2014 г. 12:37:00 8. Расширение 2.5.29.32

Название: Политики сертификата

Значение: [1]Политика сертификата: Идентификатор политики=Класс средства ЭП КС1 [2]Политика сертификата:

Идентификатор политики=Класс средства ЭП КС2

9. Расширение 1.2.643.100.111

Название: Средство электронной подписи владельца

Значение: Средство электронной подписи: "КриптоПро CSP" (версия 3.6)

10. Расширение 1.2.643.100.112

Название: Средства электронной подписи и РУЦ АО издателя

Значение: Средство электронной подписи: "КриптоПро CSP" (версия 3.6) Заключение на средство ЭП: СФ/124-1543 от 04 октября 2010 г. Средство РУЦ АО: "Удостоверяющий центр "КриптоПро РУЦ АО" версии 1.5 Заключение на средство РУЦ АО:

СФ/128-1822 от 01 июня 2012 г.

Подпись Удостоверяющего центра:

Алгоритм подписи:

Название: ГОСТ Р 34.11/34.10-2001

Идентификатор: 1.2.643.2.2.3

Значение: F495 AC03 5F59 0ABF 0C8E B8F2 272D 01BC AF88 314D 46A2 A643 4F83 7281 70A1 A11C 4E24 256F 6FC3 6BA4 5DA1

96B3 C03D 1C0E 4DCF A161 8064 8D4D C4DA C3BC 408A DFE2

Подпись владельца сертификата: ___________/_______________

Подпись уполномоченного лица РУЦ АО: ___________/_______________

"___" ________ 20__ г. М. П.

Средство криптографической защиты информации "КриптоПро CSP"

53

7. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИИ РУЦ АО

7.1. Инженерно-технические меры защиты информации

7.1.1. Размещение технических средств РУЦ АО

Технические средства РУЦ АО и телекоммуникационное оборудование

размещены в выделенном помещении (далее по тексту – серверное помещение

или ЦОД). Сервера удостоверяющего центра и телекоммуникационное

оборудование размещаются в отдельном шкафу-стойке. Остальные технические

средства РУЦ АО размещаются в рабочих помещениях РУЦ АО по схеме

организации рабочих мест персонала.

7.1.2. Физический доступ в помещения

Серверное помещение, а также рабочие и служебные помещения РУЦ АО

оборудованы системой контроля доступа. Регламенты доступа в выделенные

помещения утверждены приказами руководителя ГБУ ЦИТ АО.

Рабочие и служебные помещения РУЦ АО кроме системы контроля

доступа оборудованы механическими замками. Ключи механических замков

рабочих помещений РУЦ АО хранятся на круглосуточном посту охраны и

выдаются сотрудникам РУЦ АО под роспись в журнале.

7.1.3. Электроснабжение и кондиционирование воздуха

Технические средства РУЦ АО подключены к общегородской сети

электроснабжения через устройства бесперебойного электропитания,

обеспечивающие их работу в течение 1,5 часов после прекращения основного

электропитания. Электрические сети и электрооборудование, используемые в

РУЦ АО, отвечают требованиям действующих «Правил устройства

электроустановок», «Правил технической эксплуатации электроустановок

потребителей», «Правил техники безопасности при эксплуатации

электроустановок потребителей». Технические средства, эксплуатируемые на

рабочих местах сотрудников РУЦ АО, также оборудуются источниками

бесперебойного питания.

Серверное помещение оборудовано средствами вентиляции и

кондиционирования воздуха, обеспечивающими соблюдение установленных

54

параметров температурно-влажностного режима, вентиляции и очистки

воздуха.

Рабочие и прочие служебные помещения РУЦ АО оборудованы

средствами вентиляции и кондиционирования воздуха.

7.1.4. Подверженность воздействию влаги

Защита серверов удостоверяющего центра и телекоммуникационного

оборудования от воздействия влаги обеспечивается их размещением в шкафу-

стойке.

7.1.5. Предупреждение и защита от возгорания

Серверное помещение РУЦ АО оборудовано системой пожарной

сигнализации и газового пожаротушения. Необходимые для эксплуатации

серверного помещения документы по пожарной безопасности утверждены

приказами руководителя ГБУ ЦИТ АО и согласованы с арендодателем.

7.1.6. Хранение документированной информации

Документальный фонд РУЦ АО, как фондообразователя, подлежит

хранению в соответствии с действующим законодательством Российской

Федерации по делопроизводству и архивному делу.

7.1.7. Уничтожение документированной информации

Выделение к уничтожению и уничтожение документов, не подлежащих

архивному хранению, осуществляется сотрудниками РУЦ АО,

обеспечивающими документирование.

7.2. Программно-аппаратные меры защиты информации

7.2.1. Организация доступа к техническим средствам РУЦ АО

Доступ к техническим средствам РУЦ АО, размещенным в серверном

помещении, осуществляется с использованием системы контроля доступа.

Организация доступа к техническим средствам РУЦ АО, размещенных на

рабочих местах сотрудников РУЦ АО, возлагается на сотрудников РУЦ АО,

ответственных за эксплуатацию данных технических средств и перечисленных

в списке, утверждённом руководителем ГБУ ЦИТ АО.

55

7.2.2. Организация доступа к программным средствам РУЦ АО

Рабочие места сотрудников РУЦ АО, на которых эксплуатируются

программные приложения удостоверяющего центра оснащены программно-

аппаратными комплексами защиты от несанкционированного доступа.

Доступ системных администраторов общесистемного программного

обеспечения серверов удостоверяющего центра для выполнения регламентных

работ осуществляется в присутствии сотрудников РУЦ АО, отвечающих за

эксплуатацию соответствующего прикладного программного обеспечения.

Перечень сотрудников, имеющих доступ к программно-аппаратным

комплексам удостоверяющего центра утверждён приказом руководителя ГБУ

ЦИТ АО.

7.2.3. Контроль целостности программного обеспечения

Контролю целостности подлежат следующие программные компоненты

из состава программного обеспечения, эксплуатируемого РУЦ АО:

- программные модули средств ЭП и СКЗИ;

- программные модули серверного ПО удостоверяющего центра.

Состав программных модулей, подлежащих контролю целостности,

определяется внутренним документом РУЦ АО, утверждаемый руководителем

РУЦ АО.

Контроль целостности программных модулей средств ЭП и СКЗИ

осуществляется средствами ЭП, СКЗИ и СЗИ от НСД. Периодичность

выполнения мероприятий по контролю целостности – ежеквартально.

Ответственность за выполнение мероприятий по контролю целостности

программных средств возложена на руководителя РУЦ АО.

7.2.4. Контроль целостности технических средств

Контроль целостности технических средств РУЦ АО обеспечивается

ограничением физического доступа в серверное помещение. Ответственность

за выполнение мероприятий по контролю целостности технических средств

возложена на руководителя РУЦ АО.

56

7.2.5. Защита внешних сетевых соединений

Защита конфиденциальной информации, передаваемой между

программно-техническими средствами обеспечения деятельности РУЦ АО и

программными средствами, предоставляемыми РУЦ АО пользователям, в

процессе обмена документами в электронной форме, осуществляется путем

шифрования информации с использованием шифровальных

(криптографических) средств, сертифицированных в соответствии с

действующим законодательством Российской Федерации. В качестве

шифровальных (криптографических) средств пользователей РУЦ АО,

используемых для защиты конфиденциальной информации, используется

средство ЭП РУЦ АО. Защита программно-технических средств обеспечения

деятельности РУЦ АО от несанкционированного доступа по внешним сетевым

соединениям осуществляется путем использования межсетевого экрана.

7.2.6. Перечень информации, подлежащей защите

Поступающая в РУЦ АО информация:

- заявление на регистрацию в электронной форме;

- заявление на изготовление СКП ЭП в электронной форме;

- заявление на аннулирование (отзыв) СКП ЭП в электронной форме;

- заявление на приостановление действия СКП ЭП в электронной

форме;

- заявление на возобновление действия СКП ЭП в электронной форме;

- пароль, передаваемый пользователем РУЦ АО при аутентификации по

паролю;

- ключевая фраза пользователя РУЦ АО.

Передаваемая из РУЦ АО информация:

- пароль, передаваемый пользователю РУЦ АО для аутентификации по

паролю;

- список СКП ЭП пользователей РУЦ АО и их статус;

- список запросов на СКП ЭП и их статус;

- список запросов на аннулирование (отзыв), приостановление и

возобновление действия СКП ЭП пользователя РУЦ АО и их статус.

57

7.2.7. Резервирование информации и восстановление после аварий

Для обеспечения функциональности РУЦ АО необходимо ежесуточно

проводить резервное копирование данных РУЦ АО.

Перечень данных РУЦ АО, подлежащих резервному копированию,

включает в себя:

- СКП ЭП уполномоченного лица РУЦ АО в электронном виде;

- базы данных служб программного комплекса РУЦ АО, включая

журнал выданных СКП ЭП и очередь запросов;

- журналы аудита компонент РУЦ АО в составе, определенном

эксплуатационной документацией РУЦ АО.

В случае компрометации ключа ЭП уполномоченного лица РУЦ АО,

используемого для подписи СКП ЭП и СОС, деятельность РУЦ АО должна

быть остановлена.

Для восстановления работы РУЦ АО необходимо:

- повторно произвести формирование ключа ЭП и СКП ЭП центра

сертификации;

- произвести выпуск новых СКП ЭП всех пользователей;

- обеспечить получение новых СКП ЭП пользователями РУЦ АО.

В случае повреждения оборудования центра сертификации вследствие

каких-либо бедствий, РУЦ АО должен принять все возможные меры для

скорейшего восстановления своей работоспособности. Приоритет должен быть

отдан возможности отзыва СКП ЭП и выпуска СОС. В случае невозможности

восстановления функции отзыва СКП ЭП до окончания срока действия СОС,

РУЦ АО должен объявить свои ключи скомпрометированными.

7.3. Организационно-правовые меры защиты информации

7.3.1. Предъявляемые требования к персоналу РУЦ АО

Уполномоченное лицо РУЦ АО имеет высшее профессиональное

образование и профессиональную подготовку в области информационной

безопасности, а также стаж работы в этой области более 5 лет. Сотрудники

РУЦ АО имеют высшее профессиональное образование и прошли курсы

повышения квалификации в области информационной безопасности.

58

7.3.2. Профессиональная переподготовка и повышение

квалификации персонала

Сотрудники РУЦ АО осуществляют повышение квалификации в областях

знаний согласно занимаемым должностям не реже одного раза в 2 года.

7.3.3. Организация сменной работы

Деятельность по работе с пользователями РУЦ АО в части приема

заявлений в бумажной форме и изготовления СКП ЭП организована РУЦ АО в

одну рабочую смену с 9.00 до 13.00 и с 14:00 до 17:00 в будние дни.

Выходными днями являются: суббота, воскресенье, а также дни

общенациональных праздников.

7.3.4. Организация доступа персонала к документам и документации

Доступ сотрудников РУЦ АО к документам и документации,

составляющей документальный фонд организации, организован в соответствии

с должностными инструкциями и функциональными обязанностями.

7.3.5. Охрана здания и помещений

Здание, в котором расположено РУЦ АО имеет централизованную

службу охраны, обеспечивающую:

- обнаружение и задержание нарушителей, пытающихся проникнуть в

здание (помещения) РУЦ АО;

- сохранность материальных ценностей и документов;

- предупреждение происшествий и ликвидацию их последствий.

7.4. Обработка персональных данных

7.4.1. Цели обработки персональных данных

Обработка персональных данных РУЦ АО осуществляется в целях

исполнения функций и обязанностей удостоверяющих центров,

предусмотренных Федеральными законами от 11 января 2011 г. №1-ФЗ «Об

ЭП» и от 06 апреля 2011г., №63-ФЗ «Об электронной подписи» для

обеспечения идентификация и аутентификации субъектов персональных

данных в качестве владельцев СКП ЭП.

Услуги по изготовлению СКП ЭП не оказываются РУЦ АО в случае

отказа от предоставления персональных данных, необходимых для

59

изготовления СКП ЭП, и согласия на осуществление с ними действий,

предусмотренных настоящим Регламентом.

7.4.2. Порядок получения персональных данных

РУЦ АО обрабатывает персональные данные полученные:

1) непосредственно от Заявителей – физических лиц (или их

представителей, действующих на основании доверенности);

2) от пользователей РУЦ АО – юридических лиц для обеспечения

изготовления и обслуживания СКП ЭП, в которые включаются

сведения о пользователях СКП ЭП данного юридического лица.

Заявители - физические лица при подаче в РУЦ АО заявления о

присоединении к Регламенту выражают свое согласие на осуществление РУЦ

АО следующих действий с их персональными данными: сбор, хранение,

уточнение (обновление, изменение), использование, передачу

(распространение, предоставление, доступ).

Пользователь РУЦ АО – юридическое лицо самостоятельно получает

согласие от своих уполномоченных лиц на предоставление в РУЦ АО их

персональных данных, порядок обработки и перечень которых определен в п.

7.4.3. Перечень обрабатываемых персональных данных и Перечень

персональных данных, обрабатываемых РУЦ АО, получаемых от Заявителя –

физического лица:

- фамилия, имя, отчество;

- страховой номер индивидуального лицевого счета страхового

свидетельство обязательного пенсионного страхования (СНИЛС);

- адрес электронной почты;

- реквизиты основного документа, удостоверяющего личность.

Дополнительно с согласия Заявителя – физического лица в целях

включения в СКП ЭП могут быть предоставлены дополнительные

персональные данные:

- реквизиты квалификационного аттестата кадастрового инженера, для

лиц, являющихся кадастровыми инженерами;

60

- индивидуальный номер налогоплательщика, для индивидуальных

предпринимателей.

Пользователи РУЦ АО – юридические лица предоставляют в РУЦ АО

следующие персональные данные свих уполномоченных лиц:

- фамилия, имя, отчество,

- место работы и должность,

- адрес электронной почты.

По заявлению владельца СКП ЭП в СКП ЭП могут быть включены

дополнительные персональные данные.

В случае необходимости получения дополнительных персональных

данных, они обрабатываются РУЦ АО только при наличии отдельного согласия

на данные действия.

7.4.4. Общие принципы обработки персональных данных.

7.4.3. Перечень обрабатываемых персональных данных

Перечень персональных данных, обрабатываемых РУЦ АО, получаемых

от Заявителя – физического лица:

- фамилия, имя, отчество;

- страховой номер индивидуального лицевого счета страхового

свидетельство обязательного пенсионного страхования (СНИЛС);

- адрес электронной почты;

- реквизиты основного документа, удостоверяющего личность.

Дополнительно с согласия Заявителя – физического лица в целях

включения в СКП ЭП могут быть предоставлены дополнительные

персональные данные:

- реквизиты квалификационного аттестата кадастрового инженера, для

лиц, являющихся кадастровыми инженерами;

- индивидуальный номер налогоплательщика, для индивидуальных

предпринимателей.

Пользователи РУЦ АО – юридические лица предоставляют в РУЦ АО

следующие персональные данные свих уполномоченных лиц:

- фамилия, имя, отчество,

61

- место работы и должность,

- адрес электронной почты.

По заявлению владельца СКП ЭП в СКП ЭП могут быть включены

дополнительные персональные данные.

В случае необходимости получения дополнительных персональных

данных, они обрабатываются РУЦ АО только при наличии отдельного согласия

на данные действия.

7.4.4. Общие принципы обработки персональных данных

Обработка персональных данных осуществляется РУЦ АО как с

использованием средств вычислительной техники (автоматизированная

обработка персональных данных), так и без использования таких средств.

Сбор персональных данных осуществляется при приеме в соответствии с

Регламентом установленных заявлений, а также документов, подтверждающих

сведения, вносимые в СКП ЭП.

Полученные персональные данные используются для регистрации

владельцев СКП ЭП в реестре РУЦ АО и для изготовления ключей и СКП ЭП

путем внесения данных в соответствующие поля СКП ЭП.

Удостоверяющий центр в соответствии с ч.1-3 статьи 15 Федерального

закона от 06 апреля 2011 г. и №63-ФЗ «Об электронной подписи» обеспечивает

хранение персональных данных полученных от пользователей РУЦ АО в

течение всего срока своей деятельности.

В соответствии с ч.3 статьи 15 Федерального закона от 06 апреля 2011 г. и

№63-ФЗ «Об электронной подписи» РУЦ АО обязан обеспечить доступ

любому лицу к выданным СКП ЭП, в том числе к содержащимся в них

персональным данным. Физические лица - владельцы СКП ЭП дают согласие

на распространение своих персональных данных, вносимых в СКП ЭП (делают

эти персональные данные общедоступными).

Персональные данные, вносимые в СКП ЭП (общедоступные

персональные данные) обрабатываются РУЦ АО как с использованием средств

автоматизации, так и без их использования.

62

Распространение общедоступных персональных данных владельцев СКП

ЭП осуществляется путем передачи СКП ЭП по телекоммуникационным

каналам связи и размещением на сайте и других информационных ресурсах

РУЦ АО в информационно-телекоммуникационной сети Интернет.

Полученные персональные данные, не вносимые в СКП ЭП (сведения о

реквизитах основного документа, удостоверяющего личность), обрабатываются

РУЦ АО только без использования средств автоматизации.

В соответствии с законодательством в случае принятия решения о

прекращении деятельности РУЦ АО осуществляет в порядке, предусмотренном

нормативными правовыми актами Российской Федерации, передачу

уполномоченному федеральному органу в области использования электронной

подписи информацию, подлежащую хранению в РУЦ АО (включая

персональные данные).

7.4.5. Сроки обработки персональных данных и порядок отзыва

согласия на обработку персональных данных

Согласие на обработку персональных данных может быть отозвано по

письменному заявлению владельца СКП ЭП. При этом РУЦ АО производит

уничтожение всех персональных данных владельца СКП ЭП, на обработку

которых дано согласие, за исключением персональных данных, включаемых в

СКП ЭП и реквизитов основного документа, удостоверяющего личность,

обработку которых РУЦ АО продолжает осуществлять в соответствии с

законодательством в течение всего срока деятельности, если более короткий

срок не предусмотрен нормативными правовыми актами Российской

Федерации.

7.4.6. Меры по обеспечению информационной безопасности,

принимаемые РУЦ АО при обработке персональных данных

РУЦ АО принимаются следующие меры защиты персональных данных,

полученных и обрабатываемых в целях, определенных в п. 7.4.1. Цели

обработки персональных данных, от неправомерного или случайного доступа к

ним, уничтожения, изменения, блокирования, копирования, предоставления,

63

распространения, а также от иных неправомерных действий в отношении

персональных данных:

1) определены угрозы безопасности персональных данных при их

обработке в информационной системе персональных данных

Удостоверяющего центра;

2) в информационной системе персональных данных используются

сертифицированные средства защиты информации;

3) установлены правила доступа к персональным данным,

обрабатываемым в информационной системе персональных

данных;

4) обеспечен аудит фактов несанкционированного доступа к

персональным данным;

5) информационная система персональных данных аттестована по

требованиям защиты конфиденциальной информации;

6) выполняется резервное копирование персональных данных,

обрабатываемых в информационной системе;

7) ведется учет машинных носителей персональных данных;

8) приняты необходимые организационные меры по обеспечению

безопасности персональных данных;

9) осуществляется регулярный контроль за соответствием

принимаемых мер по обеспечению безопасности персональных

данных и уровня защищенности информационных систем

персональных данных;

10) определен список лиц РУЦ АО, допущенных к обработке

персональных данных.

64

ПРИЛОЖЕНИЕ №1. ЗАЯВЛЕНИЕ О ПРИСОЕДИНЕНИИ К РЕГЛАМЕНТУ

ДЛЯ ЮРИДИЧЕСКИХ ЛИЦ

Заявление о присоединении к Регламенту удостоверяющего центра

государственного бюджетного учреждения Амурской области

«Центр информационных технологий Амурской области»

_________________ «___» _______________ 201_ г.

(полное наименование организации, включая организационно-правовую форму)

в лице

(должность)

(фамилия, имя, отчество)

действующего на основании

в соответствии со статьей 428 ГК Российской Федерации полностью и безусловно

присоединяется к Регламенту оказания услуг РУЦ АО (далее - Регламент), условия которого

определены ГБУ «Центр информационных технологий Амурской области» и опубликованы

в соответствии с п. «1.2. Наименование и идентификация документа» Регламента.

С Регламентом и приложениями к нему ознакомлен(а) и обязуюсь соблюдать все

положения указанного документа.

Соглашаюсь с тем, что изменения в Регламент вносятся в одностороннем порядке

ГБУ «Центр информационных технологий Амурской области» в соответствии с п. «2.3

Изменение (дополнение) Регламента».

(должность руководителя) (подпись) (ФИО)

М.П.

Отметки удостоверяющего центра

Данное заявление зарегистрировано в реестре РУЦ АО.

Регистрационный № __________________ от «____» _________________ 201_г.

Зарегистрировал: _____________________/_________________________

65

ПРИЛОЖЕНИЕ №2. ДОВЕРЕННОСТЬ ДОВЕРЕННОГО ЛИЦА,

НАДЕЛЕННОГО ПРАВОМ ПОЛУЧЕНИЯ КЛЮЧЕВОГО НОСИТЕЛЯ И

СЕРТИФИКАТА КЛЮЧА ПРОВЕРКИ ЭЛЕКТРОННОЙ ПОДПИСИ

Доверенность доверенного лица, наделенного правом получения

ключевого носителя и сертификата ключа проверки электронной подписи

_________________ «___» _______________ 201_ г.

уполномочивает


(серия и номер паспорта, кем и когда выдан)

1. Предоставить в удостоверяющий центр государственного бюджетного учреждения

Амурской области «Центр информационных технологий Амурской области» (далее – РУЦ

АО) необходимые документы, определенные Регламентом РУЦ АО для регистрации своего

полномочного представителя - пользователя РУЦ АО.

№ Ф.И.О. пользователя РУЦ АО – владельца сертификата Подпись

1.

2. Получить созданные ключи электронной подписи и сертификат ключа проверки

электронной подписи на ключевых носителях для пользователей РУЦ АО в

вышеперечисленном списке.

Настоящая доверенность действительна по «___» _____________ 201__г.

Подпись уполномоченного представителя / (подпись доверенного лица) (ФИО)

удостоверяю.


М.П.


в лице




66

ПРИЛОЖЕНИЕ №3. ДОВЕРЕННОСТЬ ПОЛНОМОЧНОГО

ПРЕДСТАВИТЕЛЯ ЮРИДИЧЕСКОГО ЛИЦА, НАДЕЛЕННОГО ПРАВОМ

ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ПОДПИСИ

Доверенность полномочного представителя

юридического лица, наделенного правом использования

электронной подписи

_________________ «___» _______________ 201_ г.

уполномочивает



выступать в качестве представителя юридического лица, наделённого правом использования

электронной подписи в

___________________________________________________________________________,

а также получить соответствующий сертификат ключа проверки электронной подписи в

Удостоверяющем центре государственного бюджетного учреждения Амурской области

«Центр информационных технологий Амурской области».

Настоящая доверенность действительна по «___» _____________ 201__г.1

Подпись уполномоченного представителя / (подпись доверенного лица) (ФИО)

удостоверяю.


М.П.

1 Примечание: срок действия доверенности должен быть не менее срока действия ключа электронной подписи,

соответствующего создаваемому сертификату.


в лице




67

ПРИЛОЖЕНИЕ №4. ЗАЯВЛЕНИЕ НА ПРИОСТАНОВЛЕНИЕ ДЕЙСТВИЯ


Заявление на приостановление действия сертификата ключа

проверки электронной подписи

«___» _______________ 201_ г.


в лице




в связи с

просит приостановить действие сертификата ключа проверки электронной

подписи своего уполномоченного представителя:


серийный номер сертификата: __________________________

Срок приостановления: ______ дн.

Владелец сертификата ключа


(подпись) (ФИО)


М.П.



Регистрационный № __________________ от «____» _______________ 201_г.

Зарегистрировал: _____________________/_________________________ (подпись) (ФИО)

68

ПРИЛОЖЕНИЕ №5. ЗАЯВЛЕНИЕ НА АННУЛИРОВАНИЕ СЕРТИФИКАТА

КЛЮЧА ПРОВЕРКИ ЭЛЕКТРОННОЙ ПОДПИСИ

Заявление на аннулирование (отзыв) сертификата ключа проверки


«___» _______________ 201_ г.


в лице




в связи с

просит аннулировать (отозвать) сертификат ключа проверки электронной



серийный номер сертификата: ______________________________





М.П.





69

ПРИЛОЖЕНИЕ №6. ЗАЯВЛЕНИЕ НА ВОЗОБНОВЛЕНИЕ ДЕЙСТВИЯ


Заявление на возобновление действия сертификата ключа проверки


«___» _______________ 201_ г.


в лице




в связи с

просит возобновить действие сертификата ключа проверки электронной



серийный номер сертификата: __________________________





М.П.





70

ПРИЛОЖЕНИЕ №7. ЗАЯВЛЕНИЕ НА СОЗДАНИЕ

КВАЛИФИЦИРОВАННОГО СЕРТИФИКАТА КЛЮЧА ПРОВЕРКИ

ЭЛЕКТРОННОЙ ПОДПИСИ

Заявление на создание квалифицированного сертификата ключа проверки


_________________ «___» _______________ 201_ г.

просит создать квалифицированный сертификат ключа проверки электронной подписи

своего уполномоченного представителя в соответствии с указанными в настоящем заявлении

идентификационными данными:

Наименование поля Значение

Общее имя (ФИО)

Фамилия

Имя

Должность

Подразделение

Email

СНИЛС

Организация

_____________________________________________________________________

_____________________________________________________________________

Адрес (ул., дом)

Населенный пункт

Регион

Страна RU

ИНН

ОГРН





в лице




71

Область ограничения использования квалифицированного сертификата в соответствии с

шаблоном сертификата в соответствии с Приложением № (указывается только один

шаблон)

Я,

(фамилия, имя, отчество) владельца сертификата


даю согласие удостоверяющему центру государственного бюджетного учреждения Амурской области «Центр

информационных технологий Амурской области» (далее – РУЦ АО) на автоматизированную, а также без

использования средств автоматизации, обработку моих персональных данных, содержащихся в настоящем

заявлении, в целях оказания услуг в соответствии с Регламентом оказания услуг РУЦ АО (далее - Регламент).

Настоящее согласие предоставляется на осуществление любых действий в отношении указанных мной

персональных данных, а именно: сбор, систематизацию, накопление, хранение, уточнение (обновление,

изменение), использование, распространение (в том числе передачу), обезличивание, блокирование,

уничтожение, трансграничную передачу, а также осуществление любых иных действий, предусмотренных

нормативными правовыми актами в области ЭП; включение моих фамилии, имени, отчества, сведений о месте

работы, адреса электронной почты, номера страхового свидетельства государственного пенсионного

страхования в общедоступные источники персональных данных, которыми являются сертификат ключа

проверки электронной подписи, реестр сертификатов ключей проверки электронной подписи, а также адресные

справочники участников информационной системы.

Настоящее согласие на обработку персональных данных может быть отозвано в порядке, установленном

Федеральным законом Российской Федерации «О персональных данных» от 27 июля 2006 года №152, или в

случае прекращения деятельности удостоверяющего центра в соответствии со ст. 13, 14, 15 Федерального

закона Российской Федерации «Об электронной подписи». В случае отзыва согласия на обработку моих

персональных данных, РУЦ АО вправе не прекращать их обработку до окончания срока действия настоящего

согласия. Срок действия настоящего согласия – до истечения установленных нормативными актами сроков

хранения соответствующей информации или документов, при обработке которых использовалась моя

электронная подпись. Об ответственности за представление недостоверных сведений предупрежден(а).

С Регламентом, условия которого опубликованы на сайте удостоверяющего центра по адресу http://ca.amur-

cit.ru/docs/rca_amur_root.pdf, ознакомлен(а) и обязуюсь соблюдать все положения указанного документа.





М.П.





72

ПРИЛОЖЕНИЕ №8. ПРИКАЗ О НАЗНАЧЕНИИ ОТВЕТСТВЕННОГО ЛИЦА

ПО РАБОТЕ С СКЗИ

(наименование организации)

П Р И К А З

«___» _______________ 201_ г. № ______________

г. Благовещенск

О назначении ответственного лица по работе с СКЗИ

Во исполнение «Инструкции об организации и обеспечении безопасности

хранения, обработки и передачи по каналам связи с использованием средств

криптографической защиты информации с ограниченным доступом, не

содержащей сведений, составляющих государственную тайну», утвержденной

приказом ФАПСИ от 13.06.2001г. №152.

ПРИКАЗЫВАЮ:

Назначить


ответственным за работу со средствами криптографической защиты

информации (СКЗИ), конфиденциальными сведениями, ключевыми

носителями и ключевой документацией.


М.П.

С приказом ознакомлен

/ (подпись ответственного

лица)

(ФИО)

73

ПРИЛОЖЕНИЕ №9. ФОРМА ЖУРНАЛА ПОЭКЗЕМПЛЯРНОГО УЧЕТА

СКЗИ (ФОРМА №1)

Журнал

поэкземплярного учета СКЗИ, эксплуатационной и технической

документации к ним, ключевых документов (форма 1)

№

п/п

Наименование

СКЗИ, эксплу-атационной и

технической до-

кументации к ним, ключевых

документов

Серийные

номера СКЗИ, эксплуатаци-

онной и тех-

нической до-кументации к

ним, номера

серий ключе-вых докумен-

тов

Номера

экземпля-ров (крип-

тографи-

ческие но-мера) клю-

чевых до-

кументов

Отметка о получении Отметка о рассылке (передаче)

От кого по-

лучены или Ф.И.О. сот-

рудника орга-

на криптогра-

фической за-

щиты, изгото-

вившего клю-чевые доку-

менты

Дата и но-

мер сопро-водительно-

го письма

или дата из-

готовления

ключевых

документов и расписка в

изготовле-

нии

Кому ра-

зосланы (переданы)

Дата и но-

мер сопро-водительно-

го письма

Дата и

номер подтверж-

дения или

расписка в

получении

1 2 3 4 5 6 7 8 9

Отметка о возврате Дата ввода в

действие Дата вывода из

действия Отметка об уничтожении СКЗИ, клю-

чевых документов Примеча-ние

Дата и номер

сопроводитель-

ного письма

Дата и номер

сопроводитель-

ного письма

Дата уничтоже-

ния

Номер акта или

расписка об

уничтожении

10 11 12 13 14 15 16

74

ПРИЛОЖЕНИЕ №10. ФОРМА ЖУРНАЛА ПОЭКЗЕМПЛЯРНОГО УЧЕТА

СКЗИ (ФОРМА №2)

Журнал

поэкземплярного учета СКЗИ, эксплуатационной и технической документации

к ним, ключевых документов (форма 2)

№

п/п

Наименование

СКЗИ,

эксплуатационной и технической

документации к

ним, ключевых документов

Серийные номера

СКЗИ,

эксплуатационной и технической

документации к

ним, номера серий

ключевых


Номера

экземпляров

(криптографи-ческие номера)

ключевых


Отметка о получении Отметка о выдаче

От кого

получены

Дата и

номер сопроводи-

тельного

письма

Ф.И.О.

пользователя СКЗИ

Дата и

расписка в получении

1 2 3 4 5 6 7 8

Отметка о подключении (установке СКЗИ) Отметка об изъятии СКЗИ из аппаратных средств,

уничтожении ключевых документов Примеча

ние Ф.И.О. сотрудников

органа криптографической

защиты, пользователя

СКЗИ, произведших подключение (установку)

Дата

подключения (установки)

и подписи

лиц, произведших

подключение

(установку)

Номера

аппаратных средств, в

которые

установлены или к

которым

подключены СКЗИ

Дата изъятия

(уничтожения)

Ф.И.О. сотрудников

органа криптографической

защиты, пользователя

СКЗИ, производивших изъятие (уничтожение)

Номер акта

или расписка об

уничтожении

9 10 11 12 13 14 15

75

ПРИЛОЖЕНИЕ №11. ФОРМАТ СЕРТИФИКАТА КЛЮЧА ПРОВЕРКИ

ЭЛЕКТРОННОЙ ПОДПИСИ

Обозначение Название Длина

поля Примечание

Version Версия - Должна быть не ниже 3

serial number Серийный номер - Уникальный номер

квалифицированного сертификата

Signature Алгоритм

подписи -

В поле algorithm должен

содержаться идентификатор

алгоритма подписи ГОСТ Р 34.11-

94/34.10-2001 (OID.1.2.643.2.2.3, в

соответствии с RFC4491)

Имя издателя СКП ЭП (issuer). Данный атрибут включает следующее поля:

1. CN Общее имя 64

OID 2.5.4.3

Псевдоним удостоверяющего

центра

2. C Страна 2

OID 2.5.4.6

Двухсимвольный код страны

согласно ГОСТ 7.67-2003 (ИСО

3166-1:1997)

3. S Регион 128

OID 2.5.4.8

Наименование субъекта РФ

местонахождения ПАК РУЦ АО

4. L Населенный

пункт 128

OID 2.5.4.7

Наименование населенного

пункта местонахождения ПАК

РУЦ АО

5. O Организация 64

OID 2.5.4.10

Полное или сокращенное

наименование организации

6. OU Подразделение 64

OID 2.5.4.11

В случае выпуска СКП ЭП на

должностное лицо –

соответствующее подразделение

организации

7. OGRN ОГРН 13 OID 1.2.643.100.1

ОГРН организации

8. INN ИНН 12 OID 1.2.643.3.131.1.1

ИНН организации

notBefore

Дата и время

начала действия

СКПЭП

- -

notAfter

Дата и время

окончания

действия СКПЭП

- -

Имя владельца СКЭП (subject). Данный атрибут включает следующее поля:

1. CN Общее имя 64

OID 2.5.4.3

ЮЛ: В зависимости от типа

конечного владельца СКПЭП:

76



- наименование организации;

- ФИО должностного лица;

- название автоматизированной

системы;

- другое отображаемое имя по

требованиям информационной

системы.

ФЛ: ФИО

2. C Страна 2

OID 2.5.4.6

Двухсимвольный код страны

согласно ГОСТ 7.67-2003 (ИСО

3166-1:1997)

3. surname Фамилия 128

OID 2.5.4.4

В качестве значения данного

атрибута имени следует

использовать текстовую строку,

содержащую фамилию

физического лица.

4. givenName Приобретенное

имя 128

OID 2.5.4.42




содержащую имя и отчество (если

имеется) физического лица

5. S Регион 128

OID 2.5.4.8

Наименование субъекта РФ:

ЮЛ: По адресу местонахождения

ФЛ: По адресу регистрации

6. L Населенный

пункт 128

OID 2.5.4.7

Наименование населенного

пункта:

ЮЛ: По адресу местонахождения

ФЛ: По адресу регистрации

7. streetAddress Название улицы,

номер дома 128

OID 2.5.4.9




содержащую часть адреса места

нахождения соответствующего

лица, включающую наименование

улицы, номер дома, а также

корпуса, строения, квартиры,

помещения (если имеется).

8. O Организация 64

OID 2.5.4.10

Полное или сокращенное

наименование организации

(только для ЮЛ)

9. OU Подразделение 64

OID 2.5.4.11

ЮЛ: В случае выпуска СКПЭП

на должностное лицо –

77



соответствующее подразделение

организации (если имеется)

10. T Должность 64

OID 2.5.4.12

ЮЛ: В случае выпуска СКПЭП

на должностное лицо – его

должность

11. OGRN ОГРН 13

OID 1.2.643.100.1

ОГРН организации (только для

ЮЛ)

12. SNILS СНИЛС 11

OID 1.2.643.100.3

ФЛ: СНИЛС

ЮЛ: Не обязательно, но в случае

выпуска СКПЭП на должностное

лицо – данное поле рекомендуется

включать для упрощения

идентификации должностных лиц.

13. INN ИНН 12

OID 1.2.643.3.131.1.1

ЮЛ/ИП: ИНН

ФЛ: Не обязательно, но

рекомендуется к включению для

целей взаимодействия с ФНС.

14. Е E-mail 128

OID 1.2.840.1135.49.1.9.1

ЮЛ/ИП/ФЛ Адрес электронной

почты.

subjectPublicKey

Info Открытый ключ - -

Дополнения (расширения) сертификата (Extensions)

1. Authority Key

Identifier

Идентификатор

ключа РУЦ АО - OID.2.5.29.35

2. Key Usage

Область

использования

ключа

- OID.2.5.29.15

3. Certificate

Policies

Политики

сертификата -

OID.2.5.29.32

Для обозначения класса средств

ЭП владельца

квалифицированного сертификата

должны применяться следующие

идентификаторы:

для класса средств ЭП КС2:

1.2.643.100.113.1,

1.2.643.100.113.2

Помимо идентификаторов

политик, описывающих класс ЭП

владельца квалифицированного

сертификата, в дополнении

«Политики сертификата» могут

содержаться другие описатели

политик.

4. Subject Sign Средство ЭП - OID.1.2.643.100.111

78



Tool

владельца


наименование используемого

средства ЭП и (или) стандарты,

требованиям которых

соответствует ключ ЭП и ключ

проверки ЭП

5. Issuer Sign

Tool

средство ЭП РУЦ

АО -

OID.1.2.643.100.112

наименования средств ЭП и

средств аккредитованного РУЦ

АО, которые использованы для

создания ключа ЭП, ключа

проверки ЭП,

квалифицированного

сертификата, а также реквизиты

документа, подтверждающего

соответствие указанных средств

требованиям, установленным в

соответствии с Федеральным

законом

6. ExtendedKeyUsage расширенное использования ключа.

Состав дополнения зависит от информационной системы, в которой используется

СКПЭП

OID.2.5.29.37, может содержать следующие поля:

6.1. Доступ к

СМЭВ

ЭП-СП - OID 1.2.643.100.2.1 Доступ к

СМЭВ (ЭП-СП)

ЭП-ОВ - 1.2.643.100.2.2

Доступ к СМЭВ (ЭП-ОВ)

6.2. При

необходимости

запросов из

ЕГРП

Руководитель

ОГВ субъекта РФ

или иное

уполномоченное

лицо данного

органа в

соответствии с

ФЗ

- OID 1.2.643.5.1.24.2.6

Руководитель

ОМСУ или иное

уполномоченное

лицо данного

органа в

соответствии с

ФЗ

- OID 1.2.643.5.1.24.2.19

7. CDP

Точки

распространения

списков отзыва

- OID.2.5.29.31

79

ПРИЛОЖЕНИЕ №12. ОГРАНИЧЕНИЯ НА ИСПОЛЬЗОВАНИЕ

СЕРТИФИКАТОВ КЛЮЧЕЙ ПРОВЕРКИ ЭЛЕКТРОННОЙ ПОДПИСИ

1. Участник ГИС АО

В сертификате указываются следующее ограничения:

проверка подлинности клиента (1.3.6.1.5.5.7.3.2)

пользователь центра регистрации, HTTP, TLS клиент

(1.2.643.2.2.34.6)

Срок действия сертификата 1 год и 3 месяца.

Для обозначения класса средств ЭП владельца квалифицированного

сертификата должны применятся следующее идентификаторы:

1.2.643.100.113.1 КС1

1.2.643.100.113.2 КС2

2. Участник СМЭВ АО

В сертификате указываются следующее ограничения:

доступ к СМЭВ уполномоченного лица (1.2.643.100.2.1,

1.2.643.100.2.2)

проверка подлинности клиента (1.3.6.1.5.5.7.3.2)

пользователь центра регистрации, HTTP, TLS клиент

(1.2.643.2.2.34.6)

руководитель органа государственной власти субъекта Российской

Федерации или иное уполномоченное лицо данного органа в

соответствии с федеральным законом (1.2.643.5.1.24.2.6)

руководитель органа местного самоуправления или иное

уполномоченное лицо данного органа в соответствии с

федеральным законом (1.2.643.5.1.24.2.19).

Срок действия сертификата 1 год и 3 месяца.

Для обозначения класса средств ЭП владельца квалифицированного

сертификата должны применятся следующее идентификаторы:

1.2.643.100.113.1 КС1

1.2.643.100.113.2 КС2

80

ПРИЛОЖЕНИЕ №13. ПРАВИЛА ЗАПОЛНЕНИЯ ЗАЯВЛЕНИЙ НА

СОЗДАНИЕ СЕРТИФИКАТОВ КЛЮЧЕЙ ПРОВЕРКИ ЭЛЕКТРОННОЙ

ПОДПИСИ

1. Общие положения

1.1. Настоящие Правила определяют порядок формирования запросов и

оформление заявлений на создание сертификата ключа проверки подписи

(далее СКП ЭП), направляемого в РУЦ АО.

1.2. В части настоящих Правил определены форматы заполнения

основных атрибутов, содержащихся в заявлении на сертификат: C, SN, GN,

Street, S, L, O, OU, T, CN, E (в соответствии со стандартом x.509),

дополнительных атрибутов: ИНН, ОГРН, СНИЛС, а также требования к

оформлению заявлений на создание СКП ЭП.

1.3. Наименование атрибутов с использованием букв латинского

алфавита допускается только в случаях, когда наименование атрибута на

русском языке отсутствует.

1.4. При нарушении данных правил в выдаче сертификата может быть

отказано.

2. Правила заполнения полей заявления на создание СКП ЭП

2.1. Общие для всех полей требования.

2.1.1. Каждое слово в поле должно быть отделено ровно одним пробелом.

2.1.2. Не разрешается использовать пробел в начале и в конце текста.

2.1.3. Необходимо использовать заглавные и строчные буквы так, как это

продиктовано правилами русского языка.

2.1.4. При использовании символов, не перечисленных в п. 2.12

настоящих Правил в выдаче сертификата ключа проверки электронной подписи

может быть отказано.

2.2. Формат фамилии, имени, отчества владельца СКП ЭП.

2.2.1. Фамилия, имя, отчество владельца СКП ЭП записываются в атрибут

CN субъекта СКП ЭП, атрибут является обязательным.

81

2.2.2. В случае выпуска сертификата для аутентификации сервера в поле

CN указывается полное доменное имя сервера.

2.2.3. Длина текста - не более 64 символов.

2.2.4. Фамилия, имя, отчество должны быть указаны полностью; в

соответствии с записью в общегражданском паспорте владельца СКП ЭП.

Первое слово - фамилия, первая буква фамилии - прописная, остальные -

строчные; второе слово - имя, первая буква имени - прописная, остальные -

строчные; остальные слова (если есть) могут быть отнесены к Отчеству, в

зависимости от контекста обработки.

2.2.5. Фамилия владельца СКП ЭП записываются в атрибут SN субъекта

СКП ЭП, атрибут является не обязательным. Длина текста - не более 40

символов.

2.2.6. Имя владельца СКП ЭП записываются в атрибут GN субъекта СКП

ЭП, атрибут является не обязательным. Длина текста - не более 16 символов.

2.2.7. При выпуске СКП ЭП для тестовых целей в поле CN указывается

запись «Для тестовых целей». Поля SN и GN не заполняются.

2.2.8. При выпуске СКП ЭП по шаблону «Сертификат аутентификации

сервера» в поле CN указывается точное доменное имя сервера. Поля SN и GN

не заполняются.

2.3. Формат адреса электронной почты владельца СКП ЭП.

2.3.1. Адрес электронной почты владельца СКП ЭП записывается в

атрибут E субъекта СКП ЭП.


2.3.3. При заполнении адреса электронной почты необходимо

руководствоваться правилами, определенными в стандарте текстовых

сообщений Internet RFC 822.

2.3.4. Разрешается указывать только реальный адрес электронной почты.

2.4. Формат названия организации владельца СКП ЭП.

2.4.1. Название организации владельца СКП ЭП записывается в атрибут

«О» субъекта СКП ЭП, атрибут является обязательным для владельцев СКП ЭП

- физических лиц - представителей юридического лица.

82

2.4.2. Длина текста - не более 64 символов. В случае если длина полного

названия организации превышает 64 символа, следует указывать официальное

краткое наименование организации. Если официальное краткое наименование

отсутствует или его длина превышает 64 символа, следует использовать

сокращенное наименование от полного официального наименования.

2.4.3. Кавычки, точки и прочие знаки пунктуации разрешается

использовать только в том случае, если они встречаются внутри официального

названия организации.

2.5. Формат подразделения организации владельца сертификата ключа

проверки электронной подписи.

2.5.1. Подразделение организации владельца СКП ЭП записывается в

атрибут OU субъекта СКП ЭП, атрибут не является обязательным.




названия подразделения организации.

2.6. Формат должности владельца СКП ЭП.

2.6.1. Должность владельца СКП ЭП записывается в атрибут «Т»

субъекта сертификата ключа проверки электронной подписи, атрибут не

является обязательным.




названия должности.

2.7. Формат адреса организации владельца сертификата ключа проверки

электронной подписи.

2.7.1. Название адреса, где зарегистрирована организация владельца СКП

ЭП, записывается в атрибут Street субъекта СКП ЭП, атрибут является

обязательным.


83

2.7.3. Адрес указывается в виде наименования улицы, номера дома,

корпуса, строения, квартиры, помещения (если имеется).



названия адреса.

2.7.5. Допускается использование общепринятых сокращений из

следующей таблицы:

Таблица 1 - Сокращения адреса

Сокращение Название Сокращение Название

ул. улица ш. шоссе

пр-т проспект д. дом

пр-д проезд корп. корпус

пер. переулок стр. строение

наб. набережная кв. квартира

пл. площадь п. помещение

б-р бульвар

2.8. Формат названия населённого пункта.

2.8.1. Название населённого пункта, где зарегистрирована организация

владельца СКП ЭП, записывается в атрибут L субъекта СКП ЭП, атрибут

является обязательным.


2.8.3. Вид населённого пункта указывается в начале текста без

сокращения.



названия населённого пункта.

2.9. Формат названия региона (области).

2.9.1. Название региона, где зарегистрировано юридическое лицо

владелец СКП ЭП записывается в атрибут «S» субъекта СКП ЭП, атрибут

является обязательным. Название региона допускается не заполнять только в

случае, если значение Атрибута «L» (см. п.2.7) «Город Москва» или «Город

Санкт-Петербург».


84

2.9.3. Разрешается использовать только наименования из следующей

таблицы.

Таблица 2 - Справочник регионов

Код Название региона Код Название региона

01 Республика Адыгея (Адыгея) 43 Кировская область

02 Республика Башкортостан 44 Костромская область

03 Республика Бурятия 45 Курганская область

04 Республика Алтай 46 Курская область

05 Республика Дагестан 47 Ленинградская область

06 Республика Ингушетия 48 Липецкая область

07 Кабардино-Балкарская Республика 49 Магаданская область

08 Республика Калмыкия 50 Московская область

09 Карачаево-Черкесская Республика 51 Мурманская область

10 Республика Карелия 52 Нижегородская область

11 Республика Коми 53 Новгородская область

12 Республика Марий Эл 54 Новосибирская область

13 Республика Мордовия 55 Омская область

14 Республика Саха (Якутия) 56 Оренбургская область

15 Республика Северная Осетия - Алания 57 Орловская область

16 Республика Татарстан 58 Пензенская область

17 Республика Тыва 59 Пермский край

18 Удмуртская Республика 60 Псковская область

19 Республика Хакасия 61 Ростовская область

20 Чеченская Республика 62 Рязанская область

21 Чувашская Республика - Чувашия 63 Самарская область

22 Алтайский край 64 Саратовская область

23 Краснодарский край 65 Сахалинская область

24 Красноярский край 66 Свердловская область

25 Приморский край 67 Смоленская область

26 Ставропольский край 68 Тамбовская область

27 Хабаровский край 69 Тверская область

28 Амурская область 70 Томская область

29 Архангельская область и Ненецкий автономный

округ

71 Тульская область

30 Астраханская область 72 Тюменская область

31 Белгородская область 73 Ульяновская область

32 Брянская область 74 Челябинская область

33 Владимирская область 75 Забайкальский край

34 Волгоградская область 76 Ярославская область

35 Вологодская область 77 г. Москва

36 Воронежская область 78 г. Санкт-Петербург

37 Ивановская область 79 Еврейская автономная область

38 Иркутская область 86 Ханты-Мансийский автономный

округ - Югра

39 Калининградская область 87 Чукотский автономный округ

40 Калужская область 89 Ямало-Ненецкий автономный округ

41 Камчатский край 99 Иные территории, включая, г.

Байконур

85

42 Кемеровская область

2.9.4. Разрешается использовать наименование, отличное от указанного в

таблице 2, в случае изменения наименований регионов Российской Федерации,

а также в том случае, если СКП ЭП выдается на нерезидента Российской

Федерации.

2.10. Формат ИНН.

2.10.1. Идентификационный номер налогоплательщика - юридического

лица.

2.10.2. Текст длиной 10 цифр для юридического лица или 12 цифр для

индивидуального предпринимателя и физического лица.

2.10.3. Атрибут является обязательным

2.10.4. Разрешено использовать только цифровые символы 0123456789.

2.10.5. Запрещено использование ИНН, не проходящих проверку

корректности на контрольные разряды.

2.11. Формат ОГРН. Основной государственный регистрационный

номер юридического лица.

2.11.1. Текст длиной 13 цифр - только для юридического лица.

2.11.2. Атрибут является обязательным.

2.11.3. Разрешено использовать только цифровые символы 0123456789.

2.11.4. Запрещено использование ОГРН, не проходящих проверку


2.12. Формат СНИЛС. Страховой номер индивидуального лицевого счёта

физического лица.

2.12.1. Текст длиной 14 символов - только для физического лица

2.12.2. Атрибут является обязательным.

2.12.3. Разрешено использовать только цифровые символы 0123456789,

пробел и дефис в формате «000-000-000 99».

2.12.4. Запрещено использование СНИЛС, не проходящих проверку


86

2.13. Набор разрешённых символов в запросе на сертификат ключа

проверки электронной подписи.

2.13.1. При использовании в тексте полей СКП ЭП символов UNICODE,

коды которых не указаны в таблице 3, в выдаче СКП ЭП может быть отказано.

Таблица 3 - Разрешенные символы

№ Символ Название № Символ Название

1 пробел 74 w латинская строчная буква w

2 " универсальная кавычка 75 x латинская строчная буква x

3 % процент 76 y латинская строчная буква y

4 & амперсанд 77 z латинская строчная буква z

5 ' апостроф 78 E кириллическая заглавная буква E

6 ( левая скобка 79 « двойная левая угловая кавычка

7 ) правая скобка 80 ё кириллическая строчная буква ё

8 + знак плюс 81 № знак номер

9 , запятая 82 » двойная правая угловая кавычка

10 - дефис 83 А кириллическая заглавная буква А

11 . точка 84 Б кириллическая заглавная буква Б

12 0 цифра ноль 85 В кириллическая заглавная буква В

13 1 цифра один 86 Г кириллическая заглавная буква Г

14 2 цифра два 87 Д кириллическая заглавная буква Д

15 3 цифра три 88 Е кириллическая заглавная буква Е

16 4 цифра четыре 90 Ж кириллическая заглавная буква Ж

17 5 цифра пять 91 З кириллическая заглавная буква З

18 6 цифра шесть 92 И кириллическая заглавная буква И

19 7 цифра семь 93 Й кириллическая заглавная буква Й

20 8 цифра восемь 94 К кириллическая заглавная буква К

21 9 цифра девять 95 Л кириллическая заглавная буква Л

22 : двоеточие 96 М кириллическая заглавная буква М

23 ; точка с запятой 97 Н кириллическая заглавная буква Н

24 @ коммерческое ат «собачка» 98 О кириллическая заглавная буква О

25 A латинская заглавная буква A 99 П кириллическая заглавная буква П

26 B латинская заглавная буква B 100 Р кириллическая заглавная буква Р

27 C латинская заглавная буква C 101 С кириллическая заглавная буква С

28 D латинская заглавная буква D 102 Т кириллическая заглавная буква Т

29 E латинская заглавная буква E 103 У кириллическая заглавная буква У

30 F латинская заглавная буква F 104 Ф кириллическая заглавная буква Ф

31 G латинская заглавная буква G 105 Х кириллическая заглавная буква Х

32 H латинская заглавная буква H 106 Ц кириллическая заглавная буква Ц

33 I латинская заглавная буква I 107 Ч кириллическая заглавная буква Ч

34 J латинская заглавная буква J 108 Ш кириллическая заглавная буква Ш

35 K латинская заглавная буква K 109 Щ кириллическая заглавная буква Щ

36 L латинская заглавная буква L 110 Ъ кириллическая заглавная буква Ъ

37 M латинская заглавная буква M 111 Ы кириллическая заглавная буква Ы

87

38 N латинская заглавная буква N 112 Ь кириллическая заглавная буква Ь

39 O латинская заглавная буква O 113 Э кириллическая заглавная буква Э

40 P латинская заглавная буква P 114 Ю кириллическая заглавная буква Ю

41 Q латинская заглавная буква Q 115 Я кириллическая заглавная буква Я

42 R латинская заглавная буква R 116 а кириллическая строчная буква а

43 S латинская заглавная буква S 117 б кириллическая строчная буква б

44 T латинская заглавная буква T 118 в кириллическая строчная буква в

45 U латинская заглавная буква U 119 г кириллическая строчная буква г

46 V латинская заглавная буква V 120 д кириллическая строчная буква д

47 W латинская заглавная буква W 121 е кириллическая строчная буква е

48 X латинская заглавная буква X 122 ж кириллическая строчная буква ж

49 Y латинская заглавная буква Y 123 з кириллическая строчная буква з

50 Z латинская заглавная буква Z 124 и кириллическая строчная буква и

51 _ подчеркивание 125 й кириллическая строчная буква й

52 a латинская строчная буква a 126 к кириллическая строчная буква к

53 b латинская строчная буква b 127 л кириллическая строчная буква л

54 c латинская строчная буква c 128 м кириллическая строчная буква м

55 d латинская строчная буква d 129 н кириллическая строчная буква н

56 e латинская строчная буква e 130 о кириллическая строчная буква о

57 f латинская строчная буква f 131 п кириллическая строчная буква п

58 g латинская строчная буква g 132 р кириллическая строчная буква р

59 h латинская строчная буква h 133 с кириллическая строчная буква с

60 i латинская строчная буква i 134 т кириллическая строчная буква т

61 j латинская строчная буква j 135 у кириллическая строчная буква у

62 k латинская строчная буква k 136 ф кириллическая строчная буква ф

63 l латинская строчная буква l 137 х кириллическая строчная буква х

64 m латинская строчная буква m 138 ц кириллическая строчная буква ц

65 n латинская строчная буква n 139 ч кириллическая строчная буква ч

66 o латинская строчная буква o 140 ш кириллическая строчная буква ш

67 p латинская строчная буква p 141 щ кириллическая строчная буква щ

68 q латинская строчная буква q 142 ъ кириллическая строчная буква ъ

69 r латинская строчная буква г 143 ы кириллическая строчная буква ы

70 s латинская строчная буква s 144 ь кириллическая строчная буква ь

71 t латинская строчная буква t 145 э кириллическая строчная буква э

72 u латинская строчная буква u 146 ю кириллическая строчная буква ю

73 v латинская строчная буква v 147 я кириллическая строчная буква я

Documents

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯca.amurobl.ru/docs/rca_amur_root.pdfсертификации и защите государственной тайны ФСБ России: