О ВВЕДЕНИИ В СИСТЕМЕ ПЕНСИОННОГО ФОНДА РОССИЙСКОЙ
ФЕДЕРАЦИИ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ
И ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ
ПОСТАНОВЛЕНИЕ
ПЕНСИОННЫЙ ФОНД РФ
26 января 2001 г.
N 15
(Д)
В целях обеспечения защиты информации, предоставляемой в
электронной форме в системе электронного документооборота Пенсионного
фонда Российской Федерации, Правление ПФР постановляет:
1. Использовать для защиты информации, передаваемой в электронной
форме, средства криптографической защиты информации и электронной
цифровой подписи "Верба-O\OW".
2. Утвердить:
Временные требования по обеспечению информационной безопасности в
системе электронного документооборота Пенсионного фонда Российской
Федерации (не приводятся);
Временное положение о порядке использования средств
криптографической защиты информации и электронной цифровой подписи в
системе электронного документооборота Пенсионного фонда Российской
Федерации (не приводится);
Регламент регистрации и подключения юридических и физических лиц
к системе электронного документооборота Пенсионного фонда Российской
Федерации.
3. Отделу по защите информации (Колесник Е.В.) в срок до
15.02.2001 разработать организационно - методические указания по
организации работ со средствами криптографической защиты информации и
электронной цифровой подписи в органах ПФР.
4. Контроль за исполнением настоящего Постановления возложить на
заместителя Председателя Правления ПФР Колесника А.П.
Председатель Правления ПФР
М. ЗУРАБОВ
26 января 2001 г.
N 15
УТВЕРЖДЕНО
Постановлением Правления ПФР
от 26 января 2001 года
N 15
РЕГЛАМЕНТ
РЕГИСТРАЦИИ И ПОДКЛЮЧЕНИЯ ЮРИДИЧЕСКИХ И ФИЗИЧЕСКИХ
ЛИЦ К СИСТЕМЕ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА
ПЕНСИОННОГО ФОНДА РОССИЙСКОЙ ФЕДЕРАЦИИ
1. Общие положения
1.1. Регламент регистрации и подключения юридических и физических
лиц к системе электронного документооборота Пенсионного фонда
Российской Федерации (далее - Регламент) разработан в соответствии с
требованиями законодательства Российской Федерации, Федерального
агентства правительственной связи и информации при Президенте
Российской Федерации (ФАПСИ), Государственной технической комиссии при
Президенте Российской Федерации (Гостехкомиссии России) и нормативных
актов Пенсионного фонда Российской Федерации (ПФР).
1.2. Регламент предназначен для органов ПФР, юридических и
физических лиц для организации обмена электронными документами между
юридическими, физическими лицами и органами ПФР в системе электронного
документооборота ПФР с использованием средств криптографической защиты
информации.
1.3. Юридические и физические лица, участвующие в электронном
документообороте ПФР с использованием средств криптографической защиты
информации "Верба-O\OW", являются конечными абонентами системы
электронного документооборота ПФР и не имеют права на предоставление
средств криптографической защиты информации и услуг в области
шифрования третьим лицам.
2. Термины и определения
Абонент системы (АС) - юридическое или физическое лицо,
включенное в систему электронного документооборота ПФР.
Закрытый ключ - криптографический ключ, который хранится
абонентом системы в тайне. Он используется для формирования
электронной цифровой подписи и шифрования.
Информационная безопасность (безопасность информации) - состояние
информации, информационных ресурсов и информационных систем, при
котором с требуемой вероятностью обеспечивается защита информации
(данных) от утечки, хищения, утраты, несанкционированного уничтожения,
искажения, модификации (подделки), копирования, блокирования и т.п.
Информационный обмен - обмен сведениями о лицах, предметах,
фактах, событиях и процессах, независимо от формы их представления.
Информация конфиденциального характера (конфиденциальная
информация) - любая информация ограниченного доступа, не содержащая
сведений, относящихся к государственной тайне.
Ключ (криптографический ключ) - конкретное секретное состояние
некоторых параметров алгоритма криптографического преобразования
данных, обеспечивающее выбор одного преобразования из совокупности
всевозможных для данного алгоритма преобразований.
Ключевая информация - конкретное состояние некоторых параметров
алгоритма криптографического преобразования данных и формирования
электронной цифровой подписи. В данном случае термин "ключ" означает
уникальный битовый шаблон.
Компрометация ключа - утрата доверия к тому, что используемые
ключи обеспечивают безопасность информации.
Криптографическая защита информации (зашифрование, расшифрование)
- процесс преобразования открытой информации с целью сохранения ее в
тайне от посторонних лиц при помощи некоторого алгоритма, называемого
шифром. Для зашифрования информации сторонами используется алгоритм
криптографического преобразования ГОСТ 28147-89, программно
реализованный в сертифицированном ФАПСИ средстве криптографической
защиты информации. Расшифрование является обратным процессом
зашифрования.
Орган ПФР - Исполнительная дирекция ПФР, Ревизионная комиссия
ПФР, Информационный центр персонифицированного учета ПФР, региональные
отделения ПФР, межрайонные и районные пункты ПФР, оснащенные
средствами автоматизации для выполнения основных задач, стоящих перед
ПФР.
Открытый ключ - криптографический ключ, который связан с закрытым
с помощью особого математического соотношения. Открытый ключ известен
всем другим абонентам системы, он предназначен для проверки
электронной цифровой подписи и расшифрования, позволяет определить
автора подписи и достоверность электронного документа, но не позволяет
вычислить закрытый ключ. Открытый ключ считается принадлежащим
абоненту, если он был зарегистрирован (сертифицирован) установленным
порядком.
Проверка электронной цифровой подписи - процесс определения
целостности, подлинности и авторства электронного документа,
подписанного электронной цифровой подписью, заключающийся в проверке
соотношения, связывающего хэш - функцию документа, подпись под этим
документом и открытый ключ подписавшего документ абонента. Если
проверяемое соотношение, полученное сертифицированными средствами
криптографической защиты информации, оказывается выполненным, то
подпись признается правильной, а сам документ - подлинным, в противном
случае документ считается недействительным. Процедуры выработки и
проверки электронной цифровой подписи, а также хэш - функции
соответствуют алгоритмам, определенным ГОСТ Р34.10-94 и ГОСТ
Р34.11-94.
Сертификационный центр - юридическое лицо, имеющее лицензии ФАПСИ
на изготовление и (или) поставку средств криптографической защиты
информации, ключей шифрования и электронной цифровой подписи.
Сертификация открытого ключа - подтверждение соответствия
сертификационного центра на регистрационных карточках открытых ключей
и внесение данных открытых ключей в справочники открытых ключей.
Сертификат на средства криптографической защиты информации -
документ, оформленный по правилам, действующим в Российской Федерации,
удостоверяющий соответствие этих средств специальным требованиям и
гарантирующий в течение определенного срока возможность использования
данного средства в соответствии с заданными требованиями.
Система электронного документооборота ПФР (СЭД ПФР) - обмен
сведениями о лицах, предметах, фактах, событиях и процессах,
представляемых в электронном виде с использованием вычислительной
техники, телекоммуникационных систем и сертифицированных ФАПСИ средств
криптографической защиты информации.
Средства криптографической защиты информации (СКЗИ) -
совокупность программных и технических средств, реализующих
криптографические преобразования с исходной информацией и функцию
выработки и проверки электронной цифровой подписи.
Электронный документ - информация, представленная в форме набора
состояний элементов электронной вычислительной техники, иных
электронных средств обработки, хранения и передачи информации, могущая
быть преобразованной в форму, пригодную для однозначного восприятия
человеком, и имеющая атрибуты для идентификации документа.
Электронная цифровая подпись (ЭЦП) - последовательность символов,
полученная в результате криптографического преобразования исходной
информации, которая позволяет подтверждать целостность и неизменность
этой информации, а также ее авторство.
Электронный документ оформлен надлежащим образом - электронный
документ заполнен в соответствии с требованиями нормативных актов ПФР.
Электронный документ принят - орган ПФР получил надлежащим
образом оформленный электронный документ, его расшифровал, успешно
проверил все необходимые для данного типа документа электронные
цифровые подписи и принял его к исполнению.
3. Порядок регистрации и подключения к системе
электронного документооборота ПФР
3.1. Юридические, физические лица направляют на имя руководителя
органа ПФР письменное заявление о подключении его к системе
электронного документооборота ПФР.
3.2. Получив письменное заявление от юридического, физического
лица на его подключение к системе электронного документооборота ПФР,
орган ПФР направляет в его адрес следующий пакет документов:
Соглашение об обмене электронными документами в системе
электронного документооборота ПФР (приложение 1 - не приводится);
номер ключевой серии, выделенный данному органу ПФР;
номера ключей шифрования и электронной цифровой подписи из данной
ключевой серии, выделенные органу ПФР;
Акт о готовности к работе в системе электронного документооборота
Пенсионного фонда Российской Федерации (приложение 2 - не приводится).
3.3. Порядок действий юридического и физического лица:
заключение договора с сертификационным центром на изготовление и
поставку средств криптографической защиты информации, ключей
шифрования и электронной цифровой подписи (далее - продукция) и
направление его в сертификационный центр;
проведение мероприятий по подготовке к эксплуатации средств
криптографической защиты информации в соответствии с Требованиями к
юридическим и физическим лицам, на которые распространяется действие
лицензий ФАПСИ, выданных Пенсионному фонду Российской Федерации
(приложение 3 - не приводится);
назначение из числа своих сотрудников администратора
информационной безопасности организации и его заместителя и
направление их на обучение в сертификационный центр.
Физическое лицо как самостоятельный участник электронного
документооборота ПФР является администратором информационной
безопасности в одном лице.
3.4. Сертификационный центр в соответствии с договором производит
изготовление продукции. Уполномоченные должностные лица
сертификационного центра оформляют Акт об изготовлении
криптографических ключей (приложение 4 - не приводится) в трех
экземплярах. Два экземпляра направляются другой стороне, один остается
в сертификационном центре.
3.5. Юридическое, физическое лицо получает продукцию в
соответствии с договором.
3.6. Юридическое, физическое лицо оформляет Акт о готовности к
работе в системе электронного документооборота Пенсионного фонда
Российской Федерации и направляет своего администратора информационной
безопасности либо прибывает самостоятельно в подразделение по защите
информации органа ПФР для предварительной регистрации и инструктажа с
комплектом документов, в состав которого входит:
Соглашение об обмене электронными документами в системе
электронного документооборота ПФР (приложение 1 - не приводится),
подписанное юридическим или физическим лицом;
контрольный лист с образцами печати юридического лица и личной
подписью руководителя (контрольный лист физического лица также
представляется с образцом его личной подписи);
выписку из приказа о назначении администратора информационной
безопасности и его заместителя у юридического лица, заверенную печатью
и подписью руководителя;
Акт о готовности к работе в системе электронного документооборота
Пенсионного фонда Российской Федерации (1 экз.);
Акт об изготовлении криптографических ключей (1 экз.);
Акт о готовности к эксплуатации программно - аппаратного
комплекса, защищенного СКЗИ (1 экз.) (приложение 5 - не приводится);
открытые ключи шифрования и электронной цифровой подписи;
сертификаты открытых ключей (регистрационные карточки, 1 экз.
остается в органе ПФР);
справочник открытых ключей.
В подразделении по защите информации органа ПФР с администратором
информационной безопасности проводится обмен открытыми ключами
шифрования и электронной цифровой подписи, паролями для организации
системы оповещения о компрометации ключей по телефонной сети общего
пользования, а также вносятся дополнения и изменения в справочники.
3.7. При соблюдении юридическим или физическим лицом всех
вышеуказанных условий руководитель органа ПФР подписывает Соглашение
об обмене электронными документами в системе электронного
документооборота ПФР. После чего юридическое или физическое лицо
становится абонентом системы электронного документооборота ПФР. |