7. Действия сторон при компрометации ключей
При регистрации в ПУЦ КрдФ Пользователь получает пароль для сообщения о компрометации ключей.
Пользователь обязан держать данный пароль в тайне для предотвращения несанкционированного отзыва личных сертификатов.
В случае принятия Пользователем решения о факте компрометации закрытых ключей он обязан немедленно прекратить защищенный информационный обмен с другими Пользователями ПУЦ КрдФ.
При компрометации ключей Пользователь обязан немедленно сообщить об этом в ПУЦ КрдФ по телефону, используя полученный пароль, либо отправить электронное сообщение, подписанное на скомпрометированном сертификате.
В сообщении Пользователю необходимо указать событие, рассматриваемое как компрометация ключей.
Дополнительные способы отзыва личных сертификатов определяются инструкцией Пользователя.
После получения сообщения о компрометации ключей Пользователя ПУЦ КрдФ отзывает выданный Пользователю скомпрометированный сертификат и переиздает СОС.
Формирование нового набора ключей и сертификата, взамен скомпрометированного, и ввод их в эксплуатацию производится за счет допустившего компрометацию ключей Пользователя.
8. Конфиденциальность информации
8.1 ПУЦ КрдФ и Пользователи в процессе обмена электронными документами обязуются обеспечить сохранность конфиденциальной информации, полученной друг от друга в соответствии с действующим законодательством Российской Федерации.
8.2 Порядок предоставления конфиденциальной информации налоговым, правоохранительным и судебным органам осуществляется в соответствии с действующим законодательством Российской Федерации.
9. Порядок разбора конфликтных ситуаций
При возникновении конфликтных ситуаций между Пользователями ПУЦ КрдФ, связанных с подтверждением авторства электронного документа, либо с подтверждением целостности и подлинности документа, Пользователи должны руководствоваться следующими исходными положениями:
Электронный документ, снабженный ЭЦП, в соответствии с законодательством РФ, юридически эквивалентен бумажному документу, имеющему соответствующие собственноручные подписи и печати при одновременном соблюдении следующих условий:
используемый для формирования ЭЦП сертификат не утратил силу (действует) на момент проверки или на момент подписания документа при наличии доказательств, определяющих момент подписания;
подтверждена подлинность ЭЦП в электронном документе;
ЭЦП используется в соответствии со сведениями, указанными в соответствующем сертификате.
Пользователь признает, что использование им при обмене электронными документами ЭЦП автоматически порождает его ответственность перед другими Пользователями ПУЦ КрдФ в случае, если ЭЦП применяется в соответствии с предназначением, указанным в сертификате открытого ключа и на момент подписания сам сертификат является действительным.
Пользователь признает, что ЭЦП документа однозначно определяет его собственника (отправителя), а также неизменность данного документа с момента подписания.
Факт приема электронного документа подтверждается отсылкой получателем отправителю данного документа соответствующим образом оформленной квитанции о получении, либо обратной отсылкой того же документа, переподписанного с помощью ЭЦП получателя.
Пользователь обязуется использовать исключительно СКЗИ, имеющие сертификат ФАПСИ (ФСБ) и строго соблюдать требования технической документации на данные средства.
Пользователь признает, что математический аппарат, используемый в СКЗИ и соответствующий российским стандартам обеспечивает невозможность подделки ЭЦП документа без знания закрытого ключа Пользователя – собственника документа.
Пользователь признает, что разрешение любой конфликтной ситуации сводится к доказательству подписания конкретного электронного документа на конкретном закрытом ключе.
9.1 Конфликтные ситуации, связанные с подтверждением авторства документа разрешаются в следующем порядке:
9.1.1 Пользователь, обнаруживший, что кто-либо из других Пользователей ПУЦ КрдФ ссылается на документ, имеющий ЭЦП и якобы исходящий от данного Пользователя, но при этом, не отправлявшийся им, или содержание документа было несанкционированно кем-то изменено, немедленно оповещает о такой конфликтной ситуации ПУЦ КрдФ.
9.1.2 Пользователь временно прекращает защищенный информационный обмен с другими Пользователями, т.к. возможна ситуация компрометации его ключей.
9.1.3 ПУЦ КрдФ формирует экспертную комиссию, состоящую из сотрудников ПУЦ КрдФ, Пользователей ПУЦ КрдФ, вовлеченных в конфликтную ситуацию и (по усмотрению ПУЦ КрдФ, либо Пользователей) независимых авторитетных экспертов в области криптографической защиты информации.
9.1.4 Экспертная комиссия подтверждает, либо опровергает авторство Пользователя для данного документа и составляет акт разрешения конфликтной ситуации. При этом комиссии должны быть предоставлены следующие материалы:
электронный документ с ЭЦП, авторство которого оспаривается.
сертификат открытого ключа Пользователя, выданный ПУЦ КрдФ.
соответствующий данному сертификату ключевой носитель.
оборудование Пользователя с используемыми СКЗИ.
9.2 Конфликтные ситуации, связанные с подтверждением корректности полученного электронного документа (проверка ЭЦП документа дает отрицательный результат) разрешаются в следующем порядке:
9.2.1 Пользователь, получивший сообщение с некорректной ЭЦП запрашивает у отправителя повторное формирование и передачу подписанного документа.
9.2.2 Если повторное сообщение также не проходит проверку подписи, получателем делается вывод о невозможности использования данного документа.
9.2.3 Получатель информирует о таком выводе отправителя документа.
9.2.4 Отправитель документа выясняет и устраняет причины, вызвавшие получение некорректной ЭЦП. Такими причинами могу являться:
недействительный сертификат;
нарушение целостности используемого ключевого носителя;
нарушение целостности СКЗИ.
При невозможности устранения причин самостоятельно Пользователь – отправитель документа обращается в ПУЦ КрдФ.
|
