9.Действия пользователей и Удостоверяющего Центра при компрометации ключей
После процедуры регистрации пользователь получает пароль для экстренной связи с Удостоверяющим Центром. Пользователь обеспечивает сохранение конфиденциальности пароля.
Пользователь в случае принятия решения о компрометации собственного ключа электронной подписи обязан немедленно информировать Удостоверяющий Центр по телефонным каналам связи с использованием устного пароля.
Удостоверяющий Центр, получив сообщение о компрометации ключа пользователя, должен немедленно аннулировать сертификат скомпрометированного ключа (поместив соответствующий сертификат ключа проверки электронной подписи в Список отозванных сертификатов).
Пользователь, допустивший компрометацию собственных криптографических ключей, несет все издержки, связанные с генерацией новых ключей, их сертификацией и доставкой пользователю.
10.Архивное хранение
Архивированию подлежат следующие данные:
реестр сертификатов ключей проверки электронной подписи пользователей;
сертификаты ключей проверки электронной подписи уполномоченного лица Удостоверяющего Центра;
журналы аудита программно-аппаратных средств обеспечения деятельности Удостоверяющего Центра;
реестр зарегистрированных пользователей;
заявления на изготовление ключей пользователей;
заявления на изготовление сертификатов ключей проверки электронной подписи;
заявления на аннулирование (отзыв) сертификатов ключей проверки электронной подписи.
Срок архивного хранения данных составляет 11 лет.
Приложение 1
Термины и сокращения
Авторство документа – принадлежность документа одному из участников (абонентов) системы электронного документооборота. Авторство документа определяется путем аутентификации содержащейся в нем информации.
Аутентификация информации – установление подлинности и целостности информации, содержащейся в документе. Аутентификация может осуществляться как на основе структуры и содержания документа или его реквизитов, так и путем реализации криптографических алгоритмов преобразования информации. Доказательная аутентификация информации осуществляется анализом (экспертизой) подписей должностных лиц и печатей на бумажных документах и проверкой правильности ЭП для электронных документов при использовании сертифицированных средств криптографической защиты информации.
Владелец сертификата ключа проверки электронной подписи – физическое лицо, на имя которого Удостоверяющим Центром выдан сертификат ключа проверки электронной подписи и которое владеет соответствующим ключом электронной подписи.
Внеплановая смена ключей – смена ключей в соответствии с документацией на СКЗИ, вызванная компрометацией ключей.
Компрометация ключа – утрата доверия к тому, что используемые ключи электронной подписи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся следующие ситуации:
• утрата электронных носителей ключа;
• утрата электронных носителей ключа с последующим обнаружением;
• увольнение сотрудников, имевших доступ к ключевой информации;
• возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;
• нарушение целостности печатей на сейфах с электронными носителями ключевой информации, если используется процедура опечатывания сейфов;
• утрата ключей от сейфов в момент нахождения в них электронных носителей ключевой информации;
• утрата ключей от сейфов в момент нахождения в них электронных носителей ключевой информации с последующим обнаружением;
• доступ посторонних лиц к ключевой информации.
Конфиденциальность информации – субъективно определяемая характеристика информации, означающая необходимость введения ограничений на круг лиц, имеющих к ней доступ.
Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с действующим законодательством Российской Федерации, нормативными актами Правительства Московской области, а также настоящим Регламентом.
Конфликтная ситуация – ситуация, при которой у пользователей возникает необходимость разрешения вопросов признания или непризнания авторства и/или подлинности электронных документов, обработанных средствами криптографической защиты информации.
Корректный электронный документ – электронный документ, прошедший процедуру проверки ЭП с подтверждением ее правильности, а также документ, не имеющий искажений в тексте сообщения, не позволяющих понять его смысл.
Криптографическая защита – защита информации от ее несанкционированной модификации и доступа посторонних лиц при помощи алгоритмов криптографического преобразования.
Криптографический ключ (ключ) – параметр шифра или его значение, определяющее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.
Некорректный электронный документ – электронный документ, не прошедший процедуры проверки ЭП, а также документ, имеющий искажения в тексте сообщения, не позволяющие понять его смысл.
Несанкционированный доступ к информации – доступ к информации лиц, не имеющих на то полномочий.
Обработка информации – создание, хранение, передача, прием, преобразование и отображение информации.
Ключ ЭП - уникальная последовательность символов, предназначенная для создания электронной подписи
Ключ проверки ЭП – уникальная последовательность символов, соответствующая ключу ЭП, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной подписи подлинности электронной подписи в электронном документе. Ключ проверки электронной подписи пользователя является действующим на момент подписания, если он зарегистрирован (сертифицирован) и введен в действие.
Плановая смена ключей – смена ключей, не вызванная компрометацией ключей, в соответствии с эксплуатационной документацией на СКЗИ, с периодичностью, согласованной с пользователем.
Подтверждение подлинности электронной подписи в электронном документе – положительный результат проверки соответствующим сертифицированным средством электронной подписи с использованием сертификата ключа проверки электронной подписи принадлежности электронной подписи в электронном документе владельцу сертификата ключа проверки электронной подписи и отсутствия искажений в подписанном данной электронной подписью электронном документе.
Пользователь информационной системы – участник информационного обмена электронными документами, зарегистрированный в Удостоверяющем Центре и признающий данный Регламент.
Сертификат ключа проверки электронной подписи – электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи;
СОС – список отозванных сертификатов.
Управление ключами – создание (генерация) ключей, их хранение, распространение, удаление (уничтожение), учет и применение в соответствии с настоящим Регламентом.
Шифрование – процесс преобразования открытой информации с целью сохранения ее в тайне от посторонних лиц при помощи некоторого алгоритма, называемого шифром. Для шифрования информации используется алгоритм криптографического преобразования ГОСТ 28147-89.
Шифр – совокупность обратимых преобразований множества возможных открытых данных на множество возможных шифрованных данных, осуществляемых по определенным правилам с применением ключей.
Электронный документ – документ, в котором информация представлена в электронно-цифровой форме. Электронный документ может создаваться на основе документа на бумажном носителе, на основе другого электронного документа либо порождаться в процессе информационного взаимодействия.
Электронная подпись (ЭП) – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
Приложение 2
Список Центров регистрации
Приложение 3
Образец бланка сертификата ключа проверки ЭП
Приложение 4
Структуры сертификатов и списков отозванных сертификатов
|
