7. Полномочия и ответственность владельцев ключей
Для участия в Электронном документообороте каждый Участник распределяет среди Владельцев ключей следующие роли:
7.1.1. Главный администратор Участника;
7.1.2. Контролер;
7.1.3. Подписант.
Главный администратор Участника:
7.2.1. Имеет право определять/ добавлять/ редактировать/ блокировать Подписантов и Контролера Участника;
7.2.2. Имеет право устанавливать и удостоверять полномочия Подписантов Участника на подписание и отправку Электронных документов от имени Участника;
7.2.3. Подписывать своей ЭП акты о признании электронной подписи Владельцев ключей, а также иные Электронные документы, которыми Участник обменивается с Администрацией и (или) Провайдером.
Контролер:
7.3.1. Является Владельцем ключей ЭП Контролера Участника;
7.3.2. Имеет право и полномочия подписывать и направлять Электронные документы от имени Участника в адрес других Участников;
7.3.3. Наличие Владельца ключей Участника с ролью Контролера является обязательным условием для осуществления Электронного документооборота между Участником и другими Участниками. Любой Электронный документ, отправляемый от имени Участника, за исключением Электронных документов, указанных в 7.2.3 настоящих Правил, должен быть подписан Контролером;
7.3.4. Открытый ключ Контролера-получателя используется для шифрования одноразового симметричного ключа шифрования, на котором осуществляется шифрование Электронного документа перед его отправкой в Сеть «CyberFT»;
7.3.5. ЭП Контролера является электронной подписью Участника. Ответственным за создание ЭП Контролера является руководитель Участника. Электронный документ, подписанный ЭП Контролера, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью руководителя Участника.
Подписант:
7.4.1. Является Владельцем ключей;
7.4.2. Имеет право и полномочия подписывать и направлять Электронные документы от имени Участника в адрес других Участников;
7.4.3. Участник может по своему усмотрению или по условиям двустороннего договора со своим контрагентом, Участником-получателем Электронных документов, установить режим, когда Электронный документ должен подписываться более чем одной ЭП Подписантов с разными ролями подписи (1-я, 2-я и т.д. ЭП) и с использованием разных СКЗИ, из числа указанных в п. 5.8.
7.4.4. На усмотрение Участника или по условиям двустороннего договора со своим контрагентом, Участником-получателем Электронных документов, Владельцем ЭП Подписанта может быть, как физическое, так и юридическое лицо, представляющее Участника. Юридическое лицо может являться Владельцем ЭП Подписанта только в случае использования данной ЭП для автоматического подписания Электронных документов. При этом распорядительным актом юридического лица определяется физическое лицо, ответственное за автоматическое создание ЭП Подписанта в ЭД в рамках электронного документооборота в Сети «CyberFT». В случае отсутствия указанного распорядительного акта ответственным за автоматическое создание ЭП является руководитель юридического лица. Участник несет полную ответственность за действия в Сети «CyberFT» Владельцев ключей, наделенных указанными в данном разделе ролями.
Участники могут на основании двусторонних договоров самостоятельно определять полномочия Владельцев ключей контрагента при приеме от него Электронных документов.
8. Требования к информационной безопасности
Участники обязуются предпринять все разумные меры для обеспечения сохранности своих Закрытых (секретных) ключей посредством применения программно-технических средств и организационных мер.
Защита информации, обрабатываемой в Сети «CyberFT», обеспечивается выполнением комплекса технических и организационных мер, предпринимаемых всеми Участниками в зонах своей ответственности, а именно:
8.2.1. Администрация Сети «CyberFT»:
разрабатывает и доводит до всех Участников Сети «CyberFT» требования безопасности, обязательные для исполнения, путем размещения их в информационно-телекоммуникационной сети «Интернет» на сайте http://www.CyberFT.ru или посредством тематических рассылок по зарегистрированным в Сети «CyberFT» адресам электронной почты Участников;
обеспечивает контроль выполнения требуемых мер безопасности Провайдерами Сегментов Сети «CyberFT»;
обеспечивает соблюдение конфиденциальности информации ограниченного доступа;
обеспечивает безопасность разрабатываемого программного обеспечения (ПО), передаваемого Провайдерам и Участникам, на всех этапах жизненного цикла данного ПО (обязанности по непосредственному выполнению требований безопасности согласно эксплуатационной документации на этапах развертывания, эксплуатации и вывода из эксплуатации переданного ПО лежат на Провайдерах и Участниках соответственно).
8.2.2. Провайдер Сегмента Сети «CyberFT» обеспечивает комплексную защиту своего Сегмента Сети «CyberFT» и обрабатываемой в ней информации за счет применения организационных и технических мер, направленных на:
обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации в своей зоне ответственности (зона ответственности Провайдера распространяется на его внутреннюю территориально распределенную информационно-технологическую инфраструктуру, ограниченную периферийными шлюзами во внешние по отношению к Провайдеру телекоммуникационные сети, включая информационно-телекоммуникационную сеть «Интернет»);
соблюдение конфиденциальности информации ограниченного доступа;
обеспечение доступности сервиса в соответствии с установленными в Договоре значениями;
соблюдение требований по обеспечению информационной безопасности в соответствии с законами и другими нормативно-правовыми актами, действующими на территории нахождения Провайдера и Участников его Сегмента Сети «CyberFT»;
обеспечение выполнения требований безопасности согласно эксплуатационной документации на используемое Провайдером ПО и оборудование.
8.2.3. Участник Сети «CyberFT» обеспечивает комплексную защиту ПО, оборудования, ключей и информации, задействованных в рамках информационно-технологической инфраструктуры Участника в интересах взаимодействия с Сетью «CyberFT» в соответствии с требованиями, изложенными в настоящих Правилах и эксплуатационной документации на используемое ПО и оборудование, а также в соответствии с законами и другими нормативно-правовыми актами, действующими на территории страны, где Участник осуществляет свою деятельность.
8.2.4. Целостность и подтверждение авторства информации, при передаче Электронных документов между Участниками, обеспечивается обязательным использованием, как минимум, одной ЭП Контролера каждым Участником, участвующим в обработке данного Электронного документа.
8.2.5. Защита информации от несанкционированного доступа при передаче Электронных документов между Участниками, обеспечивается использованием защищенного протокола обмена TLS 1.2 и шифрованием защищаемой информации в Электронных документах с использованием СКЗИ.
Если по условиям Договора, в котором имеется ссылка на настоящие Правила, для работы в Сети «CyberFT» Участнику предоставляется Терминал CyberFT или любое другое программное обеспечение разработки «CyberFT» - Участник обязуется эксплуатировать программное обеспечение, предоставляемое Сетью «CyberFT», в соответствии с техническими требованиями и инструкциями и только для связи с определенными в этих документах серверами Сети «CyberFT». Безопасность и надежность передачи и обработки данных обеспечивается не только использованием ЭП, но и применением строго определенного программного обеспечения и адресов, по которым происходит информационное взаимодействие между Участником и Процессингом.
Перечень критических событий, связанных с нарушением информационной безопасности в Сети «CyberFT»:
Компрометация ключей, т.е. потеря контроля доступа к ключам;
потеря контроля над программным обеспечением;
увольнение, перевод на другое место работы сотрудника, имевшего доступ к ключам;
другие события, влияющие на безопасность Электронного документооборота в Сети «CyberFT».
При возникновении критического события Участник обязан немедленно уведомить Провайдера об этом наиболее быстрым способом: через предоставленный Участнику Терминал CyberFT, по электронной почте, по факсимильной связи или иным образом по реквизитам, указанным на информационном сервере Провайдера или на информационном сервере Администрации в информационно-телекоммуникационной сети «Интернет» по адресу: http://www.CyberFT.ru. Ответственность за операции, осуществленные от имени Участника до момента письменного подтверждения Провайдера, адресованного Участнику, о получении вышеуказанного уведомления и о прекращении действия соответствующих Закрытых (секретных) ключей (Ключей электронной подписи) и Открытых ключей (Ключей проверки электронной подписи), несет исключительно Участник, а Провайдер и Администрация не несут какой-либо ответственности за данные операции.
Провайдер и Администрация обязуются немедленно уведомлять Участника обо всех неправильно произведенных операциях и о потере контроля над программным обеспечением и носителями Криптографических ключей по реквизитам, указанным в подписанных между Участником и Провайдером (или Администрацией) договорах.
После получения уведомления о Компрометации ключа Участник не должен использовать скомпрометированные Открытые ключи для шифрования и (или) выполнения проверки подлинности Электронных документов, полученных после уведомления о Компрометации ключа.
9. ЗАКЛЮЧЕНИЕ ДОГОВОРОВ МЕЖДУ УЧАСТНИКАМИ В ЭЛЕКТРОННОЙ ФОРМЕ
Между Участниками может быть заключен договор в электронной форме, в порядке, предусмотренном пунктами 2 и 3 статьи 434 и пунктом 3 статьи 438 Гражданского кодекса Российской Федерации.
Письменное сообщение (договор или оферта) одного Участника (Участника-отправителя), подписанное ЭП Контролера Участника-отправителя, адресованное другому Участнику (Участнику-получателю) и передаваемое через Сеть «CyberFT» в электронной форме, признается данными Участниками электронным документом, передаваемым через канал связи, позволяющим достоверно установить, что документ исходит от соответствующего Участника-отправителя.
Совершение Участником-получателем, получившим вышеуказанное письменное сообщение, следующих действий в совокупности:
установка Сертификата открытого ключа ЭП Контролера Участника-отправителя;
использование Сертификата открытого ключа ЭП Контролера Участника-отправителя для проверки ЭП Участника-отправителя;
отправка Участником-получателем Участнику-отправителю письменного сообщения, подписанного ЭП Контролера Участника-получателя, содержащего полученный текст договора без исправлений или акцепт полученной оферты,
считается полным и безоговорочным подписанием Участниками договора или акцептом оферты, письменная форма договора считается соблюденной, а договор между данными Участниками считается заключенным.
10. Порядок разрешения конфликтных ситуаций
В случае возникновения споров о подлинности Электронных документов, подписанных ЭП, применяется процедура согласования разногласий, предусмотренная настоящим Разделом Правил.
Бремя доказывания лежит на Стороне, заявившей о нарушении ее прав и законных интересов.
Если одна из Сторон утверждает, что Электронный документ подписан ЭП, а другая эту ЭП не признает, в пятидневный срок путем обмена письмами Стороны создают Согласительную комиссию. Полномочия членов Согласительной комиссии подтверждаются доверенностями. Председатель Согласительной комиссии не избирается, члены Согласительной комиссии равноправны.
Если Стороны не договорятся об ином, в состав Согласительной комиссии входит равное количество представителей каждой из конфликтующих Сторон, но не менее чем по одному уполномоченному представителю.
В состав Согласительной комиссии, как правило, назначаются специалисты из числа сотрудников технических служб и служб информационной безопасности Сторон. Рекомендуется, чтобы лица, входящие в состав Согласительной комиссии, обладали необходимыми знаниями в области построения системы криптозащиты и работы компьютерных информационных систем. При необходимости, например, при отсутствии соответствующих специалистов, любая Сторона может в качестве своего (-их) представителя (-ей) привлечь независимого (-ых) эксперта (-ов).
По инициативе любой из Сторон к работе Согласительной комиссии для проведения технической экспертизы могут привлекаться представители Провайдера(ов), участвовавшего(их) в передаче спорного Электронного документа, а также независимые эксперты, соответствующие требованиям, указанным в п. 10.5 настоящих Правил, в том числе разработчики используемых в Сети «CyberFT» СКЗИ. Сторона, привлекающая независимых экспертов, самостоятельно решает вопрос об оплате экспертных услуг.
После создания Согласительной комиссии Стороны обязаны предоставить в Согласительную комиссию следующие материалы:
Сторона, оспаривающая подлинность подписи, предоставляет спорный Электронный документ в виде файла;
обе Стороны предоставляют контрольные экземпляры Открытого ключа ЭП в электронной форме, который используется ими при проверке подлинности оспариваемой ЭП, и документы (включая Электронные), подтверждающие признание Сторонами указанного Открытого ключа ЭП;
Стороны предоставляют Контрольные экземпляры ПО для проверки подлинности ЭП в соответствии с типом используемого СКЗИ.
Для проверки подлинности Электронного документа с ЭП Согласительная комиссия производит следующие действия:
сравнивает Открытые ключи ЭП, предоставленные Сторонами. Верным признается экземпляр Открытого ключа, комплементарный Закрытому (секретному) ключу ЭП Стороны, для которого имеются документы (включая Электронные), подтверждающие признание Стороной указанного Открытого ключа, действительные на момент формирования и отправки оспариваемого Электронного документа;
разворачивает проверочный стенд и устанавливает на нём Контрольный экземпляр программного обеспечения для проверки ЭП;
проверяет правильность ЭП под спорным документом, используя Контрольный экземпляр программного обеспечения, предназначенного для проверки ЭП.
Результаты работы Согласительной комиссии отражаются в акте, который подписывается всеми членами комиссии. Члены комиссии, не согласные с выводами большинства, подписывают указанный акт с возражениями, которые прилагаются к нему. Акт составляется в таком количестве экземпляров, чтобы каждая из конфликтующих Сторон имела по одному подлинному экземпляру акта. По требованию члена комиссии ему может быть выдана заверенная копия акта.
ЭП признается фальшивой или подлинной в зависимости от результатов проверки. Согласительная комиссия делает вывод о причинах возникновения разногласий и определяет виновную Сторону.
Акт Согласительной комиссии является основанием для предъявления претензий к виновной Стороне.
Акт Согласительной комиссии может быть представлен в качестве доказательства в случае разбирательства спора в судебных органах.
Порядок определения подлинности Электронного документа и ЭП, установленный настоящими Правилами, обязателен для Согласительной комиссии.
В случае уклонения какой-либо из Сторон от создания Согласительной комиссии, другие Стороны вправе самостоятельно назначить трех независимых экспертов для дачи заключения по вопросу подлинности спорной ЭП.
Письменное заключение экспертов составляется в таком количестве экземпляров, чтобы каждая из конфликтующих Сторон имела по одному подлинному экземпляру.
Заключение экспертов может быть представлено в качестве доказательства в случае разбирательства спора в судебных органах.
Расходы по проведению согласительной процедуры возлагаются на Сторону, заявившую о нарушении ее прав и законных интересов.
В случае признания требований Стороны, заявившей о нарушении ее прав и законных интересов, правомерными, виновная Сторона обязана, в течение 5 (пяти) рабочих дней со дня, следующего за днем составления акта Согласительной комиссией или вынесения заключения экспертами, возместить другой Стороне убытки в виде реального ущерба, наступившие в результате действий виновных, и расходы, связанные с проведением согласительной процедуры.
|
