О ВВЕДЕНИИ В СИСТЕМЕ ПЕНСИОННОГО ФОНДА РОССИЙСКОЙ ФЕДЕРАЦИИ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ И ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ. Постановление. Пенсионный фонд РФ. 26.01.01 15

          О ВВЕДЕНИИ В СИСТЕМЕ ПЕНСИОННОГО ФОНДА РОССИЙСКОЙ
            ФЕДЕРАЦИИ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ
                    И ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ
 
                            ПОСТАНОВЛЕНИЕ

                         ПЕНСИОННЫЙ ФОНД РФ

                          26 января 2001 г.
                                 N 15
 
                                 (Д)


     В целях  обеспечения   защиты   информации,   предоставляемой   в
электронной  форме в системе электронного документооборота Пенсионного
фонда Российской Федерации, Правление ПФР постановляет:
     1. Использовать для защиты информации, передаваемой в электронной
форме,  средства криптографической  защиты  информации  и  электронной
цифровой подписи "Верба-O\OW".
     2. Утвердить:
     Временные требования по обеспечению информационной безопасности в
системе электронного  документооборота  Пенсионного  фонда  Российской
Федерации (не приводятся);
     Временное положение    о    порядке     использования     средств
криптографической  защиты  информации и электронной цифровой подписи в
системе электронного  документооборота  Пенсионного  фонда  Российской
Федерации (не приводится);
     Регламент регистрации и подключения юридических и физических  лиц
к  системе  электронного документооборота Пенсионного фонда Российской
Федерации.
     3. Отделу   по  защите  информации  (Колесник  Е.В.)  в  срок  до
15.02.2001  разработать  организационно  -  методические  указания  по
организации  работ со средствами криптографической защиты информации и
электронной цифровой подписи в органах ПФР.
     4. Контроль  за исполнением настоящего Постановления возложить на
заместителя Председателя Правления ПФР Колесника А.П.

Председатель Правления ПФР
                                                            М. ЗУРАБОВ
26 января 2001 г.
N 15


                                                            УТВЕРЖДЕНО
                                          Постановлением Правления ПФР
                                                от 26 января 2001 года
                                                                  N 15

                              РЕГЛАМЕНТ
          РЕГИСТРАЦИИ И ПОДКЛЮЧЕНИЯ ЮРИДИЧЕСКИХ И ФИЗИЧЕСКИХ
             ЛИЦ К СИСТЕМЕ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА
                ПЕНСИОННОГО ФОНДА РОССИЙСКОЙ ФЕДЕРАЦИИ

                          1. Общие положения

     1.1. Регламент регистрации и подключения юридических и физических
лиц   к   системе   электронного  документооборота  Пенсионного  фонда
Российской Федерации (далее - Регламент) разработан в  соответствии  с
требованиями   законодательства   Российской  Федерации,  Федерального
агентства  правительственной  связи  и   информации   при   Президенте
Российской Федерации (ФАПСИ), Государственной технической комиссии при
Президенте Российской Федерации (Гостехкомиссии России) и  нормативных
актов Пенсионного фонда Российской Федерации (ПФР).
     1.2. Регламент  предназначен  для  органов  ПФР,  юридических   и
физических  лиц  для организации обмена электронными документами между
юридическими, физическими лицами и органами ПФР в системе электронного
документооборота ПФР с использованием средств криптографической защиты
информации.
     1.3. Юридические  и  физические  лица,  участвующие в электронном
документообороте ПФР с использованием средств криптографической защиты
информации   "Верба-O\OW",   являются   конечными  абонентами  системы
электронного документооборота ПФР и не имеют права  на  предоставление
средств   криптографической   защиты  информации  и  услуг  в  области
шифрования третьим лицам.

                       2. Термины и определения

     Абонент системы  (АС)  -   юридическое   или   физическое   лицо,
включенное в систему электронного документооборота ПФР.
     Закрытый ключ  -   криптографический   ключ,   который   хранится
абонентом   системы   в   тайне.   Он  используется  для  формирования
электронной цифровой подписи и шифрования.
     Информационная безопасность (безопасность информации) - состояние
информации,  информационных  ресурсов  и  информационных  систем,  при
котором  с  требуемой  вероятностью  обеспечивается  защита информации
(данных) от утечки, хищения, утраты, несанкционированного уничтожения,
искажения, модификации (подделки), копирования, блокирования и т.п.
     Информационный обмен  -  обмен  сведениями  о  лицах,  предметах,
фактах, событиях и процессах, независимо от формы их представления.
     Информация конфиденциального     характера      (конфиденциальная
информация)  -  любая информация ограниченного доступа,  не содержащая
сведений, относящихся к государственной тайне.
     Ключ (криптографический  ключ)  -  конкретное секретное состояние
некоторых  параметров  алгоритма   криптографического   преобразования
данных,  обеспечивающее  выбор  одного  преобразования из совокупности
всевозможных для данного алгоритма преобразований.
     Ключевая информация  -  конкретное состояние некоторых параметров
алгоритма  криптографического  преобразования  данных  и  формирования
электронной  цифровой подписи.  В данном случае термин "ключ" означает
уникальный битовый шаблон.
     Компрометация ключа  -  утрата  доверия к тому,  что используемые
ключи обеспечивают безопасность информации.
     Криптографическая защита информации (зашифрование, расшифрование)
- процесс преобразования открытой информации с целью сохранения  ее  в
тайне от посторонних лиц при помощи некоторого алгоритма,  называемого
шифром.  Для зашифрования информации сторонами  используется  алгоритм
криптографического    преобразования    ГОСТ    28147-89,   программно
реализованный в  сертифицированном  ФАПСИ  средстве  криптографической
защиты   информации.   Расшифрование   является   обратным   процессом
зашифрования.
     Орган ПФР  -  Исполнительная  дирекция ПФР,  Ревизионная комиссия
ПФР, Информационный центр персонифицированного учета ПФР, региональные
отделения   ПФР,   межрайонные   и  районные  пункты  ПФР,  оснащенные
средствами автоматизации для выполнения основных задач,  стоящих перед
ПФР.
     Открытый ключ - криптографический ключ, который связан с закрытым
с помощью особого математического соотношения.  Открытый ключ известен
всем  другим  абонентам  системы,   он   предназначен   для   проверки
электронной  цифровой  подписи  и расшифрования,  позволяет определить
автора подписи и достоверность электронного документа, но не позволяет
вычислить   закрытый   ключ.  Открытый  ключ  считается  принадлежащим
абоненту,  если он был зарегистрирован (сертифицирован)  установленным
порядком.
     Проверка электронной  цифровой  подписи  -  процесс   определения
целостности,   подлинности   и   авторства   электронного   документа,
подписанного электронной цифровой подписью,  заключающийся в  проверке
соотношения,  связывающего  хэш - функцию документа,  подпись под этим
документом  и  открытый  ключ  подписавшего  документ  абонента.  Если
проверяемое   соотношение,  полученное  сертифицированными  средствами
криптографической  защиты  информации,  оказывается  выполненным,   то
подпись признается правильной, а сам документ - подлинным, в противном
случае документ  считается  недействительным.  Процедуры  выработки  и
проверки   электронной   цифровой  подписи,  а  также  хэш  -  функции
соответствуют  алгоритмам,  определенным   ГОСТ   Р34.10-94   и   ГОСТ
Р34.11-94.
     Сертификационный центр - юридическое лицо, имеющее лицензии ФАПСИ
на  изготовление  и  (или)  поставку  средств криптографической защиты
информации, ключей шифрования и электронной цифровой подписи.
     Сертификация открытого   ключа   -   подтверждение   соответствия
сертификационного центра на регистрационных карточках открытых  ключей
и внесение данных открытых ключей в справочники открытых ключей.
     Сертификат на  средства  криптографической  защиты  информации  -
документ, оформленный по правилам, действующим в Российской Федерации,
удостоверяющий соответствие этих  средств  специальным  требованиям  и
гарантирующий  в течение определенного срока возможность использования
данного средства в соответствии с заданными требованиями.
     Система электронного  документооборота  ПФР  (СЭД  ПФР)  -  обмен
сведениями  о  лицах,  предметах,  фактах,   событиях   и   процессах,
представляемых  в  электронном  виде  с  использованием вычислительной
техники, телекоммуникационных систем и сертифицированных ФАПСИ средств
криптографической защиты информации.
     Средства криптографической    защиты    информации    (СКЗИ)    -
совокупность    программных   и   технических   средств,   реализующих
криптографические преобразования  с  исходной  информацией  и  функцию
выработки и проверки электронной цифровой подписи.
     Электронный документ - информация,  представленная в форме набора
состояний   элементов   электронной   вычислительной   техники,   иных
электронных средств обработки, хранения и передачи информации, могущая
быть  преобразованной  в форму,  пригодную для однозначного восприятия
человеком, и имеющая атрибуты для идентификации документа.
     Электронная цифровая подпись (ЭЦП) - последовательность символов,
полученная в  результате  криптографического  преобразования  исходной
информации,  которая позволяет подтверждать целостность и неизменность
этой информации, а также ее авторство.
     Электронный документ  оформлен  надлежащим  образом - электронный
документ заполнен в соответствии с требованиями нормативных актов ПФР.
     Электронный документ   принят  -  орган  ПФР  получил  надлежащим
образом оформленный электронный  документ,  его  расшифровал,  успешно
проверил  все  необходимые  для  данного  типа  документа  электронные
цифровые подписи и принял его к исполнению.

            3. Порядок регистрации и подключения к системе
                  электронного документооборота ПФР

     3.1. Юридические,  физические лица направляют на имя руководителя
органа  ПФР  письменное  заявление  о  подключении   его   к   системе
электронного документооборота ПФР.
     3.2. Получив письменное заявление  от  юридического,  физического
лица  на  его подключение к системе электронного документооборота ПФР,
орган ПФР направляет в его адрес следующий пакет документов:
     Соглашение об   обмене   электронными   документами   в   системе
электронного документооборота ПФР (приложение 1 - не приводится);
     номер ключевой серии, выделенный данному органу ПФР;
     номера ключей шифрования и электронной цифровой подписи из данной
ключевой серии, выделенные органу ПФР;
     Акт о готовности к работе в системе электронного документооборота
Пенсионного фонда Российской Федерации (приложение 2 - не приводится).
     3.3. Порядок действий юридического и физического лица:
     заключение договора  с сертификационным центром на изготовление и
поставку   средств   криптографической   защиты   информации,   ключей
шифрования  и  электронной  цифровой  подписи  (далее  -  продукция) и
направление его в сертификационный центр;
     проведение мероприятий   по  подготовке  к  эксплуатации  средств
криптографической защиты информации в соответствии  с  Требованиями  к
юридическим  и физическим лицам,  на которые распространяется действие
лицензий  ФАПСИ,  выданных  Пенсионному  фонду  Российской   Федерации
(приложение 3 - не приводится);
     назначение из    числа    своих    сотрудников     администратора
информационной   безопасности   организации   и   его   заместителя  и
направление их на обучение в сертификационный центр.
     Физическое лицо   как   самостоятельный   участник   электронного
документооборота   ПФР   является    администратором    информационной
безопасности в одном лице.
     3.4. Сертификационный центр в соответствии с договором производит
изготовление     продукции.     Уполномоченные     должностные    лица
сертификационного    центра    оформляют    Акт    об     изготовлении
криптографических  ключей  (приложение  4  -  не  приводится)  в  трех
экземплярах. Два экземпляра направляются другой стороне, один остается
в сертификационном центре.
     3.5. Юридическое,   физическое   лицо   получает   продукцию    в
соответствии с договором.
     3.6. Юридическое,  физическое лицо оформляет Акт о  готовности  к
работе  в  системе  электронного  документооборота  Пенсионного  фонда
Российской Федерации и направляет своего администратора информационной
безопасности  либо  прибывает самостоятельно в подразделение по защите
информации органа ПФР для предварительной регистрации и инструктажа  с
комплектом документов, в состав которого входит:
     Соглашение об   обмене   электронными   документами   в   системе
электронного  документооборота  ПФР  (приложение  1  - не приводится),
подписанное юридическим или физическим лицом;
     контрольный лист  с  образцами  печати юридического лица и личной
подписью  руководителя  (контрольный  лист  физического   лица   также
представляется с образцом его личной подписи);
     выписку из приказа  о  назначении  администратора  информационной
безопасности и его заместителя у юридического лица, заверенную печатью
и подписью руководителя;
     Акт о готовности к работе в системе электронного документооборота
Пенсионного фонда Российской Федерации (1 экз.);
     Акт об изготовлении криптографических ключей (1 экз.);
     Акт о  готовности  к  эксплуатации   программно   -   аппаратного
комплекса, защищенного СКЗИ (1 экз.) (приложение 5 - не приводится);
     открытые ключи шифрования и электронной цифровой подписи;
     сертификаты открытых  ключей  (регистрационные  карточки,  1 экз.
остается в органе ПФР);
     справочник открытых ключей.
     В подразделении по защите информации органа ПФР с администратором
информационной   безопасности   проводится   обмен  открытыми  ключами
шифрования и электронной цифровой подписи,  паролями  для  организации
системы  оповещения  о  компрометации ключей по телефонной сети общего
пользования, а также вносятся дополнения и изменения в справочники.
     3.7. При   соблюдении   юридическим  или  физическим  лицом  всех
вышеуказанных условий руководитель органа ПФР  подписывает  Соглашение
об    обмене   электронными   документами   в   системе   электронного
документооборота ПФР.  После  чего  юридическое  или  физическое  лицо
становится абонентом системы электронного документооборота ПФР.