О ВВЕДЕНИИ В СИСТЕМЕ ПЕНСИОННОГО ФОНДА РОССИЙСКОЙ ФЕДЕРАЦИИ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ И ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ ПОСТАНОВЛЕНИЕ ПЕНСИОННЫЙ ФОНД РФ 26 января 2001 г. N 15 (Д) В целях обеспечения защиты информации, предоставляемой в электронной форме в системе электронного документооборота Пенсионного фонда Российской Федерации, Правление ПФР постановляет: 1. Использовать для защиты информации, передаваемой в электронной форме, средства криптографической защиты информации и электронной цифровой подписи "Верба-O\OW". 2. Утвердить: Временные требования по обеспечению информационной безопасности в системе электронного документооборота Пенсионного фонда Российской Федерации (не приводятся); Временное положение о порядке использования средств криптографической защиты информации и электронной цифровой подписи в системе электронного документооборота Пенсионного фонда Российской Федерации (не приводится); Регламент регистрации и подключения юридических и физических лиц к системе электронного документооборота Пенсионного фонда Российской Федерации. 3. Отделу по защите информации (Колесник Е.В.) в срок до 15.02.2001 разработать организационно - методические указания по организации работ со средствами криптографической защиты информации и электронной цифровой подписи в органах ПФР. 4. Контроль за исполнением настоящего Постановления возложить на заместителя Председателя Правления ПФР Колесника А.П. Председатель Правления ПФР М. ЗУРАБОВ 26 января 2001 г. N 15 УТВЕРЖДЕНО Постановлением Правления ПФР от 26 января 2001 года N 15 РЕГЛАМЕНТ РЕГИСТРАЦИИ И ПОДКЛЮЧЕНИЯ ЮРИДИЧЕСКИХ И ФИЗИЧЕСКИХ ЛИЦ К СИСТЕМЕ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА ПЕНСИОННОГО ФОНДА РОССИЙСКОЙ ФЕДЕРАЦИИ 1. Общие положения 1.1. Регламент регистрации и подключения юридических и физических лиц к системе электронного документооборота Пенсионного фонда Российской Федерации (далее - Регламент) разработан в соответствии с требованиями законодательства Российской Федерации, Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ), Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России) и нормативных актов Пенсионного фонда Российской Федерации (ПФР). 1.2. Регламент предназначен для органов ПФР, юридических и физических лиц для организации обмена электронными документами между юридическими, физическими лицами и органами ПФР в системе электронного документооборота ПФР с использованием средств криптографической защиты информации. 1.3. Юридические и физические лица, участвующие в электронном документообороте ПФР с использованием средств криптографической защиты информации "Верба-O\OW", являются конечными абонентами системы электронного документооборота ПФР и не имеют права на предоставление средств криптографической защиты информации и услуг в области шифрования третьим лицам. 2. Термины и определения Абонент системы (АС) - юридическое или физическое лицо, включенное в систему электронного документооборота ПФР. Закрытый ключ - криптографический ключ, который хранится абонентом системы в тайне. Он используется для формирования электронной цифровой подписи и шифрования. Информационная безопасность (безопасность информации) - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п. Информационный обмен - обмен сведениями о лицах, предметах, фактах, событиях и процессах, независимо от формы их представления. Информация конфиденциального характера (конфиденциальная информация) - любая информация ограниченного доступа, не содержащая сведений, относящихся к государственной тайне. Ключ (криптографический ключ) - конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований. Ключевая информация - конкретное состояние некоторых параметров алгоритма криптографического преобразования данных и формирования электронной цифровой подписи. В данном случае термин "ключ" означает уникальный битовый шаблон. Компрометация ключа - утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. Криптографическая защита информации (зашифрование, расшифрование) - процесс преобразования открытой информации с целью сохранения ее в тайне от посторонних лиц при помощи некоторого алгоритма, называемого шифром. Для зашифрования информации сторонами используется алгоритм криптографического преобразования ГОСТ 28147-89, программно реализованный в сертифицированном ФАПСИ средстве криптографической защиты информации. Расшифрование является обратным процессом зашифрования. Орган ПФР - Исполнительная дирекция ПФР, Ревизионная комиссия ПФР, Информационный центр персонифицированного учета ПФР, региональные отделения ПФР, межрайонные и районные пункты ПФР, оснащенные средствами автоматизации для выполнения основных задач, стоящих перед ПФР. Открытый ключ - криптографический ключ, который связан с закрытым с помощью особого математического соотношения. Открытый ключ известен всем другим абонентам системы, он предназначен для проверки электронной цифровой подписи и расшифрования, позволяет определить автора подписи и достоверность электронного документа, но не позволяет вычислить закрытый ключ. Открытый ключ считается принадлежащим абоненту, если он был зарегистрирован (сертифицирован) установленным порядком. Проверка электронной цифровой подписи - процесс определения целостности, подлинности и авторства электронного документа, подписанного электронной цифровой подписью, заключающийся в проверке соотношения, связывающего хэш - функцию документа, подпись под этим документом и открытый ключ подписавшего документ абонента. Если проверяемое соотношение, полученное сертифицированными средствами криптографической защиты информации, оказывается выполненным, то подпись признается правильной, а сам документ - подлинным, в противном случае документ считается недействительным. Процедуры выработки и проверки электронной цифровой подписи, а также хэш - функции соответствуют алгоритмам, определенным ГОСТ Р34.10-94 и ГОСТ Р34.11-94. Сертификационный центр - юридическое лицо, имеющее лицензии ФАПСИ на изготовление и (или) поставку средств криптографической защиты информации, ключей шифрования и электронной цифровой подписи. Сертификация открытого ключа - подтверждение соответствия сертификационного центра на регистрационных карточках открытых ключей и внесение данных открытых ключей в справочники открытых ключей. Сертификат на средства криптографической защиты информации - документ, оформленный по правилам, действующим в Российской Федерации, удостоверяющий соответствие этих средств специальным требованиям и гарантирующий в течение определенного срока возможность использования данного средства в соответствии с заданными требованиями. Система электронного документооборота ПФР (СЭД ПФР) - обмен сведениями о лицах, предметах, фактах, событиях и процессах, представляемых в электронном виде с использованием вычислительной техники, телекоммуникационных систем и сертифицированных ФАПСИ средств криптографической защиты информации. Средства криптографической защиты информации (СКЗИ) - совокупность программных и технических средств, реализующих криптографические преобразования с исходной информацией и функцию выработки и проверки электронной цифровой подписи. Электронный документ - информация, представленная в форме набора состояний элементов электронной вычислительной техники, иных электронных средств обработки, хранения и передачи информации, могущая быть преобразованной в форму, пригодную для однозначного восприятия человеком, и имеющая атрибуты для идентификации документа. Электронная цифровая подпись (ЭЦП) - последовательность символов, полученная в результате криптографического преобразования исходной информации, которая позволяет подтверждать целостность и неизменность этой информации, а также ее авторство. Электронный документ оформлен надлежащим образом - электронный документ заполнен в соответствии с требованиями нормативных актов ПФР. Электронный документ принят - орган ПФР получил надлежащим образом оформленный электронный документ, его расшифровал, успешно проверил все необходимые для данного типа документа электронные цифровые подписи и принял его к исполнению. 3. Порядок регистрации и подключения к системе электронного документооборота ПФР 3.1. Юридические, физические лица направляют на имя руководителя органа ПФР письменное заявление о подключении его к системе электронного документооборота ПФР. 3.2. Получив письменное заявление от юридического, физического лица на его подключение к системе электронного документооборота ПФР, орган ПФР направляет в его адрес следующий пакет документов: Соглашение об обмене электронными документами в системе электронного документооборота ПФР (приложение 1 - не приводится); номер ключевой серии, выделенный данному органу ПФР; номера ключей шифрования и электронной цифровой подписи из данной ключевой серии, выделенные органу ПФР; Акт о готовности к работе в системе электронного документооборота Пенсионного фонда Российской Федерации (приложение 2 - не приводится). 3.3. Порядок действий юридического и физического лица: заключение договора с сертификационным центром на изготовление и поставку средств криптографической защиты информации, ключей шифрования и электронной цифровой подписи (далее - продукция) и направление его в сертификационный центр; проведение мероприятий по подготовке к эксплуатации средств криптографической защиты информации в соответствии с Требованиями к юридическим и физическим лицам, на которые распространяется действие лицензий ФАПСИ, выданных Пенсионному фонду Российской Федерации (приложение 3 - не приводится); назначение из числа своих сотрудников администратора информационной безопасности организации и его заместителя и направление их на обучение в сертификационный центр. Физическое лицо как самостоятельный участник электронного документооборота ПФР является администратором информационной безопасности в одном лице. 3.4. Сертификационный центр в соответствии с договором производит изготовление продукции. Уполномоченные должностные лица сертификационного центра оформляют Акт об изготовлении криптографических ключей (приложение 4 - не приводится) в трех экземплярах. Два экземпляра направляются другой стороне, один остается в сертификационном центре. 3.5. Юридическое, физическое лицо получает продукцию в соответствии с договором. 3.6. Юридическое, физическое лицо оформляет Акт о готовности к работе в системе электронного документооборота Пенсионного фонда Российской Федерации и направляет своего администратора информационной безопасности либо прибывает самостоятельно в подразделение по защите информации органа ПФР для предварительной регистрации и инструктажа с комплектом документов, в состав которого входит: Соглашение об обмене электронными документами в системе электронного документооборота ПФР (приложение 1 - не приводится), подписанное юридическим или физическим лицом; контрольный лист с образцами печати юридического лица и личной подписью руководителя (контрольный лист физического лица также представляется с образцом его личной подписи); выписку из приказа о назначении администратора информационной безопасности и его заместителя у юридического лица, заверенную печатью и подписью руководителя; Акт о готовности к работе в системе электронного документооборота Пенсионного фонда Российской Федерации (1 экз.); Акт об изготовлении криптографических ключей (1 экз.); Акт о готовности к эксплуатации программно - аппаратного комплекса, защищенного СКЗИ (1 экз.) (приложение 5 - не приводится); открытые ключи шифрования и электронной цифровой подписи; сертификаты открытых ключей (регистрационные карточки, 1 экз. остается в органе ПФР); справочник открытых ключей. В подразделении по защите информации органа ПФР с администратором информационной безопасности проводится обмен открытыми ключами шифрования и электронной цифровой подписи, паролями для организации системы оповещения о компрометации ключей по телефонной сети общего пользования, а также вносятся дополнения и изменения в справочники. 3.7. При соблюдении юридическим или физическим лицом всех вышеуказанных условий руководитель органа ПФР подписывает Соглашение об обмене электронными документами в системе электронного документооборота ПФР. После чего юридическое или физическое лицо становится абонентом системы электронного документооборота ПФР. |