Администрация ямало-ненецкого автономного округа постановление от 3 апреля 2008 г. N 146-а об утверждении положения об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте ямало-ненецкого автон

АДМИНИСТРАЦИЯ ЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГАПОСТАНОВЛЕНИЕот 3 апреля 2008 г. N 146-АОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОРГАНИЗАЦИИ ИСПОЛЬЗОВАНИЯЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ И ШИФРОВАНИЯ ИНФОРМАЦИИВ ЭЛЕКТРОННОМ ДОКУМЕНТООБОРОТЕЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГАВ целях обеспечения функционирования инфраструктуры открытых ключей, а также с целью обеспечения правовых условий использования электронной цифровой подписи в системе юридически значимого защищенного электронного документооборота органов исполнительной власти Ямало-Ненецкого автономного округа Администрация Ямало-Ненецкого автономного округа постановляет: 1. Утвердить прилагаемое Положение об организации использования электронной цифровой подписи и шифрования информации в электронном документообороте Ямало-Ненецкого автономного округа. 2. Возложить на департамент информационных технологий и связи Ямало-Ненецкого автономного округа функции уполномоченного органа в области использования электронной цифровой подписи в информационных системах органов исполнительной власти Ямало-Ненецкого автономного округа. 3. Возложить на государственное учреждение “Ресурсы Ямала” функции уполномоченного регионального удостоверяющего центра Ямало-Ненецкого автономного округа в области использования электронной цифровой подписи в информационных системах органов исполнительной власти Ямало-Ненецкого автономного округа. 4. Контроль за исполнением настоящего постановления возложить на заместителя Губернатора Ямало-Ненецкого автономного округа Кима А.М.Губернатор Ямало-Ненецкого автономного округа Ю.В.НЕЕЛОВУтверждено постановлением Администрации Ямало-Ненецкого автономного округа от 3 апреля 2008 г. N 146-АПОЛОЖЕНИЕ^ ОБ ОРГАНИЗАЦИИ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИИ ШИФРОВАНИЯ ИНФОРМАЦИИ В ЭЛЕКТРОННОМ ДОКУМЕНТООБОРОТЕЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГАI. Общие положения1.1. Положение об организации использования электронной цифровой подписи (далее – ЭЦП) и шифрования информации в электронном документообороте Ямало-Ненецкого автономного округа (далее – Положение) разработано в соответствии с Федеральными законами от 27 июля 2006 года N 149-ФЗ “Об информации, информационных технологиях и о защите информации”, от 10 января 2002 года N 1-ФЗ “Об электронной цифровой подписи”, во исполнение постановления Губернатора Ямало-Ненецкого автономного округа от 9 марта 2004 года N 71 “О создании Ямало-Ненецкого регионального удостоверяющего центра” и определяет: порядок обеспечения правовых, организационных и технических условий, при соблюдении которых ЭЦП под электронным документом признается равнозначной собственноручной подписи в документе на бумажном носителе; порядок предоставления уполномоченным должностным лицам органов исполнительной власти Ямало-Ненецкого автономного округа (далее – автономный округ), органов местного самоуправления, государственных и муниципальных учреждений и организаций автономного округа, должностным лицам иных организаций, включенных в систему юридически значимого защищенного электронного документооборота автономного округа (далее – СЮЗЗЭД ЯНАО или Система), независимо от их организационно-правовой формы, услуг по изготовлению ключей ЭЦП и сертификатов ключей подписи, а также дополнительных услуг, связанных с управлением сертификатами ключей подписи; порядок организации криптографической защиты информации с использованием технологий ЭЦП и шифрования при обмене электронными документами, подготовленными и передаваемыми Пользователями в Системе; процедуру подтверждения того, что электронный документ, полученный из Системы: исходит от Пользователя Системы (подтверждение авторства документа); не претерпел изменений после его подписания в процессе обработки, хранения и передачи информации (подтверждение целостности и подлинности документа); порядок изготовления юридически значимых копий электронного документа на бумажном носителе. 1.2. Безопасность информации, циркулирующей в Системе, обеспечивается реализацией комплекса правовых, организационных, технических и иных мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования информации и т.п. Предотвращение несанкционированного доступа к техническим средствам Системы достигается применением средств защиты информации, сертифицированных Государственной технической комиссией при Президенте Российской Федерации или Федеральной службой технического и экспортного контроля. В качестве средства защиты при передаче электронных документов по общедоступным каналам связи в Системе используется их шифрование на индивидуальных ключах Пользователя. Обеспечение подлинности информации и придание электронному документу юридической силы достигается за счет использования в Системе ЭЦП, сформированной на индивидуальном ключе ЭЦП Пользователя, которая обеспечивает защиту содержания документа от искажения и аутентификацию лица, подписавшего документ. Применяемые в Системе средства шифрования и ЭЦП (средства криптографической защиты информации) должны быть сертифицированы Федеральным агентством правительственной связи информации при Президенте Российской Федерации (ФАПСИ) или Федеральной службой безопасности Российской Федерации. 1.3. Информационная безопасность и юридическая значимость электронного документооборота в Системе обеспечивается соответствием принятых в системе процедур оформления взаимоотношений между всеми участниками Системы, включая Региональный удостоверяющий центр ЯНАО (РУЦ ЯНАО), создания, подписания, хранения и передачи электронных документов, подтверждения подлинности ЭЦП и разрешения конфликтов между всеми участниками, а также предусмотренных в системе правовых, организационных и технических мер защиты информации требованиям: Гражданского кодекса Российской Федерации; Федеральных законов от 27 июля 2006 года N 149-ФЗ “Об информации, информационных технологиях и о защите информации” и от 10 января 2002 года N 1-ФЗ “Об электронной цифровой подписи”; Постановлений Правительства Российской Федерации от 29 декабря 2007 года N 957 “Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами”, от 31 августа 2006 года N 532 “О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации”; руководящего документа Государственной технической комиссии при Президенте Российской Федерации “Средства вычислительной техники. Защита средств вычислительной техники и автоматизированных систем от несанкционированного доступа”; Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденного приказом ФСБ РФ от 9 февраля 2005 года N 66 и зарегистрированного в Министерстве юстиции Российской Федерации 3 марта 2005 года N 6382; Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, объявленной приказом Федерального агентства правительственной связи при Президенте Российской Федерации от 13 июня 2001 года N 152 и зарегистрированного в Министерстве юстиции Российской Федерации 6 августа 2001 года N 2848. Юридическая значимость, качество, надежность и соответствие действующему законодательству Российской Федерации предоставляемых РУЦ ЯНАО с помощью СЮЗЗЭД ЯНАО услуг, используемых аппаратно-программных средств, оборудования и технологий, гарантируются соответствием требований действующих нормативных и правовых актов, государственных стандартов, а также наличием необходимых аттестатов, сертификатов и лицензий на их применение, выданных в установленном порядке. 1.4. Действие настоящего Положения распространяется на органы исполнительной власти автономного округа, органы местного самоуправления, государственных и муниципальных учреждений и организаций автономного округа, должностных лиц иных организаций, включенных в СЮЗЗЭД ЯНАО, независимо от их организационно-правовой формы, а также организации, чье участие в документообороте с указанными органами регламентировано нормативно-правовыми актами.II. Основные понятияАбонентский пункт Участника Системы – комплекс аппаратно-программных средств, обеспечивающих Участнику (Пользователю) возможность ввода-вывода, передачи, обработки, контроля, защиты и идентификации конфиденциальной информации и персональных данных, циркулирующих в СЮЗЗЭД ЯНАО. Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. Авторство электронного документа – принадлежность корректной электронной цифровой подписи данного документа конкретному Пользователю СЮЗЗЭД ЯНАО. Администратор безопасности (Абонентского пункта) – полномочное лицо, ответственное за обеспечение информационной безопасности в СЮЗЗЭД ЯНАО (Абонентском пункте Участника СЮЗЗЭД ЯНАО). Аутентификация информации – установление подлинности информации исключительно на основе внутренней структуры самой информации, установление того факта, что полученная получателем информация была передана подписавшим ее законным отправителем и при этом не была искажена. Доказательная аутентификация информации осуществляется анализом (экспертизой) подписей должностных лиц и печатей на бумажных документах и проверкой правильности ЭЦП для электронных документов. Безопасность информации – состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита данных от утечки, утраты, несанкционированного уничтожения, искажения, подделки (модификации), копирования, блокирования и т.п. Владелец сертификата ключа – физическое лицо, на имя которого РУЦ ЯНАО выдан сертификат ключа подписи и которое владеет соответствующим закрытым криптографическим ключом. Внеплановая смена ключей – смена ключей в соответствии с документацией на СКЗИ, вызванная компрометацией ключей. Документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. Зашифровывание (шифрование) данных – процесс преобразования открытых данных в зашифрованные при помощи шифра. Имитозащита – защита системы шифрованной связи от навязывания ложных данных. Имитовставка – отрезок информации фиксированной длины, полученной по определенному правилу из открытых данных и ключа. Индивидуальный закрытый ключ ЭЦП Пользователя – имеющийся только у Пользователя СЮЗЗЭД ЯНАО и хранящийся в тайне криптографический ключ, который используется им для формирования электронной цифровой подписи электронных документов. Закрытый ключ электронной цифровой подписи представляет собой уникальную последовательность символов, известную только владельцу сертификата ключа подписи, которая предназначена для создания в электронных документах электронной цифровой подписи с использованием средств ЭЦП. Индивидуальный открытый ключ ЭЦП Пользователя – зарегистрированный и подписанный (сертифицированный) установленным порядком РУЦ ЯНАО, не являющийся закрытым и известный всем другим Пользователям СЮЗЗЭД ЯНАО криптографический ключ, однозначно связанный с индивидуальным закрытым ключом для формирования ЭЦП и предназначенный для подтверждения с использованием средств ЭЦП подлинности электронной цифровой подписи Пользователя под документом, позволяющей идентифицировать автора подписи и определить достоверность и целостность электронного документа, но не допускающей вычисления индивидуального закрытого ключа ЭЦП Пользователя. Инсталляционные дискеты/CD СКЗИ – лицензионно чистые носители информации (магнитные дискеты 3,5″ и/или CD), содержащие программы, реализующие сертифицированные средства криптографической защиты информации. Криптографическая защита – защита данных при помощи криптографического преобразования данных. Криптографическое преобразование – преобразование данных с использованием шифрования и (или) выработки имитовставки. Компрометация ключа (ключевой информации) – факт (или подозрение на факт) раскрытия закрытой ключевой информации; – утрата доверия к тому, что используемые ключи обеспечивают подлинность, защищенность и безопасность информации. Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Конфиденциальность информации – субъективно приписываемое информации свойство (характеристика), указывающее на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемое способностью системы сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на право доступа к ней. Конфликтная ситуация – ситуация, при которой у Пользователей Системы возникает необходимость разрешения вопросов признания или непризнания авторства и/или подлинности электронных документов, обработанных средствами криптографической защиты информации. Контроль доступа (управление доступом) – процесс ограничения доступа к ресурсам системы только разрешенным субъектам или объектам. Корпоративная информационная система – информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы. Корректный электронный документ – электронный документ, прошедший процедуру проверки ЭЦП с подтверждением ее правильности, а также документ, не имеющий искажений в тексте сообщения, не позволяющих понять его смысл. Ключ (Криптографический ключ) – конкретное закрытое состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований. Некорректный электронный документ – электронный документ, не прошедший процедуры проверки ЭЦП, а также документ, имеющий в тексте сообщения искажения, не позволяющие понять его смысл. Несанкционированный доступ к информации (НСД) – доступ к информации, нарушающий в результате случайных или преднамеренных действий Пользователей или других субъектов (с использованием штатных аппаратных, аппаратно-программных, программных средств автоматизированной системы) установленные правила разграничения доступа. Носитель ключевой информации – физическое устройство (дискета, е- Token, смарт-карта и т.д.), содержащее ключи для выполнения криптографических процедур шифрования и расшифровывания, формирования электронной цифровой подписи абонента, а также необходимую служебную информацию. Пароль – закрытая информация аутентификации, обычно представляющая собой строку знаков, которой должен обладать Пользователь для доступа к защищаемым данным и/или техническим средствам. Плановая смена ключей – смена ключей с установленной в СЮЗЗЭД ЯНАО периодичностью, не вызванная компрометацией ключей. Подлинник (оригинал) электронного документа – компьютерный файл, содержащий текст документа и подлинную электронную цифровую подпись, по крайней мере, одного из Пользователей СЮЗЗЭД ЯНАО. Распечатка электронного документа на бумажном носителе – распечатка на бумажном носителе подлинника электронного документа, выполненная в соответствии с установленным в СЮЗЗЭД ЯНАО порядком, с реквизитами (фамилия, имя, отчество, должность и т.п.) всех Пользователей, подписавших электронный документ, заверенная их подписями, а со стороны РУЦ ЯНАО заверенная личной подписью уполномоченного лица государственного учреждения “Ресурсы Ямала” (далее – ГУ “Ресурсы Ямала”) и печатью ГУ “Ресурсы Ямала”. Уполномоченное лицо – начальник отдела “РУЦ ЯНАО” ГУ “Ресурсы Ямала” либо лицо, его замещающее. Подписание электронного документа (формирование электронной цифровой подписи) – процесс вычисления в соответствии с заданным алгоритмом по электронному документу и индивидуальному закрытому ключу Пользователя, предназначенному для формирования ЭЦП и имеющемуся лишь у автора, цифровой последовательности, называемой электронной цифровой подписью данного лица под данным электронным цифровым документом. Подтверждение подлинности электронной цифровой подписи в электронном документе – положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе. Расшифровывание данных – процесс преобразования зашифрованных данных в открытые при помощи шифра. Реестр действующих сертификатов ключей подписей Пользователей – файл, доступный установленным порядком Пользователям СЮЗЗЭД ЯНАО, содержащий действующие на данный момент времени сертификаты ключей подписей со всеми их реквизитами и подписанный действующей электронной цифровой подписью должностного лица РУЦ ЯНАО. Сертификат ключа подписи – документ на бумажном носителе или электронный документ с ЭЦП уполномоченного лица РУЦ ЯНАО, который выдается РУЦ ЯНАО Пользователю СЮЗЗЭД ЯНАО для подтверждения подлинности электронной цифровой подписи ключа и идентификации владельца сертификата открытого ключа. Сертификат открытого ключа (ЭЦП или шифрования) Пользователя СЮЗЗЭД ЯНАО содержит следующие сведения: уникальный регистрационный номер сертификата ключа; даты начала и окончания срока действия сертификата ключа; фамилия, имя и отчество владельца сертификата ключа; должность владельца сертификата ключа с указанием наименования и места нахождения организации, в которой установлена эта должность; наименование средств ЭЦП, с которыми используется данный открытый ключ; наименование и место нахождения удостоверяющего центра, выдавшего сертификат ключа; сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение . ——————————– Только для сертификата открытого ключа ЭЦП.Список отозванных сертификатов (СОС) – файл, доступный установленным порядком Пользователям СЮЗЗЭД ЯНАО, содержащий аннулированные (отозванные) и приостановленные на данный момент времени сертификаты ключей подписи со всеми их реквизитами и указанием конкретного состояния каждого включенного в него сертификата, подписанный действующей электронной цифровой подписью уполномоченного лица РУЦ ЯНАО. Public Key Cryptography Standarts (PKCS) – стандарты криптографии с открытым ключом, разработанные компанией RSA Security. Удостоверяющий центр осуществляет свою работу в соответствии со следующими стандартами PKCS: PKCS#7 – стандарт, определяющий формат и синтаксис криптографических сообщений. Банк использует описанный в PKCS#7 тип данных PKCS#7 Signed – подписанные данные. Электронный документ, оформленный с соблюдением требований PKCS#7 Signed, является электронным документом, содержащим электронную цифровую подпись; PKCS#10 – стандарт, определяющий формат и синтаксис запроса на сертификат открытого ключа подписи. Электронный документ, оформленный с соблюдением требований PKCS#10, содержит информацию о сертифицируемом открытом ключе, используемом криптографическом средстве и данные, необходимые для идентификации владельца сертифицируемого открытого ключа электронной цифровой подписи. Управление ключами – изготовление (генерация) ключей, их хранение, распространение, удаление (уничтожение), учет и применение в соответствии с настоящим Положением. Целостность информации – свойство информации, заключающееся в ее существовании в неискаженном, неизменном по отношению к некоторому фиксированному ее состоянию виде. Шифрование – процесс зашифрования (шифрования) или расшифровывания. Шифр – совокупность преобразований множества возможных открытых данных на множество возможных зашифрованных данных, осуществляемых по определенным правилам с применением ключей. Шифровальные средства (средства криптографической защиты информации – СКЗИ): реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для защиты информации (в том числе и входящие в системы и комплексы защиты информации от несанкционированного доступа), циркулирующей в технических средствах, при ее обработке, хранении и передаче по каналам связи, включая шифровальную технику; реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и электронной цифровой подписи; аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для изготовления и распределения ключевых документов, используемых в шифровальных средствах, независимо от вида носителя ключевой информации; ручные шифры, документы кодирования и другие носители ключевой информации. Электронный документ (документ в электронной форме) – служебное информационное сообщение, платежное поручение, запись в электронной базе данных и т.д., подготовленное с использованием СЮЗЗЭД ЯНАО на основе документа на бумажном носителе или на основе иного электронного документа, или порожденное в процессе информационного общения, зафиксированное на материальном носителе в виде компьютерного файла сообщение, снабженные реквизитами, позволяющими идентифицировать это сообщение и его авторов.1>1> Электронная цифровая подпись (ЭЦП) – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Уполномоченный удостоверяющий центр – Региональный удостоверяющий центр автономного округа, определенный Губернатором автономного округа для выпуска сертификатов ключей подписи уполномоченных лиц органов исполнительной власти автономного округа. Предназначен для обеспечения участников информационных систем средствами и спецификациями для использования сертификатов открытых ключей. Реестр – перечень должностных лиц, которым выдаются сертификаты ключей электронных цифровых подписей уполномоченных лиц органов исполнительной власти Ямало-Ненецкого автономного округа. Реестр ведет Уполномоченный орган. РУЦ ЯНАО входит в структуру ГУ “Ресурсы Ямала” в качестве отдела, он организует и поддерживает работу подсистемы обеспечения безопасности информации Системы, осуществляет проверку готовности Участников и регистрацию Пользователей, обеспечивает их необходимыми для работы аппаратными, аппаратно-программными, программными средствами, ключевой информацией, нормативными руководящими материалами, координирует Систему, ведет учет распечатанных электронных документов. Наименования ГУ “Ресурсы Ямала” и “РУЦ ЯНАО” для Участников Системы являются равнозначными и равноопределяющими. Уполномоченный орган – это исполнительный орган государственной власти ЯНАО, осуществляющий регулирование использования электронной цифровой подписи в информационных системах исполнительных органов государственной власти Ямало-Ненецкого автономного округа. Уполномоченный орган организовывает свою деятельность в целях обеспечения перехода к безбумажной форме документооборота с использованием ЭЦП в информационных системах исполнительных органов государственной власти автономного округа. Участники Системы – органы государственной власти автономного округа, органы местного самоуправления, государственные и муниципальные учреждения и организации автономного округа, иные организации, включенные в Систему, независимо от их организационно-правовой формы), зарегистрированные в Системе и заключившие Договор на обслуживание для юридических лиц с ее Организатором – ГУ “Ресурсы Ямала”. Порядок подключения Участника к информационным ресурсам Системы определяется настоящим Положением. Пользователи Системы (Пользователи) – физические лица, исполняющие должностные обязанности в органах государственной власти автономного округа, органах местного самоуправления, государственных, муниципальных учреждениях и организациях автономного округа или должностные обязанности в иных организациях, включенных в Систему, и уполномоченные этим учреждением осуществлять электронный документооборот в Системе с использованием технологий ЭЦП и/или шифрования. Пользователями так же являются физические лица, жители автономного округа присоединяющиеся к Системе как частные персоны. Порядок включения физических лиц, исполняющих должностные обязанности в организациях – Участниках Системы, в число Пользователей определяется настоящим Положением.III. Организационная структура Системы3.1. СЮЗЗЭД ЯНАО представляет собой корпоративную информационную систему, организованную ГУ “Ресурсы Ямала”, с целью обеспечения возможности безопасного и юридически значимого обмена информацией, в том числе платежно-расчетными документами, в электронной форме, а также ведения защищенных от подделки и хищения баз данных и реестров в интересах органов исполнительной власти автономного округа, органов местного самоуправления, государственных муниципальных и иных организаций автономного округа, а также жителей автономного округа. 3.2. Организационно СЮЗЗЭД ЯНАО представляет собой двухуровневую структуру, которая включает в себя: Верхний уровень – Организаторов Системы – Уполномоченный орган, ГУ “Ресурсы Ямала”. Нижний уровень – Участники и Пользователи Системы. 3.3. Все Пользователи Системы допускаются к работе исключительно на основании приказов руководителей соответствующих организаций-участников и только после регистрации в РУЦ ЯНАО.IV. Порядок подключения Участников к Системе4.1. Подключение Участника к Системе осуществляется на основании заключаемого договора между Участником и ГУ “Ресурсы Ямала”. 4.2. Присоединение Участника к Системе, если это не оговорено особо при заключении Договора, осуществляется на неопределенный срок. 4.3. Работы по подключению организации-заявителя к Системе проводятся ГУ “Ресурсы Ямала” за счет заявителя. 4.4. При подключении Участника к Системе ГУ “Ресурсы Ямала” на основании Договора на обслуживание для юридических лиц в Системе и соответствующего заявления осуществляет в согласованные сроки подготовку персонала Участника, проверку его готовности, регистрацию Пользователей Участника, проводит организационную и техническую подготовку Участника к использованию Системы, обеспечивает Пользователей Участника необходимой ключевой информацией и сертификатами ключей подписи, обеспечивает включение этих сертификатов в Реестр действующих сертификатов ключей подписей. 4.5. При заключении Договора на обслуживание для юридических лиц в Системе Участник представляет в РУЦ ЯНАО следующие сведения и документы: список должностных лиц Участника (фамилия, имя, отчество, занимаемая должность), которым предоставлено право подписывать электронные документы электронной цифровой подписью и шифрование документов; документальное подтверждение должностных полномочий Пользователей; приказ о назначении на должности Администраторов информационной безопасности организации – Участника Системы; сведения о помещениях, в которых предполагается эксплуатировать аппаратно-программные средства Абонентского пункта Системы; сведения о предполагаемых к использованию Участником каналах связи, включая их тип, номера телефонов или адреса в сетях передачи данных; телефонный номер для экстренной связи с ним (Участником); обязательство перед Федеральной службой безопасности Российской Федерации об обеспечении возможности контроля за порядком использования средств криптографической защиты информации (СКЗИ) Участником со стороны федеральных органов безопасности. Примечание. При определении необходимого ему числа Абонентских пунктов, Участник должен учитывать, что на одном рабочем месте Системы могут работать несколько Пользователей.4.6. ГУ “Ресурсы Ямала”, если это предусмотрено Договором на обслуживание для юридических лиц в Системе, осуществляет приобретение необходимого для построения Абонентских пунктов Участника аппаратных средств, программного обеспечения, включая сертифицированные средства защиты информации. 4.7. После проведения РУЦ ЯНАО всех предусмотренных для подключения Участника Договором на обслуживание для юридических лиц в Системе работ, осуществляется регистрация должностных лиц Участника в качестве Пользователей Системы и получение этими лицами в РУЦ ЯНАО изготовленных индивидуальных криптографических ключей и сертификатов ключей подписи. Порядок управления криптографическими ключами Пользователей, их изготовления и передачи Пользователями определяется настоящим Положением. 4.8. Кроме того, РУЦ ЯНАО после проведения всех предусмотренных для подключения Участника договором на обслуживание для юридических лиц в Системе работ осуществляет следующие мероприятия: устанавливает (по требованию Участника) ПО СКЗИ, передает Участнику лицензию на использование ПО СКЗИ, а также полный комплект эксплуатационной документации на СКЗИ; корректирует и публикует установленным порядком обновленный Реестр действующих сертификатов ключей подписей Пользователей. 4.9. Присоединение Участника и техническое подключение его Абонентских пунктов к Системе оформляется подписанием уполномоченными должностными лицами Сторон Акта установки и ввода в эксплуатацию аппаратно-программного комплекса Абонентских пунктов Системы. 4.10. Дальнейшее обслуживание Участника и техническое сопровождение аппаратно-программных средств его Абонентских пунктов Системы осуществляются РУЦ ЯНАО в соответствии с настоящим Положением, Регламентом деятельности РУЦ ЯНАО и Договором на обслуживание для юридических лиц в Системе.V. Порядок изготовления и управления ключами в Системе5.1. Использование технологий шифрования и электронной цифровой подписи в Системе обеспечивает конфиденциальность электронных документов и придает им юридическую силу. Несанкционированное использование индивидуальных закрытых ключей подписи Пользователя посторонними лицами приводит к утечке конфиденциальной информации и созданию или искажению с преступными намерениями юридически значимых электронных документов от имени должностного лица, обладающего индивидуальным закрытым ключом электронной цифровой подписи. В связи с этим особое значение для обеспечения безопасности информации, циркулирующей в Системе, имеет сохранение в тайне индивидуальных закрытых ключей подписи. Во избежание опасных последствий необходимо: строго соблюдать требования по обеспечению режима безопасности ключевой информации; неукоснительно выполнять все организационные меры, направленные на защиту ключевой информации от несанкционированного доступа к ней; в случае компрометации ключей принять все меры к незамедлительному информированию о случившемся должностных лиц РУЦ ЯНАО, ответственных за безопасность информации, а также к локализации последствий компрометации, в соответствии с настоящим Положением. Строгое соблюдение требований по обеспечению режима безопасности средств криптографической защиты информации и, в первую очередь, безопасности закрытой ключевой информации позволит оградить служебные и финансовые интересы Участников Системы от злонамеренных посягательств посторонних лиц и их возможных последствий. 5.2. В целях обеспечения безопасности конфиденциальной ключевой информации Участники и Пользователи Системы в процессе работы с действующими ключами должны выполнять требования эксплуатационных документов на сертифицированные СКЗИ. Категорически запрещается: осуществлять несанкционированное копирование ключевых данных; хранить Носители ключевой информации вне мест, специально для этого установленных (согласно требованиям пункта 30 приказа ФАПСИ от 13 июня 2001 года N 152); выдавать Носители ключевой информации лицам, не допущенным к работе с ними, или с отступлением от установленных правил; во время перерывов в работе оставлять Носители ключевой информации без присмотра в устройствах считывания ПЭВМ, на рабочем месте, шкафах и ящиках, для этого не предназначенных; передавать индивидуальные закрытые ключи шифрования и ЭЦП другим лицам иначе как на основании надлежащим образом оформленной доверенности; производить уничтожение ключей на Носителях ключевой информации после окончания срока их действия или хранения, а также после их выведения из действия способами, отличными от описанных в эксплуатационной документации на СКЗИ; Категорически не рекомендуется: проносить и использовать в помещениях, где размещены сертифицированные СКЗИ, сотовые телефоны, радиотелефоны и другую излучающую радиоэлектронную аппаратуру. 5.3. Подписание электронных документов каждым Пользователем Системы осуществляется с использованием индивидуального, только ему принадлежащего, отличного от всех других, закрытого ключа ЭЦП Пользователя. При такой организации Системы компрометация ключевой информации любого из Пользователей не приводит к компрометации ключей у других абонентов системы, что позволяет им продолжать подготовку юридически значимых электронных документов и безопасный обмен конфиденциальной информацией. 5.4. Управление ключами в Системе осуществляет РУЦ ЯНАО. 5.5. РУЦ ЯНАО вырабатывает закрытые и открытые ключи подписи на Автоматизированном рабочем месте РУЦ ЯНАО (АРМ РУЦ ЯНАО) в соответствии с государственной лицензией и эксплуатационной документацией на СКЗИ. 5.6. РУЦ ЯНАО для изготовления индивидуальных криптографических ключей использует программные и технические средства изготовления ключевой информации, сертифицированные и аттестованные уполномоченными государственными органами. РУЦ ЯНАО гарантирует отсутствие нерегламентированных процедур скрытого копирования индивидуальной закрытой ключевой информации в используемых программных и технических средствах. 5.7. Ключевая информация Пользователя генерируется и записывается РУЦ ЯНАО на Носители ключевой информации. Каждый Носитель ключевой информации содержит всю ключевую информацию, необходимую для работы Пользователя. Носители ключевой информации являются конфиденциальной информацией и должны храниться в тайне. Должностные лица РУЦ ЯНАО, Участники и Пользователи несут персональную ответственность за о