Хранение эцп журнал. Хранение эцп. О чем нужно помнить при хранении квалифицированной ЭП

Электронно-цифровая подпись представляет собой новый шаг в идентификации и подтверждении документов. Чем же она является? По какому принципу работает? ЭЦП - это сложно или нет? Сможет её освоить только или же разобраться с нею по силам и пенсионерам?

Общая информация

Первоначально давайте разберёмся с терминологией. Что такое ЭЦП? Это специальный файл, что используется для подтверждения правомочности документов со стороны определённых лиц. Следует отметить, что электронно-цифровые подписи бывают двух типов - не/квалифицированные. В первом случае получить ЭЦП можно в домашних условиях. Для этого достаточно использовать специальные криптографические программы. Применять реквизит домашнего пошива можно для подтверждения подлинности документов и сообщений в кругу друзей или же в рамках небольшого предприятия.

Тогда как квалифицированные ЭЦП - это файлы, что создаются различными организациями, имеющими необходимую для этого лицензию. Их наиболее важной особенностью является наличие юридической силы. Так, для них есть законодательная база, позволяющая использовать эти электронно-цифровые подписи в государственных и коммерческих структурах. К тому же, благодаря ним можно удаленно использовать госуслуги. ЭЦП - это ключ к отсутствию очередей, быстрому и оперативному получению ответов и государству с человеческим лицом.

О сертификатах замолвим слово

Что они собой представляют? Сертификат ЭЦП - это документ, что выдаётся владельцу удостоверяющим центром, что подтверждает подлинность человека. Когда генерируется ключ подписи, то данные о человеке или юридическом лице сохраняются. В сущности своей сертификат ЭЦП представляет собой что-то вроде электронного паспорта.

Обмен электронными документами с их помощью может осуществляться только в случае действительности подписи. На какие сроки она выдаётся? Как правило, она создаётся на год или два. После окончания срока сертификат можно продлить. Следует отметить, что файл при любом изменении в реквизитах владельца ключа как то смена название, руководителя организации и прочем следует отзывать и оформлять новый.

Оформление и продление

Чтобы получить ЭЦП, необходимо заполнить специальную анкету, где указывается почтовый адрес и множество иной информации. Следует отметить, что в сертификате может быть практически любая информация. Но из-за ограничения действия в год или два приходится их постоянно обновлять. Почему?

Дело в том, что информация, содержащаяся в сертификате, обладает определённым полезным сроком актуальности. Так, чем больше данных внесено в файл, тем скорее он становится недействительным. Поэтому и было введено такое ограничение срока действительности.

При этом необходимо знать, что вся информация, что имеется в сертификате подписи, становится общедоступной. Поэтому рекомендуют включать в него как можно меньше данных. Получение ЭЦП также требует наличия носителя, где подпись будет храниться. Как правило, в такой роли используют флешки. Если необходимо продлить электронно-цифровую подпись, то следует обратиться в соответствующее учреждение.

Кто может выдать ЭЦП?

Электронные документы можно подписывать и своими самоделками. Но чтобы они имели юридическую силу, следует обратиться к учреждениям с соответствующей аккредитацией. Наиболее популярным является использование услуг налоговой службы. Так, в Российской Федерации чаще всего за оформлением ЭЦП обращаются к ФНС. Это связано как с общим признанием, широкими возможностями использования, так и с тем, что они предоставляют подписи бесплатно.

При обращении к другим структурам, даже государственным, придётся заплатить несколько сотен или даже тысяч рублей. А учитывая тот факт, что получение ЭЦП будет повторяться каждый год или два, то не удивительно, что многие делают свой выбор в пользу ФНС. Кстати, если есть желание отозвать свою электронно-цифровую подпись, то для этого необходимо обратиться в организацию, что её выдала, с соответствующим заявлением. Когда же это может понадобиться? Вот небольшой список самых популярных причин:

1. Изменились реквизиты организации.
2. Уполномоченное лицо (владелец подписи) изменил свой статус: уволился, пошел на повышение, был переведён на другую должность.
3. Носитель, где хранился ключ, был сломан и больше не может быть эксплуатирован.
4. Подпись была скомпрометирована.

Какие бывают ключи?

Итак, мы уже знаем, что ЭЦП - это хорошо. Но как проверяется подлинность файла? Для этой цели формируется два ключа (определённые последовательности символов). Итак, есть:

1. Закрытый (личный, секретный) ключ. Это уникальная последовательность символом, что берёт участие в формировании подписи. Он имеется только у своего собственника и известен исключительно ему.
2. Открытый ключ. Криптографический инструмент, что доступен любому желающему. Используется для проверки подлинности ЭЦП.

Как наложить электронно-цифровую подпись на документ?

А теперь к главному. Как подписать ЭЦП необходимый документ? Для этого необходима специальная программа, что будет прошивать требуемый файл, внедряя в него электронно-цифровую подпись. Если документ при этом будет хоть как-то изменён, то ЭЦП будет стёрт.

В качестве примера давайте рассмотрим линейку криптографических программ «КриптоПро». Она может быть использована как для создания, так и для подписания документа ЭЦП. Благодаря этому осуществляется разработка, производство, распространение и сопровождение защищенных криптографией файлов.

Где хранить ЭЦП?

Для этой цели может быть использован (по мере увеличения надежности) жесткий диск компьютера, ДВД, обычная флешка или же токен. Но в таких случаях может возникнуть ситуация, когда кто-то посторонний сможет получить доступ к электронно-цифровой подписи и использовать её во вред.

Наиболее распространённым является использование флешки. Благодаря небольшому размеру её спокойно можно носить при себе, а использование не занимает много времени. Более защищенный, но менее популярный способ хранения - это токен. Так называют миниатюрное устройство, обладающее комплексом аппаратных и программных средств, что обеспечивает не попадание информации в чужие руки.

Также токен может использоваться для получения безопасного дистанционного доступа к данным и защиты от посторонних глаз электронной переписки. Внешне он напоминает обычную флешку. Его особенностью является наличие защищенной памяти, благодаря чему стороннее лицо не сможет считать информацию с токена. Это устройство может решать целый спектр проблем безопасности в сферах аутентификации и криптографии.

В заключение

Сейчас люди при работе с документами часто используют бумажную форму, которая требует наличия нашей подписи, выполненной ручкой. Но по мере распространения использования электронных файлов потребность в ЭЦП будет возрастать. Со временем сложно будет представить себе деятельность и активность человека без этого инструмента.

Вполне вероятно, что ЭЦП со временем превратится в полноценный электронный паспорт, важность которого сложно будет переоценить. Но в таком случае будут остро вставать вопросы о безопасности данных. Не следует забывать, что самый уязвимый фактор сейчас в любой технической системе - это человек. Для того чтобы ЭЦП не попал в руки злоумышленников, что используют его во вред, необходимо постоянно повышать свою информированность и квалификацию в использовании технологических продуктов.

Простая и неквалифицированная электронная подпись (ЭП) могут храниться на любых носителях, так как в Федеральном законе №63-ФЗ «Об электронной подписи» нет никаких указаний на этот счет. К вопросу хранения квалифицированной ЭП нужно отнестись серьезнее. Эта подпись приравнена к собственноручной, она используется в электронных торгах и при заключении важных сделок с контрагентами. Поэтому безопаснее хранить ее на защищенном носителе, сертифицированном ФСБ.

Защищенные носители для квалифицированной электронной подписи

Токен (eToken, Рутокен и др.)

Надежный и удобный носитель в виде USB-брелока. Подходит для большинства применений, кроме ЕГАИС. С его помощью можно отправить отчет в налоговую или Росстат, подписать договор и участвовать в электронных торгах. Чтобы подписывать документы с помощью токена, на компьютер нужно установить средство криптографической защиты информации (СКЗИ).

Токен со встроенным СКЗИ (Рутокен ЭЦП, Рутокен ЭЦП 2.0, JaCarta PKI/ГОСТ/SE)

Носитель, который похож на обычный токен, но обладает встроенным СКЗИ. Используя электронную подпись на таком носителе, вы сможете подписывать документы на любом компьютере без покупки дополнительного ПО. Рутокен ЭЦП подходит для дистанционного банковского обслуживания, работы на госпорталах, сдачи отчетности и документооборота. Он не предназначен для работы с торговыми площадками и ЕГАИС. Рутокен ЭЦП 2.0, как и JaCarta PKI/ГОСТ/SE, используются только для работы с ЕГАИС.

Дополнительная защита электронной подписи

Доступ к подписи по пин-коду

На каждом съемном носителе электронной подписи установлен пин-код - комбинация символов, после ввода которой вы получаете доступ к подписи. Вводится пин-код каждый раз при подписании документа или любом другом обращении к ЭП. По умолчанию код стандартный, но вы можете убрать его совсем или поменять на свой. Мы подготовили инструкцию по смене для Рутокен , eToken , JaCarta . Если нужно, обратитесь в УЦ, и наш специалист поможет сменить пин-код.

Защита подписи от копирования

Ключи электронной подписи по умолчанию разрешено копировать на другие носители. Если хотите, вы можете включить защиту от копирования. Для этого при оформлении заявки сообщите менеджеру, что вам нужен неэкспортируемый ключ электронной подписи. В этом случае скопировать подпись с носителя будет невозможно, так как при любой попытке экспорта файлов система будет выдавать ошибку.

Незащищенные носители для квалифицированной электронной подписи

Теоретически ЭП можно записать на любой съемный носитель. Но файлы на USB-диске, дискете или другом носителе никак не защищены. Если злоумышленники их украдут и расшифруют, то смогут подписывать любые документы. Поэтому мы не рекомендуем хранить файлы электронной подписи на подобных носителях.

Запись ЭП в реестр ноутбука - популярный, но тоже небезопасный вариант хранения подписи. Любой, кто получит доступ к системе, сможет подписывать документы или создать копию ключа. Если понадобится переехать на другое рабочее место, то для переноса ключа электронной подписи понадобится помощь квалифицированного специалиста. ЭП можно и вовсе потерять, если с компьютером что-то случится.

О чем нужно помнить при хранении квалифицированной ЭП

Один носитель - для одного сотрудника
Если записать ЭП разных сотрудников на один носитель, то нарушится конфиденциальность закрытых ключей. И по закону все подписи будут считаться недействительными.

Нельзя передавать свою ЭП другому человеку
Электронная подпись - это аналог собственноручной. Она служит идентификатором владельца. Если отдать ЭП другому человеку, а он подпишет документ, с которым вы не согласны, то оспорить это решение не удастся.

Нельзя хранить ЭП в открытом доступе
Квалифицированную электронную подпись нужно хранить в сейфе или другом защищенном месте. Носитель, который просто лежит на столе, легко украсть, чтобы подписать пару «лишних» документов. А когда вы это заметите, то даже в суде не сможете доказать свою непричастность.

При смене реквизитов меняйте и ЭП
Компания изменила свое название, владелец ЭП уволился или поменял должность? Меняйте подпись. Не затягивайте с этим, чтобы не столкнуться с пачкой платежек, подписанных неизвестно кем, и не нарушать п. 1 ст. 2 Федерального закона №63-ФЗ «Об электронной подписи», требующий обеспечить точную идентификацию владельца ЭП. Для замены электронной подписи обратитесь к менеджеру, который ее выдавал. Или свяжитесь с удостоверяющим центром «Тензор» удобным для вас способом.

Вовремя продлевайте ЭП
Если не продлить электронную подпись, она станет недействительной. И вы не сможете подписать ни один электронный документ, пока не получите новую ЭП в удостоверяющем центре. О том, как продлить электронную подпись, читайте в нашей статье .

Защитите рабочее место
Антивирусное ПО защищает вас от любых неприятных сюрпризов. Вирусы способны имитировать поведение владельца подписи, чтобы подписать несколько нужных злоумышленнику документов. И доказать, что подпись ставили не вы, будет тяжело.

Не храните пароли на бумажках
Это правило - основа компьютерной безопасности. Оно относится не только к электронным подписям, но и ко всем другим сферам. Пароль от токена, заботливо записанный на стикере возле компьютера, несказанно обрадует злоумышленника.

Электронная подпись сегодня используется для защиты документа, существующего в электронном виде, от подделки. На основании ФЗ №63 , ее возможно использовать для защиты электронной версии документов и при работе с различными государственными структурами. В этом законе прописано, как использовать ее и получать физическим и юридическим лицам. Как пользоваться электронной подписью

Электронная подпись является инструментом для установления отсутствия искажения в документах с момента подписи. Перед ее использованием пользователю требуется пройти процедуру соответствующего сертификата. Специальный сертификат является подтверждением принадлежности подписи физическому или юридическому лицу. Получить такой документ возможно только в специализированных удостоверяющих центрах или у их доверенных представителей. Существует два вида ключей для электронной подписи:

1. Закрытого типа.
2. Открытого типа.

В случае с закрытым ключом или паролем к доступу для данной подписи, нельзя сообщать код никому. Пароль необходим для проверки подлинности подписи.

Согласно положениям , существует несколько видов ЭП:

1. Простая . Чаще всего используется физическими лицами. Ее можно поставить на документ путем введения специального кода, который предоставляется удостоверяющим центром.
2. Усиленная неквалифицированная . Ее можно получить в следствии криптографического преобразования информации. Она может выявить факт изменения данных после подписания, а также существует механизм идентификации личности, которая поставила подпись под электронным документом.
3. Усиленная квалифицированная . Аналогичная предыдущей, однако используются специальные коды шифрования, которые сертифицированы ФСБ.

Важно! Заверенные электронной подписью документы обладают аналогичной юридической силой с теми бумагами, которые подписываются лично. Использование усиленной квалифицированной подписи эквивалентно собственноручной подписи с заверением печати.

Область применения

Согласно ФЗ №63, существует несколько областей применения такого рода подписи. В частности, ее используют в следующих случаях:

Как начать пользоваться такой подписью

Перед тем, как начать ее использовать, требуется ее оформить. Сделать это можно путем обращения , который имеет лицензию на выдачу ЭП. Для оформления необходимо:

1. Иметь персональный компьютер.
2. Иметь лицензионное программное обеспечение для работы на компьютере.
3. Выбрать лицо, на которое будет оформляться электронная подпись.
4. Определить способ получения подписи и заключить договор с центром.
5. Оплатить услуги и получить ключ.

В зависимости от центра, необходимы различные документы. Чаще всего требуется:

1. Заявка установленного образца, где будет минимальная необходимая информация о заявителе (компании в праве запрашивать расширенные анкетные данные).
2. Паспорт заявителя.
3. ИНН и СНИЛС заявителя.
4. Квитанция об оплате услуг удостоверяющего центра.

Если необходим квалифицированный сертификат, то потребуются:

1. Учредительные документы организации.
2. Выписка из ЕГРЮЛ.

Важно! Ключ действует в течение одного года, а при его оформлении обязательно личное присутствие заявителя. Далее требуется продление путем написания соответствующего заявления в удостоверяющий центр. При этом не обязательно личное присутствие в центре, достаточно отправить заявление по электронной почте или заказным письмом. Какие именно условия продления действуют в конкретно взятом центре необходимо уточнять у его специалистов. Чаще всего требуется только произвести оплату за следующий год и предоставить заявление.

Как правильно использовать электронную подпись

Получив желаемый ключ, не все знают, как правильно его использовать. На самом деле все достаточно просто:

1. Установите на свой ПК или ноутбук лицензионное ПО, полученное из удостоверяющего центра.
2. Установите библиотеки «Cadescom» и «Capicom».

Стоит рассмотреть данный момент более подробно.

1. В Word 2007 требуется нажать на значок офиса, выбрать «Подготовить» и «Добавить ЦП». После этого вы добавляете цель подписания документа и выбираете подпись. Нажав на кнопку «Подписать», вы получаете желаемый результат. Подпись документа в Word 2007
2. При работе в Word 2003 необходимо выбрать «Сервис» – «Параметры» – «Безопасность» – «ЦП» – «Сертификат» – «Ок». Подпись документа в Word 2003
3. Для работы с файлами в формате pdf существуют специальные программы типа Acrobat и Adobe reader. Необходимо приобрести полную их версию для работы с ЭП, так как вам требуется криптомодуль. Кнопка подписи документа Схема подписания документа
4. Подпись в HTML варианте также возможна. Современные браузеры приспособлены к работе с ЭП, поэтому у вас будет соответствующая кнопка для подписания документа. Однако необходимо, чтобы установлено все требуемое программное обеспечение на ПК.

Выглядеть данная подпись может по-разному. Чаще всего это небольшое изображение в виде штампа. У государственных организаций она имеет форму печати, где указывается, что электронная печать усилена квалифицированной подписью.

Что делать, если электронная подпись не работает

Существует несколько стандартных ситуаций, когда подпись не работает. Решить типичные проблемы не составляет труда без обращения в службу сервисной поддержки. Рассмотрим основные проблемы.

Многие интересуются, можно ли взломать электронную подпись? На самом деле все выполнено таким образом, что подделать ее практически невозможно, если ее владелец умышленно не предоставил третьим лицам к паролям. Чтобы полностью защитить себя от факта мошенничества рекомендуется покупать квалифицированную электронную подпись. Ее возможно использовать при работе с любыми учреждениями.

Где хранится электронная подпись

Чтобы уточнить, какие именно сертификаты установлены на ПК, необходимо войти в свойства браузера. Заходим в свойства браузера

Потом потребуется войти во вкладку «Содержание», выбрав раздел «Сертификаты». Здесь и указана информация обо всех установленных сертификатах. Входим во вкладку «Содержание», выбрав раздел «Сертификаты»

Также возможно найти необходимые сертификаты в реестре. Обычно они расположены по следующему адресу: HKEYLOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettingsUsersS-1-5-23…Keys

Особенности хранения электронных документов

Согласно ГОСТ Р 51141-98, электронные документы необходимо хранить столько же, сколько бумажные. Однако существует несколько особенностей. Например, если закон требует хранить документ в течение пяти лет, подпись действует всего год. Согласно ФЗ-63, нет необходимости ставить подпись каждый год на архивных документах. Они продолжают иметь юридическую силу, несмотря на смену кода электронной подписи. Носитель ключа электронной подписи

Важно! при проставлении электронной подписи автоматически прописывается дата, таким образом, становится понятно, что штамп был действителен на момент его проставления. При возникновении различных спорных ситуаций, можно обратиться в удостоверяющий центр. Там, получив требуемые данные, есть возможность проверить, кто именно поставил подпись под текстом документа.

Таким образом, электронная подпись может использоваться наравне с обычной. Сфера ее применения подробно изложена в ФЗ-63. Она охватывает все сферы гражданско-правовых отношений, отношений между юридическими лицами и работу с государственными структурами.

Видео – Электронная цифровая подпись (ЭЦП): регистрация и использование

Видео – Как подписать электронной подписью (ЭЦП) документ Microsoft Word 2007

О практите применения электронной подписи при хранении электроных документов корреспонденту Клерк.Ру Льву Мишкину рассказал Иван Агапов, аналитик компании Synerdocs

Иван, вот уже целый год мы по закону можем обмениваться электронными документами. Но кроме передачи документов, нам необходимо их хранить и обеспечивать юридическую силу. Закон дает нам электронную подпись, как она помогает обеспечить юридическую значимость хранимых электронных документов?

Начнем с того, что документы имеют свой срок хранения - от пяти лет до нескольких десятилетий. И сам сертификат электронной подписи, который дается сотруднику компании, тоже имеет свой срок действия - как правило, один год. Закон требует, чтобы на момент проверки подписи сертификат либо был действующим, либо должно быть подтверждение, что в момент подписания он был таковым. Если делать проверку подписи спустя год, прямая проверка «в лоб» скажет, что подпись не действительна, поскольку срок сертификата истек.

Как раз этот вопрос и закрывает усовершенствованная электронная подпись. Во-первых, она позволяет доказать время подписания (штамп времени, в котором закреплен момент постановки подписи). Во-вторых, обеспечивает доказательство того, что в конкретное время сертификат действовал и ему можно доверять (списки отзывов, сертификаты из пути доверия).

Так решается принципиальная задача архивного хранения электронного документа - обеспечение юридической значимости документа, чей срок хранения превышает срок действия сертификата электронной подписи.

Сейчас при работе с электронными документами усовершенствованная электронная подпись - единственный гарант юридической силы? Как это отражается в сегодняшней практике, например, в суде?

Конечно, такая подпись - не единственный юридический фактор. Тут стоит вернуться к общей теории признания электронных документов юридически значимыми. Есть много мнений, но мы используем, так сказать, классическую цепочку приоритетов.

Например, у нас есть электронный документ, который мы собираемся использовать в суде, потому следует определить, имеет ли он юридическую значимость. Первое, что суд должен выяснить - может ли он вообще по закону создаваться и существовать в электронном виде. Второе, документ должен содержать все требуемые реквизиты. Третье, суд должен быть уверен, что лицо, которое его подписало, имело право документ подписывать, согласно Уставу, доверенности т.п. Все это фактически является правовым полем документа. И только потом выясняется, действительна ли электронная подпись.

На практике спорный вопрос действительности электронной подписи возникает не часто. Например, суд легко решает проблему с юридической значимостью документа в электронном виде, если стороны ранее заключили соглашение об обмене подписанными электронными документами и даже обменивались ими до возникновения спора. Суд проверяет, прежде всего, наличие факта соглашения об обмене электронными документами, которое фактически закрепляет юридическую силу документа. И только в исключительных случаях суд проверяет действительность самой электронной подписи.

Вернемся к вопросу о хранении электронных документов. Полностью ли электронная подпись решает проблемы обеспечения юридической значимости хранимых данных или какие-то риски сохраняются?

Решает, но не полностью. Закон обязывает нас иметь доказательства, но какие они могут быть - не определено. В нашей практике есть международные стандарты, но это все до сих пор не закреплено законом, потому присутствует потенциальный риск, что в определенный момент государство примет новый стандарт, и текущие технологии придется в корне менять.

Хотя мы склонны считать, что такой риск маловероятен, потому что есть международный опыт и стандарты, которые переделывать не целесообразно. Подтверждением служит и то, что последние предлагаемые поправки в ФЗ-63 «Об электронной подписи» говорят, что законодатели не идут вразрез с практикой.

Плюс к этому у нас сохраняются риски, связанные с самим электронным документом, как таковым. Его тоже нужно как-то хранить, а здесь уже всплывают классические проблемы электронного документа - это носители, это средства хранения и воспроизведения, это форматы и их поддержка. Естественно, что для документов со сроком хранения 5 или 10 лет это не особо актуально, но если мы говорим про документы со сроком хранения в несколько десятков лет, то очень сложно предугадать, что мы будем иметь спустя это время.

В России очень незначительная практика хранения электронных документов. Это не смотря на то, что с 2002 года действует ФЗ-1 «Об ЭЦП» и можно сдавать отчетность в электронном виде, то есть, получается, с электронными архивами мы имеем дело уже больше 10 лет. Правда, отчетность - это специфическая задача, в рамках которой сроки хранения незначительны.

Мы видим, что в практике сохраняется множество противоречий. Что с этим делать операторам электронного документооборота? Возможно, они имеют какое-то решение?

Могу отвечать только за нашу практику. У нас при передаче через сервис документа с электронной подписью, подпись проверяется и доводится до усовершенствованного формата - то есть, мы добавляем штамп времени и другие необходимые параметры. Таким образом, мы обеспечиваем решение задачи обеспечения юридической силой документов с длительным сроком хранения. И в данный момент это единственное подходящее решение.

Даже в этом случае вопрос не решается полностью. Технология электронной подписи тоже имеет свои ограничения, у сертификатов есть сроки действия. Поэтому придется регулярно повторять процедуру подтверждения сертификатов.

А по поводу документов с длительными (например, 50 лет) или постоянными сроками хранения можно вновь сослаться на Европу. Зарубежная практика идет по пути изменения подхода к сохранению в них юридической значимости. Например, упрощаются механизмы обеспечения целостности массива документов. Либо может даже идти речь о переводе в бумажный вид для хранения.

Получается, что по-прежнему главным сдерживающим фактором развития практики хранения электронных документов является законодательство. Помимо обозначенных проблем, каких еще решений вы ждете?

На самом деле все довольно оптимистично. Сегодня у нас уже есть предлагаемые поправки к ФЗ-63, которые несут полезный и позитивный характер, в частности, требования по использованию штампа времени в электронной подписи, вводится понятие о едином пространстве доверия. Это уже хорошо, это уже конкретика. Это влияет на развитие инфраструктуры использования электронной подписи, чтобы пользователь не ломал голову, какой сертификат лучше применять, а приступил к решению своих конкретных задач.

Сейчас сложилась такая ситуация, что зачастую электронная подпись привязана к определенной услуге. С учетом роста разнообразия сервисов, это становится неудобно пользователям. Им нужен один сертификат с максимально широким полем использования. При том, что мы ожидаем взрывной рост сервисов и областей применения электронной подписи, и если у нас не будет единого пространства доверия, то мы рискуем столкнуться с мощным системным кризисом.

Ну и, самое главное, не решен вопрос с регулированием архивов электронных документов. ФЗ-125 «Об архивном деле» уже устарел, в нем нет практически ничего про электронный документ. Там есть сроки хранения, но ни технологий, ни рекомендаций по электронным документам нет. При том, рынку будет достаточно хотя бы общих принципов и рекомендуемых стандартов, а уже над реализацией он подумает сам. В общем, мы ждем новостей по новому закону, который давно уже всем очень нужен.

ИНСТРУКЦИЯ

электронной цифровой подписи

ФГБУ ПГН

Администратор безопасности информации – лицо, организующее, обеспечивающее и контролирующее выполнение требований безопасности информации при осуществлении обмена электронными документами. В штатной структуре ИВЦ ФГБУ ПГН

Электронная цифровая подпись (ЭЦП) – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации и позволяющий идентифицировать владельца ключа, а также установить отсутствие искажения информации в электронном документе.

Закрытый ключ подписи – уникальная последовательность символов, известная владельцу сертификата и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств ЭЦП.

Открытый ключ подписи – уникальная последовательность символов, соответствующая закрытому ключу подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения подлинности ЭЦП в электронном документе.

Сертификат ключа подписи (сертификат) – документ на бумажном носителе или электронный документ, который включает в себя открытый ключ ЭЦП и который выдается удостоверяющим центром для подтверждения подлинности ЭЦП и идентификации владельца сертификата.

Носитель ключевой информации (ключевой носитель) – материальный носитель информации, содержащий закрытый ключ подписи или шифрования.

Шифрование – способ защиты информации от несанкционированного доступа за счет ее обратимого преобразования с использованием одного или нескольких ключей.

2. Общие положения

2.1. Настоящая Инструкция предназначена для пользователей автоматизированных систем , использующих средства электронной цифровой подписи (ЭЦП).

2.2. Электронно-цифровая подпись юридически равносильна живой подписи ее владельца.

2.3. Криптографические методы защиты позволяют обеспечить защиту целостности и авторства электронной информации применением ЭЦП. Невозможность ввода информации от чужого имени (невозможность подделки ЭЦП) гарантируется при сохранении в тайне закрытого ключа ЭЦП пользователей.

2.4. Инструкция содержит основные правила обращения с системами электронного документооборота и ключами ЭЦП, строгое выполнение которых необходимо для обеспечения защиты информации при обмене электронными документами.

2.5. Лица, допущенные к работам с ключами ЭЦП, несут персональную ответственность за безопасность (сохранение в тайне) закрытых ключей подписи и обязаны обеспечивать их сохранность, неразглашение и нераспространение, несут персональную ответственность за нарушение требований настоящей Инструкции.

2.6. Непрерывная организационная поддержка функционирования автоматизированных рабочих мест (АРМ) с ЭЦП предполагает обеспечение строгого соблюдения всеми пользователями требований администратора безопасности.

2.7. Работу с ключами ЭЦП и шифрования координирует администратор безопасности (лицо, ответственное за безопасность информации). Администратор безопасности проводит инструктаж с пользователями по правилам изготовления, хранения, обращения и эксплуатации ключей, о чем делается запись в соответствующем журнале (см. Приложение).

3. Порядок генерации ЭЦП

3.1. Порядок генерации ЭЦП регламентируется соответствующим Регламентом Удостоверяющего центра.

3.2. Владельцы ЭЦП и ответственные исполнители ЭЦП назначаются приказом директора института или приказом руководителей филиалов института (см. Приложение).

3.3. Пользователь, обладающий правом ЭЦП (ответственный исполнитель ЭЦП), вырабатывает самостоятельно или в сопровождении администратора безопасности личный открытый ключ подписи, а также запрос на получение сертификата открытого ключа (в электронном виде и на бумажном носителе).

3.4. Сертификаты ЭЦП и сами ЭЦП выдаются ответственному должностному лицу института, его филиалов и подразделений по доверенности, согласно соответствующего Регламента удостоверяющего центра.

3.5. Формирование закрытых ключей подписи и шифрования производится на учтенные съемные носители информации:

· дискета 3.5’’;

3.6. Закрытые ключи изготавливаются в 2-х экземплярах: эталонная и рабочая копии. В повседневной работе используется рабочая копия ключевого носителя. Срок действия ключей – 1 год с момента выдачи сертификата.

3.7. Ни при каких обстоятельствах нельзя хранить ключи ЭЦП на жестких дисках АРМ.

4.1. Право доступа к рабочим местам с установленным программным обеспечением средств ЭЦП предоставляется только тем лицам, которые по приказу директора института или приказу руководителей его филиалов назначены ответственными исполнителями ЭЦП (см. Приложение) и им предоставлены полномочия на эксплуатацию этих средств.

4.3. В обязательном порядке для хранения ключевых носителей в помещении должно использоваться металлическое хранилище (сейф , шкаф, секция) заводского изготовления, оборудованное приспособлением для его опечатывания. Опечатывание хранилища должно производиться личной печатью ответственного исполнителя ЭЦП или его владельца.

4.4. Хранение ключевых носителей допускается в одном хранилище с другими документами и ключевыми носителями, при этом отдельно от них и в упаковке, исключающей возможность негласного доступа к ним. Для этого ключевые носители помещаются в специальный контейнер, опечатываемый личной металлической печатью ответственного исполнителя или владельца ЭЦП.

4.5. Транспортирование ключевых носителей за пределы организации допускается только в случаях, связанных с производственной необходимостью. Транспортирование ключевых носителей должно осуществляться способом, исключающим их утрату, подмену или порчу.

4.6. На технических средствах, оснащенных средствами ЭЦП, должно использоваться только лицензионное программное обеспечение фирм-производителей.

4.7. Должны быть приняты меры по исключению несанкционированного доступа посторонних лиц в помещения, в которых установлены технические средства ЭЦП.

4.8. Запрещается оставлять без контроля вычислительные средства, на которых эксплуатируется ЭЦП после ввода ключевой информации. При уходе пользователя с рабочего места должно использоваться автоматическое включение парольной заставки.

4.9. Ответственные исполнители ЭЦП обязаны вести журнал учета ключевых документов и своевременно заполнять его (см. Приложение).

4.10. Ключевая информация содержит сведения конфиденциального характера, хранится на учтенных в установленном порядке носителях и не подлежит передаче третьим лицам (см. Приложение).

4.11. Носители ключевой информации относятся к материальным носителям, содержащим информацию ограниченного распространения и должны быть учтены по соответствующим учетным формам (см. Приложение).

4.12. Формирование закрытых ключей подписи и шифрования производится на учтенные съемные носители информации:

· дискета 3.5’’;

· идентификатор Touch-Memory DS1993 – DS1996;

· идентификатор Rutoken и т. д.

4.13. Закрытые ключи изготавливаются в 2-х экземплярах: эталонная и рабочая копии. В повседневной работе используется рабочая копия ключевого носителя. Срок действия ключей – 1 год с момента выдачи сертификата.

4.14. Ни при каких обстоятельствах нельзя хранить ключи ЭЦП на жестких дисках АРМ.

4.15. При физической порче рабочей копии ключевого носителя, пользователь немедленно уведомляет об этом администратора безопасности. Администратор безопасности в присутствии пользователя изготовляет очередную рабочую копию ключевого носителя с эталонной копии с отражением выполненных действий в соответствующих учетных формах.

4.16. Ключевой носитель извлекается из опечатанного контейнера только на время работы с ключами. Перед вскрытием контейнера необходимо проверить целостность печати и ее принадлежность. В нерабочее время опечатанный контейнер с ключевыми носителями должен находиться в хранилище.

4.17. При необходимости временно покинуть помещение, в котором проводятся работы с использованием ЭЦП, ключевой носитель должен быть вновь помещен в контейнер и опечатан.

· осуществлять несанкционированное администратором безопасности копирование ключевых носителей;

· разглашать содержимое ключевых носителей и передачу самих носителей лицам, к ним не допущенным, а также выводить ключевую информацию на дисплей и принтер;

· использовать ключевые носители в режимах, не предусмотренных правилами пользования ЭЦП, либо использовать ключевые носители на посторонних ПЭВМ;

· записывать на ключевые носители постороннюю информацию.

5.1. Приказом директора института или руководителей его филиалов и подразделений должна быть создана комиссия по уничтожению ключевой информации.

5.2. Ключи должны быть выведены из действия и уничтожены в следующих случаях:

· плановая смена ключей;

· изменение реквизитов ответственного исполнителя (владельца) ЭЦП;

· компрометация ключей;

· выход из строя (износ, порча) ключевых носителей;

· прекращение полномочий пользователя ЭЦП.

5.3. Уничтожение ключей может производиться путем физического уничтожения ключевого носителя, на котором они расположены, или путем стирания (разрушения) ключей без повреждения ключевого носителя. Ключи стирают по технологии, принятой для соответствующих ключевых носителей многократного использования (дискет, Touch Memory, Rutoken и т. п.). Непосредственные действия по стиранию ключевой информации регламентируются эксплуатационной и технической документацией.

5.4. Ключи должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется актом (см. Приложение) и отражается в соответствующих учетных формах (см. Приложение). Экземпляр акта должен быть передан в ИВЦ инженеру по защите информации не позднее 3 суток после уничтожения ключевой информации.

6.1. Компрометация ключа – утрата доверия к тому, что используемые ключи обеспечивают безопасность информации.

6.2. К событиям, связанным с компрометацией ключей, относятся, включая, но не ограничиваясь, следующие:

· потеря ключевых носителей;

· потеря ключевых носителей с последующим обнаружением;

· нарушение правил хранения и уничтожения (после окончания срока действия ключа);

· возникновение подозрений на утечку информации или ее искажение;

· нарушение печати на контейнере с ключевыми носителями;

· случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в т. ч. случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника).

6.3. При компрометации ключа пользователь немедленно прекращает обмен электронными документами с другими пользователями и извещает о факте компрометации администратора безопасности и инженера по защите информации ИВЦ института.

6.4. По факту компрометации ключей должно быть проведено служебное расследование с оформлением уведомления о компрометации.

6.5. Факт компрометации закрытых ключей подписи должен быть подтвержден официальным уведомлением института в адрес Удостоверяющего центра о компрометации в письменном виде. Уведомление должно содержать идентификационные параметры сертификата, дату и время компрометации, характер компрометации, подпись владельца ключа подписи, подпись руководителя и печать института или его филиала.

6.6. Выведенные из действия скомпрометированные ключи уничтожаются (см. п.5.2 настоящей Инструкции), о чем делается запись в журнале учета ЭЦП (см. Приложение).

7.1. Администратор безопасности проводит опечатывание системных блоков рабочих станций с установленным средством ЭЦП, исключающее возможность несанкционированного изменения аппаратной части рабочих станций. При этом номер пломбы заносится в Учетную карточку персонального компьютера и в Журнал заявок на ремонт персональных компьютеров и оргтехники.

7.2. Администратор безопасности инструктирует Пользователей систем электронного документооборота по правилам обращения с ЭЦП.

7.3. Администратор безопасности контролирует целостность аппаратных средств и программных продуктов, используемых для систем электронного документооборота, в которых используются ЭЦП.

7.4. Контроль за правильностью и своевременностью выполнения регламентных работ с ЭЦП осуществляет Администратор безопасности и уполномоченные лица Удостоверяющего центра.

7.5. Администратор безопасности осуществляет непрерывный контроль за всеми действиями Пользователей систем электронного документооборота, в которых используются ЭЦП.

7.6. Не реже чем 2 раза в год Администратор безопасности информации проводит проверки всех АРМ пользователей, используемых для систем электронного документооборота на предмет соблюдения требований действующих Регламентов Удостоверяющих центров и настоящей Инструкции.

8.1. Ответственные исполнители ЭЦП при работе с ключевыми документами обязаны руководствоваться положениями соответствующего Регламента Удостоверяющего центра и настоящей Инструкции.

8.2. Ответственные исполнители ЭЦП обязаны организовать свою работу по генерации ЭЦП в полном соответствии с положениями соответствующего Регламента Удостоверяющего центра и п.3 настоящей Инструкции.

8.3. Ответственные исполнители ЭЦП обязаны организовать свою работу с ключевыми документами в полном соответствии с п.4 настоящей Инструкции.

8.4. Уничтожение ключевой информации с ключевого носителя может производится только в полном соответствии с положениями соответствующего Регламента Удостоверяющего центра и п.5 настоящей Инструкции.

8.5. В случае каких-либо изменений реквизитов ЭЦП (плановая смена ключей, изменение реквизитов владельцев или Ответственных исполнителей, генерация новой ЭЦП, и др.) в течении 3 суток Ответственные исполнители ЭЦП обязаны предоставить Администратору безопасности информации следующие документы:

◦ копию Приказа о назначении Владельцев и Ответственных исполнителей ЭЦП;

◦ копию Сертификата новой ЭЦП;

◦ копию Акта на уничтожение ключей ЭЦП (см. Приложение).

8.6. Ответственные исполнители ЭЦП обязаны выполнять требования Администратора безопасности информации в части, касающейся обеспечения информационной безопасности института, его подразделений и филиалов.

9.1. Техники клиник не являются непосредственными участниками электронного документооборота и не могут быть допущены к ключевым документам.

9.2. В случае необходимости проведения технического обслуживания или других работ на АРМ Ответственных исполнителей ЭЦП, связанного с нарушением целостности пломбы на системных блоках, техники клиник в обязательном порядке делают отметку в Журнале заявок на ремонт персональных компьютеров и оргтехники о срыве пломбы с указанием ее номера. После проведения необходимых работ Техник опечатывает системный блок номерной пломбой с указанием ее номера в Журнале заявок на ремонт персональных компьютеров и оргтехники и Учетной карточке персонального компьютера.

9.3. Не реже чем 1 раз в месяц техники клиник обязаны проверять наличие обновленных сведений об ЭЦП в соответствующих Журналах учета ключевых документов (ведется Ответственными исполнителями ЭЦП, согласно п. 4.9 настоящей Инструкции) и информировать Администратора безопасности информации обо всех обновленных сведениях об ЭЦП.

Приложение

по правилам обращения с ключевыми документами

электронной цифровой подписи

на уничтожение ключей ЭЦП (шифрования)

"_____" ____________________ 200__г

Комиссия, __________________________________________________________________________

(наименование организации, номер и дата приказа)

в составе: председателя ______________________________________________________________,

и членов комиссии____________________________________________________________________

в присутствии пользователя КД по причине ______________________________________________

(окончание срока действия, прекращение полномочий, компрометация)

подготовила к уничтожению ключевые документы стиранием ключевой информации:

Таблица 1.*

Комиссия установила, что при подготовке данных информация с ГМД, указанных в табл. 2, не считывается. Перечисленные ГМД к дальнейшему использованию не пригодны и подлежат уничтожению измельчением магнитных дисков.

Таблица 2.*

Члены комиссии:

____________________________ __________________________________________ (подпись) (Ф. И.О)

«Разрешаю уничтожить»

____________________________________

(руководитель организации)

____________________________________

(подпись) (Ф. И.О.)

МП «_____» ____________200__г.

Ключевые документы, перечисленные в табл. 1, уничтожены стиранием ключевой информации двойным форматированием.

Ключевые документы, перечисленные в табл. 2, уничтожены методом измельчения магнитных дисков.

Члены комиссии:

____________________________ __________________________________________ (подпись) (Ф. И.О)

____________________________ __________________________________________ (подпись) (Ф. И.О)

Акт экз. №1 - в дело

Акт экз. №2 - в отдел РСиБИ УФК.

* Примечание: Таблица 1 заполняется при стирании ключевой информации с ГМД.

Таблица 2 заполняется при уничтожении ключевого носителя.

Приложение

по правилам обращения с ключевыми документами

электронной цифровой подписи

Форма Приказа о назначении Владельцев и Ответственных исполнителей ЭЦП

«____» ______________ 201 г. № _________

О назначении владельцев и ответственных исполнителей электронно-цифровой подписи

С целью обеспечения контроля за целостностью передаваемых электронных документов с применением электронно-цифровой подписи (ЭЦП) на ((наименование системы электронного документооборота))

ПРИКАЗЫВАЮ:

1. Назначить основным владельцем ЭЦП ((должность, ФИО владельца ЭЦП))

2. Назначить ответственным исполнителем и поручить исполнение обязанностей по постановке ЭЦП на электронных документах ((наименование системы электронного документооборота)), ((должность, ФИО ответственного исполнителя ЭЦП)).

3. Все действия должностных лиц, связанных с системой электронного документооборота ((наименование системы электронного документооборота)) в отношении этой системы организовать в строгом соответствии с действующим Регламентом Удостоверяющего центра и требованиями Инструкции по правилам обращения с ключевыми документами электронной цифровой подписи ФГУ «Пятигорский ГН».

4. Контроль за исполнением настоящего приказа оставляю за собой

Директор ((подпись)) ((ФИО директора))

Основным владельцем ЭЦП как правило назначается директор или его заместитель.