О ПРИМЕРНОМ ДОГОВОРЕ
ОБ ОБМЕНЕ ЭЛЕКТРОННЫМИ ДОКУМЕНТАМИ
ПИСЬМО
ФЕДЕРАЛЬНОЕ КАЗНАЧЕЙСТВО
20 марта 2007 г.
N 42-7.1-17/10.1-102
(Д)
В дополнение к письму от 21.10.2005 N 42-10.1-15/1234 "О
примерном договоре об обмене электронными документами" Федеральное
казначейство направляет доработанный примерный Договор об обмене
электронными документами (прилагается).
При заключении органами Федерального казначейства договоров об
обмене электронными документами с главными распорядителями,
распорядителями, получателями, администраторами поступлений,
финансовыми органами всех уровней бюджетной системы Российской
Федерации рекомендуется использовать прилагаемый примерный Договор об
обмене электронными документами (далее – Примерный договор).
К ранее заключенным Договорам об обмене электронными документами
с главными распорядителями, распорядителями, получателями,
администраторами поступлений, финансовыми органами всех уровней
бюджетной системы Российской Федерации рекомендуется подписать
дополнительные соглашения, предусматривающие изменения, вносимые
настоящим Примерным договором, или перезаключить их в соответствии с
настоящим Примерным договором.
Т.Г.НЕСТЕРЕНКО
20 марта 2007 г.
N 42-7.1-17/10.1-102
Приложение
ДОГОВОР N —- ОТ —— 200- Г.
ОБ ОБМЕНЕ ЭЛЕКТРОННЫМИ ДОКУМЕНТАМИ
————————, именуемое в дальнейшем "Организатор", в
лице ——————, действующего на основании ——————,
с одной стороны, и ———–, именуем—- в дальнейшем "Участник", в
лице ————————————–, действующего на основании
———————————-, с другой стороны, вместе именуемые
"Сторонами", заключили настоящий договор (далее – Договор) о
нижеследующем.
1. ПРЕДМЕТ ДОГОВОРА
1.1. Договор регулирует отношения между Сторонами по электронному
документообороту между ними в соответствии с Правилами электронного
документооборота в системе электронного документооборота Федерального
казначейства (далее – Правила), являющимися Приложением к настоящему
Договору.
1.2. Договор определяет права и обязанности Сторон, возникающие
при осуществлении электронного документооборота (далее – ЭДО), с
учетом обеспечения информационной безопасности.
1.3. Договор определяет условия и порядок обмена электронными
документами (далее – ЭД) при осуществлении ЭДО между Сторонами в
системе электронного документооборота Федерального казначейства (далее
– СЭДФК).
2. ПРАВА И ОБЯЗАННОСТИ СТОРОН
2.1. При осуществлении обмена ЭД с использованием СЭДФК Стороны
обязуются:
2.1.1. Руководствоваться законодательством Российской Федерации,
нормативными актами Министерства финансов Российской Федерации,
Федерального казначейства, эксплуатационной документацией на
программное обеспечение (далее – ПО) СЭДФК (включая средства
криптографической защиты информации (далее – СКЗИ)) и настоящим
Договором.
2.1.2. При компрометации закрытых ключей электронных цифровых
подписей (далее – закрытый ключ подписи) руководствоваться п. 4.3
Правил.
2.2. Стороны признают, что:
2.2.1. ЭД, сформированные каждой из участвующих в ЭДО Сторон,
имеют равную юридическую силу с соответствующими документами на
бумажных носителях информации, если они подписаны корректными
электронными цифровыми подписями (далее – ЭЦП) – ЭЦП лиц, имеющих
право подписи соответствующих документов (далее – уполномоченные
лица), и для этих ЭЦП соблюдены следующие условия:
– сертификаты ключей подписей (далее – сертификаты), относящиеся
к этим ЭЦП, изданы Уполномоченным удостоверяющим центром Федерального
казначейства и не утратили силу (действуют) на момент проверки или на
момент подписания ЭД;
– подтверждена подлинность этих ЭЦП в ЭД;
– ЭЦП используется в соответствии со сведениями, указанными в
сертификате.
2.2.2. Применяемые в СЭДФК сертифицированные СКЗИ и ЭЦП
обеспечивают конфиденциальность, целостность и подлинность ЭД при
осуществлении Сторонами обмена ЭД с использованием общедоступных
каналов связи и нескомпрометированных закрытых ключей подписи
уполномоченных лиц.
2.2.3. ЭЦП в ЭД, при выполнении условий Договора, признаются
равнозначными собственноручным подписям уполномоченных лиц. ЭД,
подписанные ЭЦП, имеют равную юридическую силу с документами на
бумажных носителях информации, подписанных собственноручными подписями
уполномоченных лиц и оформленных в установленном порядке.
2.2.4. ЭД, подписанные ЭЦП, не являющимися корректными, приему и
исполнению не подлежат.
2.3. Организатор обязуется:
2.3.1. Предоставить во временное пользование Участнику
необходимое ПО, в том числе СКЗИ, для организации автоматизированного
рабочего места (далее – АРМ) Участника (кроме общесистемного и
офисного ПО).
2.3.2. Предоставить информацию о технических требованиях,
предъявляемых к АРМ Участника, необходимых для подключения к СЭДФК.
2.3.3. Принимать и исполнять оформленные должным образом ЭД
Участника СЭДФК в соответствии с настоящим Договором.
2.3.4. Предоставлять Участнику актуальные справочники,
используемые в СЭДФК и необходимые для подготовки ЭД.
2.3.5. При изменении порядка и/или правил обработки ЭД, при
необходимости, своевременно предоставлять Участнику модернизированное
ПО для АРМ Участника с откорректированной технической документацией.
2.3.6. Оказывать Участнику услуги по сопровождению АРМ Участника
на условиях и в соответствии с утвержденным Федеральным казначейством
"Порядком сопровождения и технического обслуживания абонентов СЭД".
2.4. Организатор имеет право:
2.4.1. Отказывать Участнику в приеме, исполнении ЭД с указанием
мотивированной причины отказа.
2.4.2. Приостанавливать обмен ЭД при:
– несоблюдении Участником требований по передаче ЭД и обеспечению
информационной безопасности, предусмотренных законодательством
Российской Федерации и условиями настоящего Договора;
– разрешении спорных ситуаций, а также для выполнения неотложных,
аварийных и ремонтно-восстановительных работ на АРМ Организатора с
уведомлением Участника о сроках проведения этих работ.
В случае невозможности передачи ЭД в СЭДФК Участник оформляет и
передает Организатору документы на бумажных носителях или в виде ЭД на
магнитном носителе по согласованию с Организатором.
2.4.3. Производить замену ПО СЭДФК, в том числе СКЗИ. При этом,
если замена приводит к необходимости реконфигурации технических
средств или общесистемного ПО для АРМ Участника, Организатор обязан
сообщить об этом Участнику не менее чем за 10 рабочих дней до даты
начала работы в новых условиях.
2.5. Участник обязуется:
2.5.1. Использовать АРМ Участника исключительно в целях,
предусмотренных настоящим Договором.
2.5.2. Назначать лиц, отвечающих за организацию и обеспечение
бесперебойной эксплуатации программно-технических средств АРМ
Участника, согласно составу пользователей, определенному в Правилах.
2.5.3. Передавать Организатору должным образом оформленные ЭД и
получать от Организатора электронные сообщения, подтверждающие
получение и обработку ЭД.
2.5.4. Не вносить исправления, изменения или дополнения, а также
не передавать третьим лицам закрытые ключи подписи, ПО (в том числе
СКЗИ и ключевую документацию к ним) и соответствующую техническую
документацию, предоставляемые Организатором по настоящему Договору
согласно п. 2.3.1.
2.5.5. Формировать новые закрытые и открытые ключи подписи в
случае компрометации действующих закрытых ключей подписи или за 10
рабочих дней до истечения срока действия сертификатов.
2.5.6. Исполнять требования по обеспечению информационной
безопасности АРМ Участника, изложенные в разделе 4 Правил.
2.5.7. Соблюдать требования предоставленной Организатором
документации пользователя и администратора АРМ Участника и
утвержденный Федеральным казначейством "Порядок сопровождения и
технического обслуживания абонентов СЭД".
2.6. Участник имеет право:
2.6.1. Требовать от Организатора исполнения принятых от Участника
ЭД.
2.6.2. Требовать от Организатора приостановления исполнения
(обработки) всех ЭД в случаях компрометации закрытых ключей подписи
Участника.
3. ОТВЕТСТВЕННОСТЬ СТОРОН
3.1. За неисполнение или ненадлежащее исполнение обязательств по
настоящему Договору Стороны несут ответственность в соответствии с
законодательством Российской Федерации.
3.2. Каждая из Сторон несет ответственность за содержание всех
ЭД, предусмотренных настоящим Договором, подписанных ЭЦП
уполномоченных лиц Сторон.
3.3. Стороны не несут ответственности за возможные временные
задержки исполнения и/или искажения ЭД, возникающие по вине лиц,
предоставляющих услуги связи для использования в СЭДФК.
3.4. Организатор не несет ответственности за убытки Участника,
возникшие вследствие несвоевременного контроля Участником электронных
сообщений, подтверждающих получение и обработку ЭД, неисполнения
Участником ЭД, а также за несоблюдение Участником мер по обеспечению
защиты от несанкционированного доступа к информации, в том числе и
закрытым ключам подписи, на АРМ Участника.
3.5. Сторона не несет ответственность за убытки другой Стороны,
возникшие вследствие несвоевременного сообщения о компрометации
закрытых ключей подписи представителями другой Стороны, участвующими в
СЭДФК.
3.6. Участник несет ответственность за соблюдение требований
предоставленной Организатором документации пользователя и
администратора АРМ Участника и утвержденного Федеральным казначейством
"Порядка сопровождения и технического обслуживания абонентов СЭД".
3.7. В случае неработоспособности АРМ Участника, произошедшей по
вине Участника, а также в случае необходимости переноса ПО АРМ
Участника на другое аппаратное обеспечение, Участник обязуется в срок
не более 2-х рабочих дней обеспечить работоспособность АРМ Участника.
При невозможности восстановления работоспособности АРМ участника в
указанный срок Участник обязуется за свой счет доставить на территорию
Организатора аппаратное обеспечение, соответствующее заявленным
техническим параметрам для замены Организатором ПО АРМ Участника.
4. ПОРЯДОК РАЗРЕШЕНИЯ КОНФЛИКТНЫХ СИТУАЦИЙ
4.1. При возникновении конфликтных ситуаций, возникающих в ходе
обмена ЭД между Сторонами, Стороны должны стремиться разрешить их
путем переговоров.
4.2. В случае, если конфликтная ситуация не урегулирована в
результате переговоров Сторон, создается Комиссия из представителей
Сторон в соответствии с Правилами.
4.3. Споры и разногласия, по которым Стороны не могут достигнуть
соглашения, подлежат разрешению в вышестоящем для Сторон
государственном органе или суде в соответствии с законодательством
Российской Федерации.
5. КОНФИДЕНЦИАЛЬНОСТЬ
5.1. Стороны оговаривают вопрос о степени конфиденциальности
передаваемой информации, письменно уведомив другу друга о пометке
конфиденциальности – "Для служебного пользования".
5.2. Порядок защиты и доступа к конфиденциальной информации
регламентируется соответствующими нормативными правовыми актами
Российской Федерации.
6. СРОК ДЕЙСТВИЯ ДОГОВОРА,
ПОРЯДОК ЕГО ИЗМЕНЕНИЯ И РАСТОРЖЕНИЯ
6.1. Настоящий Договор заключается на неопределенный срок и
вступает в силу со дня его подписания.
6.2. Срок начала исполнения обязательств по договору определяется
Организатором, при условии обязательного уведомления Участника (в срок
не менее чем за 5 рабочих дней до даты начала исполнения обязательств
по настоящему Договору).
6.3. В случае принятия нормативного акта уполномоченным
государственным органом по вопросам, регулируемым настоящим Договором,
соответствующие положения Договора подлежат изменению по инициативе
одной из Сторон.
6.4. Настоящий Договор может быть расторгнут по письменному
соглашению Сторон.
7. ДОПОЛНИТЕЛЬНЫЕ УСЛОВИЯ
7.1. Обмен электронными документами при осуществлении ЭДО Стороны
осуществляют на безвозмездной основе.
7.2. По взаимному согласию Сторон в текст Договора могут
вноситься изменения и дополнения.
7.3. Все изменения и дополнения к настоящему Договору имеют
юридическую силу и являются действительными, если они составлены в
письменном виде и подписаны Сторонами.
7.4. Настоящий Договор составлен в двух экземплярах, имеющих
одинаковую юридическую силу, по одному экземпляру для каждой из
Сторон.
8. АДРЕСА И РЕКВИЗИТЫ СТОРОН
Организатор: Участник:
———————————- ———————————–
———————————- ———————————–
———————————- ———————————–
9. ПОДПИСИ СТОРОН
———————————- ———————————–
Приложение
к Договору "Об обмене
электронными документами"
N —– от ———–
ПРАВИЛА
ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА В СИСТЕМЕ ЭЛЕКТРОННОГО
ДОКУМЕНТООБОРОТА ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Термины и определения
В целях настоящего документа используются следующие термины и
определения:
Автоматизированное рабочее место (далее – АРМ) – установленные у
Организатора и Участника (далее – Стороны) программное обеспечение
(далее – ПО) и технические средства, включая средства
криптографической защиты информации (далее – СКЗИ), предназначенные
для работы в системе электронного документооборота Федерального
казначейства (далее – СЭДФК).
Администратор АРМ Участника – сотрудник Участника, отвечающий за
обеспечение бесперебойной эксплуатации ПО и технических средств АРМ
Участника, контроль мероприятий по защите информации, хранение и учет
электронных документов (далее – ЭД), взаимодействие с Организатором по
техническим вопросам и вопросам обеспечения безопасности информации.
На администратора АРМ Участника могут возлагаться задачи по
отправке/приему электронных документов и сообщений.
Администратор безопасности информации Организатора (далее –
администратор безопасности информации) – лицо, организующее,
обеспечивающее и контролирующее выполнение требований безопасности
информации при осуществлении обмена ЭД с Участником.
Владелец сертификата ключа подписи – физическое лицо, на имя
которого Уполномоченным удостоверяющим центром Федерального
казначейства (далее – УУЦ) выдан сертификат ключа подписи (далее –
Сертификат) и которое владеет соответствующим закрытым ключом подписи,
позволяющим с помощью средств электронной цифровой подписи (далее –
ЭЦП) создавать свою ЭЦП в ЭД (подписывать ЭД).
Закрытый ключ аутентификации – уникальная последовательность
символов, известная владельцу Сертификата открытого ключа
аутентификации (Администратору АРМ Участника) и предназначенная для
аутентификации Участника на стороне Организатора с последующим
установлением защищенного (шифрованного) канала связи при
информационном взаимодействии в СЭДФК между Сторонами с использованием
СКЗИ (для защиты информации при ее передаче по открытым каналам
связи).
Закрытый ключ подписи – уникальная последовательность символов,
известная владельцу Сертификата и предназначенная для создания в
электронных документах электронной цифровой подписи с использованием
средств ЭЦП.
Заявка на получение сертификата ключа подписи – документ на
бумажном носителе, содержащий распечатку значения открытого ключа
подписи Пользователя в шестнадцатеричной системе исчисления,
наименование Участника и иные идентифицирующие Пользователя реквизиты,
подписанный собственноручными подписями Пользователя и руководителя
Участника и заверенный оттиском печати Участника.
Компрометация закрытого ключа подписи – событие, определенное
владельцем Сертификата как ознакомление неуполномоченным лицом
(лицами) с его закрытым ключом подписи, хищение, утеря носителя
закрытого ключа подписи, несанкционированное копирование или другие
причины появления у владельца Сертификата сомнений в сохранении тайны
закрытого ключа подписи.
Корректная ЭЦП – ЭЦП лица, имеющего право подписи
соответствующего документа, и для этой ЭЦП соблюдены следующие
условия:
– сертификат ключа подписи (далее – Сертификат), относящийся к
этой ЭЦП, издан Уполномоченным удостоверяющим центром (далее – УУЦ)
Федерального казначейства и не утратил силу (действует) на момент
проверки или на момент подписания ЭД;
– подтверждена подлинность этой ЭЦП в ЭД;
– ЭЦП используется в соответствии со сведениями, указанными в
Сертификате.
Носитель ключевой информации – материальный носитель информации,
содержащий закрытый ключ подписи или аутентификации.
Открытый ключ аутентификации – уникальная последовательность
символов, соответствующая закрытому ключу аутентификации, доступная
Сторонам и предназначенная для подтверждения подлинности Участника при
его аутентификации на стороне Организатора, с последующим
установлением защищенного (шифрованного) канала связи при
информационном взаимодействии в СЭДФК между Сторонами с использованием
СКЗИ (для защиты информации при ее передаче по открытым каналам
связи). Принадлежность открытого ключа аутентификации владельцу
подтверждается Сертификатом открытого ключа аутентификации, изданным
Администратором безопасности информации Организатора.
Открытый ключ подписи – уникальная последовательность символов,
соответствующая закрытому ключу подписи, доступная Сторонам и
предназначенная для подтверждения подлинности ЭЦП в ЭД. Принадлежность
открытого ключа владельцу Сертификата в СЭДФК подтверждается
Сертификатом, изданным УУЦ.
Отправитель – юридическое лицо в СЭДФК, которое само
непосредственно направляет или от имени которого направляется ЭД.
Подтверждение подлинности ЭЦП в ЭД – положительный результат
проверки принадлежности ЭЦП в ЭД владельцу Сертификата и отсутствия
искажений в подписанном данной ЭЦП ЭД.
Получатель – юридическое лицо в СЭДФК, которому ЭД отправлен
самим отправителем или от имени отправителя.
Пользователи – лица Сторон, осуществляющие формирование,
подписание, отправку/получение, проверку, хранение и учет ЭД или/и
обеспечивающие эксплуатацию ПО и технических средств АРМ.
Пользователь сертификата ключа подписи – физическое лицо,
использующее полученные у Организатора сведения о Сертификате для
проверки принадлежности ЭЦП владельцу Сертификата.
Программное обеспечение (ПО) – совокупность программ и
программных документов, необходимых для их эксплуатации.
Сертификат ключа подписи (Сертификат) – документ на бумажном
носителе или ЭД, заверенный ЭЦП УУЦ, который включает в себя открытый
ключ подписи владельца Сертификата. Сертификат выдается УУЦ для
подтверждения подлинности ЭЦП и идентификации владельца Сертификата.
Сертификат открытого ключа аутентификации – электронный документ,
который включает в себя открытый ключ аутентификации владельца.
Сертификат открытого ключа аутентификации издается Администратором
безопасности информации Организатора для обеспечения аутентификации
Участника на стороне Организатора с последующим установлением
защищенного (шифрованного) канала связи при информационном
взаимодействии в СЭДФК между Сторонами с использованием СКЗИ (для
защиты информации при ее передаче по открытым каналам связи).
Система электронного документооборота Федерального казначейства
(СЭДФК) – совокупность ПО и технического оборудования, обеспечивающая
процесс обмена электронными документами между Сторонами.
Уполномоченное лицо – лицо, имеющее право подписи ЭД.
Уполномоченный удостоверяющий центр Федерального казначейства
(УУЦ) – основной компонент инфраструктуры открытых ключей Федерального
казначейства, осуществляющий выполнение целевых функций
удостоверяющего центра.
Региональный центр регистрации УУЦ (РЦР) – основной
организационно-технический компонент службы регистрации УУЦ,
реализующий взаимодействие конечных пользователей информационной
системы Федерального казначейства и других компонентов ведомственной
инфраструктуры открытых ключей с УУЦ.
1.2. Предмет регулирования настоящих Правил
электронного документооборота в системе электронного
документооборота Федерального казначейства
1.2.1. Настоящие Правила электронного документооборота в системе
электронного документооборота Федерального казначейства (далее –
Правила) устанавливают общие принципы осуществления электронного
документооборота (далее – ЭДО) между Сторонами.
1.2.2. Настоящие Правила не регулируют вопросы обмена
электронными сообщениями, не являющимися ЭД в соответствии с договором
об обмене ЭД, заключаемыми между Сторонами (далее – Договор).
1.3. Документы, регулирующие ЭДО в СЭДФК
1.3.1. ЭДО в СЭДФК регулируется следующими документами:
– Договором;
– утвержденным Федеральным казначейством "Порядком сопровождения
и технического обслуживания абонентов СЭД";
– технической документацией на АРМ Участника, включая
документацию на СКЗИ;
– законодательными и другими нормативными правовыми актами
Российской Федерации.
1.4. Порядок и условия допуска Участника
к осуществлению документооборота в СЭДФК
1.4.1. Участник допускается к осуществлению документооборота в
СЭДФК после выполнения им следующих мероприятий:
– заключения Договора с Организатором об обмене ЭД;
– назначения администратора(ов) АРМ Участника;
– получения у Организатора необходимого для осуществления ЭДО ПО,
в том числе СКЗИ (исключая общесистемное и офисное ПО);
– установки ПО АРМ Участника;
– проведения инструктажа Пользователей Участника работе с АРМ
Участника;
– получения, в случае использования СКЗИ для защиты каналов связи
и аутентификации при доступе в СЭДФК, в установленном порядке ключевой
документации;
– регистрации Пользователей Участника в УУЦ и получения в
установленном порядке Сертификатов.
1.4.2. Участник обеспечивает защиту АРМ СЭДФК от
несанкционированного доступа в соответствии с требованиями нормативных
документов и законодательства Российской Федерации.
1.5. Пользователи Участника
1.5.1. Пользователи Участника несут персональную ответственность
за безопасность ключевой информации, в том числе закрытых ключей
подписи и аутентификации, и обязаны обеспечивать ее сохранность,
неразглашение и нераспространение.
1.5.2. Пользователи Участника должны быть ознакомлены под роспись
с документами, регулирующими ЭДО в СЭДФК, определенными настоящими
Правилами.
1.6. Порядок вступления в действие настоящих Правил,
а также внесения в них изменений
1.6.1. Настоящие Правила вступают в силу в отношении Участника
после заключения Договора между Сторонами.
1.6.2. Изменения и дополнения в настоящие Правила вносятся в
порядке, установленном Договором.
1.7. Прекращение действия настоящих Правил
1.7.1. Обязательства Сторон по исполнению настоящих Правил
прекращаются при расторжении Договора.
1.7.2. Прекращение действия настоящих Правил не влияет на
юридическую силу и действительность ЭД, которыми Стороны обменивались
до прекращения действия настоящих Правил.
2. ЭЛЕКТРОННЫЕ ДОКУМЕНТЫ
2.1. Требования, предъявляемые к ЭД
2.1.1. ЭД, сформированные в СЭДФК и подписанные надлежащим
количеством корректных ЭЦП, имеют юридическую силу наравне с бумажными
документами, подписанными собственноручными подписями.
2.1.2. ЭД считаются надлежащим образом оформленными при условии
их соответствия законодательству Российской Федерации, а также
документам, регулирующими ЭДО в СЭДФК.
2.1.3. ЭД, не отвечающие требованиям, предъявляемым к ЭД
настоящими Правилами, рассматриваются Сторонами как ЭД, не имеющие
юридической силы.
2.2. Использование ЭЦП в ЭД
2.2.1. ЭД может быть подписан только ЭЦП уполномоченных лиц
Сторон, для которых УУЦ изданы действующие Сертификаты.
2.2.2. Прекращение действия Сертификатов уполномоченных лиц
Сторон не влияет на юридическую силу и действительность ЭД, которыми
Стороны обменивались до прекращения действия Сертификатов.
2.3. Использование ЭД
2.3.1. ЭД, подписанный надлежащим количеством корректных ЭЦП
уполномоченных лиц Сторон, имеет равную юридическую силу с документом,
представленным на бумажном носителе, подписанном собственноручными
подписями уполномоченных лиц Сторон, и не может быть оспорен только на
том основании, что он выполнен в электронном виде.
2.3.2. ЭД может иметь неограниченное количество экземпляров, в
том числе выполненных на машиночитаемых носителях различного типа. Для
создания дополнительного экземпляра существующего ЭД осуществляется
копирование ЭД вместе со всеми ЭЦП.
2.3.3. Все экземпляры ЭД являются подлинниками данного ЭД.
2.4. Представление сведений, содержащихся в ЭД,
на бумажном носителе
2.4.1. Сведения, содержащиеся в ЭД, могут быть представлены
(распечатаны) на бумажном носителе. В этом случае их соответствие ЭД
должно быть заверено Организатором или Участником в установленном
порядке.
2.4.2. Программы, осуществляющие представление сведений,
содержащихся в ЭД на бумажных носителях, являются составной частью ПО,
используемого в СЭДФК.
3. ОРГАНИЗАЦИЯ ЭДО
3.1. ЭДО
3.1.1. ЭДО включает:
– формирование ЭД и их ЭЦП с использованием закрытых ключей
подписи соответствующих уполномоченных лиц Сторон;
– отправку и доставку ЭД;
– проверку подлинности ЭЦП в доставленном ЭД:
– подтверждение получения ЭД;
– отзыв ЭД;
– учет ЭД (регистрацию входящих и исходящих ЭД);
– хранение ЭД;
– создание дополнительных экземпляров ЭД;
– создание представлений (распечатывание) ЭД в бумажном виде.
3.2. Формирование ЭД и их ЭЦП
3.2.1. Формирование ЭД и их ЭЦП осуществляется согласно
документам, регулирующим ЭДО в СЭДФК, определенным настоящими
Правилами.
3.3. Отправка и доставка ЭД
3.3.1. В отношениях между отправителем и получателем ЭД считается
исходящим от отправителя, если ЭД отправлен лицом, уполномоченным
действовать от имени отправителя в отношении данного ЭД.
3.3.2. ЭД не считается исходящим от отправителя, если получатель
знал или должен был знать, в том числе в результате выполнения
проверки, о том, что ЭД не исходит от отправителя, или получатель знал
или должен был знать, в том числе в результате выполнения проверки, о
том, что получен искаженный ЭД.
3.4. Проверка подлинности доставленного ЭД
3.4.1. Проверка подлинности ЭД включает:
– проверку ЭД на соответствие документам, регулирующим ЭДО в
СЭДФК, определенным настоящими Правилами;
– проверку подлинности всех ЭЦП в ЭД;
– проверку статуса соответствующих Сертификатов на момент
подписания или приема соответствующего ЭД.
3.4.2. В случае положительного результата проверки подлинности ЭД
данный ЭД принимается к исполнению. В противном случае данный ЭД к
исполнению не принимается, о чем получатель должен послать уведомление
отправителю с указанием причины непринятия документа к исполнению.
3.4.3. Не принятые к исполнению ЭД сохраняются на случай
разрешения относительно них конфликтных ситуаций.
3.5. Подтверждение получения ЭД
3.5.1. Подтверждение получения ЭД (уведомление) производится в
автоматическом режиме, согласно документам, регулирующим ЭДО в СЭДФК,
определенным настоящими Правилами.
3.6. Отзыв ЭД
3.6.1. Участник вправе отозвать отправленный ЭД согласно
документам, регулирующим ЭДО в СЭДФК, определенным настоящими
Правилами.
3.6.2. ЭД может быть отозван отправителем до начала его обработки
(исполнения) получателем.
3.7. Учет ЭД
3.7.1. Учет ЭД осуществляется путем ведения электронных журналов
учета в АРМ Участника.
3.7.2. Срок хранения электронных журналов учета определяется
сроком хранения учитываемых ЭД.
3.8. Хранение ЭД
3.8.1. ЭД должны храниться с сохранением всех реквизитов (полей),
включая все ЭЦП. Допускается хранение ЭД в виде последовательности
всех полей ЭД (включая все ЭЦП) в записи базы данных.
3.8.2. Срок хранения ЭД должен соответствовать сроку хранения
соответствующих документов на бумажных носителях.
3.8.3. Хранение ЭД должно сопровождаться хранением
соответствующих электронных журналов учета, Сертификатов,
подтверждений о доставке ЭД, а также ПО, обеспечивающего возможность
работы с электронными журналами и проверки ЭЦП хранимых ЭД.
4. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
4.1. Общие требования обеспечения защиты
информации в СЭДФК
4.1.1. В случае обмена конфиденциальной информацией Участник
должен выполнять требования "Инструкции об организации и обеспечения
безопасности хранения, обработки и передачи по каналам связи с
использованием средств криптографической защиты информации с
ограниченным доступом, не содержащих сведений, составляющих
государственную тайну", утвержденной Приказом Федерального агентства
правительственной связи и информации (ФАПСИ) при Президенте Российской
Федерации от 13.06.2001 N 152 (далее – Инструкция N 152).
4.2. Управление ключевой информацией
4.2.1. Управление ключевой информацией осуществляют
администраторы безопасности информации, уполномоченные лица УУЦ и
администраторы АРМ Участника.
4.2.2. Ключевая информация содержит сведения конфиденциального
характера, хранится на учтенных в установленном порядке носителях
ключевой информации и не подлежит передаче третьим лицам.
4.2.3. Носители ключевой информации относятся к материальным
носителям, содержащим информацию ограниченного распространения. При
обращении с ними должны выполняться требования Инструкции N 152, иных
документов, регламентирующих порядок обращения с информацией
ограниченного распространения в федеральных органах исполнительной
власти, и настоящих Правил.
4.2.4. Учет носителей ключевой информации осуществляют
администраторы безопасности информации и администраторы АРМ Участника
по соответствующим учетным формам.
4.2.5. Требования по организации хранения и использования
носителей ключевой информации.
4.2.5.1. Порядок хранения и использования носителей ключевой
информации должен исключать возможность несанкционированного доступа к
ним.
4.2.5.2. Во время работы с носителями ключевой информации доступ
к ним посторонних лиц должен быть исключен.
4.2.5.3. Не разрешается:
– производить несанкционированное копирование носителей ключевой
информации;
– знакомить или передавать носители ключевой информации лицам, к
ним не допущенным;
– выводить закрытые ключи подписи на дисплей или принтер;
– вставлять носитель ключевой информации в считывающее устройство
других компьютеров;
– оставлять носитель ключевой информации без присмотра на рабочем
месте;
– записывать на носитель ключевой информации посторонние файлы.
4.2.6. Порядок работы с ключами аутентификации для организации
шифрованной связи (при использовании аппаратно-программного комплекса
шифрования (далее – АПКШ) "Континент").
4.2.6.1. Формирование комплекта ключей аутентификации и запроса
на получение сертификата открытого ключа аутентификации осуществляется
администратором АРМ Участника с последующей передачей запроса
администратору безопасности информации любым доступным способом
(администратор безопасности информации может формировать ключи
аутентификации, соответствующий запрос и сертификат только для
обеспечения проверки подключения АРМ Участника и проведения тестового
обмена ЭД с Участником по защищенным каналам связи).
4.2.6.2. Мероприятия по обеспечению удаленного защищенного
доступа к информационным ресурсам Организатора и выпуску сертификата
открытого ключа аутентификации осуществляются администратором
безопасности информации в соответствии с эксплуатационной
документацией на СКЗИ.
4.2.6.3. Передача сертификата открытого ключа аутентификации
администратору АРМ Участника или представителю Участника, действующего
на основании доверенности, осуществляется любым доступным способом.
Срок действия ключа аутентификации и соответствующего сертификата –
один год.
4.2.6.4. За две недели до окончания срока действия ключей
аутентификации администратор АРМ Участника осуществляет формирование
нового комплекта ключей и соответствующего запроса на получение
сертификата открытого ключа аутентификации, который направляет
администратору безопасности информации.
4.2.6.5. О всех случаях компрометации закрытых ключей
аутентификации администратор АРМ Участника извещает администратора
безопасности информации. В этом случае формируется новый комплект
ключей аутентификации в соответствии с п. 4.2.6.1.
4.2.7. Порядок работы с ключами подписи.
4.2.7.1. Формирование открытого и закрытого ключей подписи и
соответствующей заявки на получение Сертификата должно осуществляться
уполномоченными лицами Участника.
4.2.7.2. В случае работы в СЭДФК без использования АПКШ
"Континент" ключи подписи администратора АРМ Участника используются
для шифрования/расшифрования данных.
4.2.7.3. Запрос на издание Сертификата Пользователя в электронном
виде передается на утверждение в соответствующий РЦР.
4.2.7.4. Заявки, оформленные и подписанные в установленном
порядке, сопровождающиеся документами, подтверждающими права
уполномоченных лиц на подпись документов, направляются в
соответствующий РЦР, который в срок, не превышающий 3 рабочих дней с
момента подачи Заявки, и при наличии соответствующего запроса на
издание Сертификата обеспечивает издание УУЦ Сертификата.
4.2.7.5. Ответственность за соответствие сведений, указанных в
Сертификате, сведениям, указанным в Заявке и в представленных для
регистрации сопровождающих документах уполномоченных лиц Участника,
несет РЦР, утвердив