1. Термины и определения / КонсультантПлюс

Термины и определения / КонсультантПлюс

Владелец сертификата ключа подписи (владелец СКП) — физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы).

Валидный СКП — сертификат, положительно прошедший все необходимые операции проверки валидности.

Доверенный удостоверяющий центр (ДУЦ) — удостоверяющий центр, аккредитованный в сети доверенных УЦ ФНС России.

Закрытый ключ ЭЦП — уникальная последовательность символов, известная владельцу СКП и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств ЭЦП.

Единое пространство доверия — структура, определяющая организационные границы, в пределах которых находятся только заслуживающие доверия удостоверяющие центры, а сертификаты ключей подписей, изготовленные ими, признаются всеми участниками информационного взаимодействия в границах структуры и на равных условиях.

Идентификация — действия по присвоению субъектам и объектам доступа идентификаторов и (или) по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Идентификатор пользователя — уникальный в рамках Удостоверяющего центра (УЦ) код пользователя (последовательность символов), позволяющий провести авторизацию пользователя. В УЦ идентификаторы пользователя генерируются на основе данных, взятых из заявления пользователя на регистрацию.

Информационная безопасность (безопасность информации) — состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п.

Информационный обмен — обмен сведениями о лицах, предметах, фактах, событиях и процессах, независимо от формы их представления.

Информационный ресурс Организатора сети ДУЦ ФНС России (ИРУЦ) — автоматизированная система, позволяющая проводить автоматическую регистрацию и актуализацию регистрационных данных (включая СКП) участников юридически значимого электронного документооборота.

Ключевой носитель — электронный носитель ключевой информации, содержащий один или несколько ключей.

Компрометация ключа — утрата доверия к тому, что используемые закрытые ключи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся, в том числе, следующие:

— утрата ключевых носителей;

— утрата ключевых носителей с последующим обнаружением;

— увольнение сотрудников, имевших доступ к ключевой информации;

— возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;

— нарушение целостности печатей на сейфах с ключевыми носителями, если используется процедура опечатывания сейфов;

— утрата ключей от сейфов в момент нахождения в них ключевых носителей;

— утрата ключей от сейфов в момент нахождения в них ключевых носителей с последующим обнаружением;

— доступ посторонних лиц к ключевой информации.

Конфликтная ситуация — противоречивые позиции сторон по какому-либо поводу; стремление к противоположным целям или использование различных средств для их достижения; несовпадение интересов, желаний сторон. В ходе обмена ЮЗЭД возможно возникновение спорных ситуаций, связанных с реализацией прав пользователей СКП.

Конфиденциальная информация — любая информация, доступ к которой ограничен законодательством Российской Федерации, не содержащая сведений, составляющих государственную тайну.

Кросс-сертификат — СКП уполномоченного лица Доверенного УЦ, подписанный ЭЦП уполномоченного лица Организатора сети ДУЦ.

Объект доступа — единица ресурса автоматизированной информационной системы, доступ к которой регламентируется правилами разграничения доступа.

Организатор сети доверенных УЦ ФНС России (Организатор сети ДУЦ) — удостоверяющий центр, приказом ФНС России назначенный головным УЦ в сети доверенных удостоверяющих центров ФНС России.

Открытый ключ ЭЦП — уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств ЭЦП подлинности ЭЦП в электронном документе.

Пользователь СКЗИ — физическое или юридическое лицо, обладающее правом пользования средством криптографической защиты информации. Право пользования подтверждается лицензией производителя СКЗИ, выданной пользователю.

Проверка валидности сертификата ключа подписи — это действия, производимые над проверяемым сертификатом ключа подписи для того, чтобы убедиться в возможности его использования, а именно:

— проверка целостности сертификата ключа подписи;

— проверка срока действия сертификата ключа подписи;

— проверка отсутствия сертификата ключа подписи в актуальном списке отозванных сертификатов ключей подписей;

— проверка области действия сертификата ключа подписи.

Сертификат ключа подписи (СКП) — (сертификат открытого ключа) — документ на бумажном носителе и электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.

Сеть доверенных УЦ — сеть доверенных удостоверяющих центров Федеральной налоговой службы Российской Федерации.

Система — система юридически значимого электронного документооборота Федеральной налоговой службы Российской Федерации (далее — ФНС России) при информационном взаимодействии с хозяйствующими субъектами.

Список отозванных сертификатов (СОС) — файл, подписанный УЦ, содержащий серийные номера СКП, прекративших свое действие (отозванных) раньше установленного срока, причину прекращения действия, информацию об УЦ, отозвавшем сертификаты, и другую служебную информацию.

Средства криптографической защиты информации (СКЗИ) — средства шифрования, средства имитозащиты, средства электронной цифровой подписи, средства кодирования, средства изготовления ключевых документов и ключевые документы (независимо от вида носителя ключевой информации).

Средства электронной цифровой подписи (средства ЭЦП) — аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи.

Удостоверяющий центр (УЦ) — организация (юридическое лицо), оказывающая услуги по управлению жизненным циклом СКП, в соответствии с законодательством Российской Федерации.

Уполномоченное лицо УЦ — сотрудник, назначенный приказом либо распоряжением руководителя УЦ, на имя (псевдоним) которого выдан сертификат ключа подписи центра сертификации УЦ.

Участники Системы — налоговые органы и хозяйствующие субъекты, осуществляющие обмен электронными документами с электронной цифровой подписью, а также предоставляющие услуги по обеспечению и обслуживанию осуществляемого обмена в рамках Системы.

Электронная цифровая подпись (ЭЦП) — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Электронный документ (ЭД) — документ, в котором информация представлена в электронно-цифровой форме.

Юридически значимый электронный документ (ЮЗЭД) — электронный документ, подписанный ЭЦП уполномоченного лица Участника Системы.

§

§

§

Читайте также:  Как проверить кредитную историю: способы проверки истории по кредиту

В границах единого пространства доверия организуется Система информационного взаимодействия между участниками информационного обмена ЮЗЭД.

Функции Участников Системы:

1. УЦ ФНС России:

— управление единым пространством доверия;

— обеспечение должностных лиц НО СКП.

2. Организатор сети ДУЦ:

— сопровождение ИРУЦ;

— координация работы ДУЦ.

От имени Организатора сети ДУЦ в едином пространстве доверия действует Администратор ИРУЦ.

3. Доверенные УЦ:

— обеспечение хозяйствующих субъектов СКП;

— формирование запросов на регистрацию (изменение регистрации) СКП в Системе;

— предоставление результатов обработки запросов хозяйствующим субъектам;

— занесение актуальных данных о статусах СКП в ИРУЦ.

От имени Доверенных УЦ в едином пространстве доверия действуют Операторы ИРУЦ.

4. Спецоператоры:

— обеспечение обмена электронными документами между хозяйствующими субъектами и НО;

— регистрация СКП хозяйствующих субъектов в Системе по поручению ДУЦ.

От имени Спецоператоров в едином пространстве доверия действуют Операторы ИРУЦ.

5. Налоговые органы:

— подтверждение, при обращении хозяйствующих субъектов, полноты и достоверности сведений для выпуска и регистрации СКП хозяйствующих субъектов в Системе.

Удостоверяющий центр, входящий в сеть доверенных УЦ, на основании договора с хозяйствующим субъектом об оказании услуг и в соответствии с регламентирующими документами данного Доверенного УЦ выдает хозяйствующему субъекту:

— СКП хозяйствующего субъекта;

— кросс-сертификат Доверенного УЦ;

— СКП Организатора сети ДУЦ;

— актуальный СОС Доверенного УЦ;

— актуальный СОС Организатора сети ДУЦ.

В удостоверяющих центрах, входящих в Сеть доверенных УЦ, организуются автоматизированные рабочие места Операторов ИРУЦ.

Количество Операторов ИРУЦ для Доверенных УЦ определяется по соглашению между Организатором сети ДУЦ и ДУЦ.

Операторы ИРУЦ выполняют функции по актуализации данных о СКП, публикации в ИРУЦ СОС и реестров СКП.

Администратор ИРУЦ выполняет функции по управлению данными о ДУЦ, Операторах ИРУЦ, СОС.

ИРУЦ предоставляет интерфейс работы Операторам и Администратору ИРУЦ, а также обеспечивает информационное взаимодействие УЦ, входящих в единое пространство доверия.

Подсистема автоматизированной регистрации СКП в Системе производит обработку запросов ИРУЦ на регистрацию (изменение регистрации) СКП в Системе, формирование результатов обработки запросов ИРУЦ и выдачу результатов обработки запросов в ИРУЦ.

§

Единое пространство доверия формирует ИРУЦ посредством регистрации в Системе СКП: хозяйствующих субъектов; должностных лиц НО; Операторов ИРУЦ; Администратора ИРУЦ; уполномоченных лиц УЦ ФНС России, Организатора сети ДУЦ, ДУЦ и Спецоператоров.

СКП содержит сведения о владельце открытого ключа — информацию, которая идентифицирует владельца. Таким образом, выдавая сертификат ключа подписи, издатель удостоверяет подлинность связи между открытым ключом субъекта и информацией, которая его идентифицирует.

Формат сертификата ключа подписи определен в рекомендациях ITU-T 1997 года X.509 и рекомендациях IETF 1999 года RFC 2459.

Для функционирования пространства доверия необходимо наличие следующих СКП:

— СКП хозяйствующих субъектов;

— СКП должностных лиц НО;

— СКП уполномоченных лиц УЦ ФНС России;

— СКП уполномоченных лиц Организатора сети ДУЦ;

— СКП уполномоченных лиц ДУЦ;

— СКП уполномоченных лиц Спецоператоров;

— СКП Операторов ИРУЦ;

— СКП Администратора ИРУЦ.

Функционирование единого пространства доверия обеспечивают Операторы ИРУЦ, Администратор ИРУЦ.

При этом: СКП хозяйствующих субъектов регистрируют Операторы ИРУЦ, СКП Администратора ИРУЦ регистрирует уполномоченный представитель Организатора сети ДУЦ, остальные СКП регистрирует Администратор ИРУЦ.

В процессе регистрации СКП производится проверка валидности СКП.

СОС регистрируются в ИРУЦ Администратором ИРУЦ.

В процессе работы Системы возможны рассогласования данных. Для устранения рассогласования по запросу Администратора ИРУЦ производится синхронизация данных. Эталонными считаются данные, размещенные в ИРУЦ.

§

§

§

§

Читайте также:  Аккредитация удостоверяющих центров :: Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации

За неисполнение либо ненадлежащее исполнение обязательств виновный Участник Системы несет ответственность в порядке и на основаниях, предусмотренных действующим законодательством Российской Федерации.

Участники Системы освобождаются от ответственности за частичное или полное неисполнение условий Порядка ведения ЕПД в случае, если такое неисполнение явилось следствием обстоятельств непреодолимой силы, то есть чрезвычайных и неотвратимых обстоятельств, не зависящих от воли Участников Системы, в том числе принятия органами государственной власти законодательных и нормативных актов, препятствующих исполнению условий настоящего Порядка ведения ЕПД.

Участник, ссылающийся на обстоятельства непреодолимой силы, обязан не позднее чем в 5-дневный срок с момента наступления известить заинтересованных Участников Системы о наступлении этих обстоятельств. Извещение должно содержать данные о характере обстоятельств и оценку их влияния на возможность исполнения Участником своих обязательств. Несвоевременное извещение Участником о наступлении обстоятельств, освобождающих его от ответственности, влечет за собой утрату права для этого Участника ссылаться на эти обстоятельства.

Все предоставленные Участниками Системы данные или любые сведения, отнесенные к конфиденциальной информации в соответствии с действующим законодательством Российской Федерации, являются исключительной собственностью Участников и не подлежат разглашению Участниками или передаче третьим лицам ни при каких обстоятельствах, кроме случаев, предусмотренных законодательством Российской Федерации.

Используемые во взаимоотношениях между Участниками электронные документы, заверенные ЭЦП, являются оригиналами, имеют юридическую силу, подлежат хранению в соответствии с законодательством Российской Федерации и могут использоваться в качестве доказательств в суде, а также при рассмотрении споров в досудебном порядке.

Участники признают, что применение в Системе сертифицированных средств ЭЦП и СКЗИ, которые реализуют формирование и проверку ЭЦП и шифрование, достаточно для обеспечения конфиденциальности информационного взаимодействия, а также подтверждения того, что электронный документ:

— исходит от Участника (подтверждение авторства документа);

— не претерпел изменений при информационном взаимодействии Участников в рамках Системы (подтверждение целостности и подлинности документа).

Оператор ИРУЦ несет ответственность за:

1. Достоверность электронных документов, переданных им в ИРУЦ.

2. За сохранность и поддержание в актуальном состоянии созданного им архива электронных и бумажных документов.

3. За своевременную регистрацию в ИРУЦ СОС, издаваемого Доверенным УЦ:

3.1. В случае планового размещения (в соответствии с Регламентом ДУЦ) новый СОС регистрируется в ИРУЦ за 1 день до истечения срока действия актуального СОС;

3.2. В случае отзыва СКП новый СОС должен быть издан и зарегистрирован в ИРУЦ в день отзыва СКП.

Администратор ИРУЦ несет ответственность за:

1. Достоверность электронных документов, переданных им в ИРУЦ.

2. Сохранность и поддержание в актуальном состоянии созданного им архива электронных и бумажных документов.

3. Работоспособность реестра СКП хозяйствующих субъектов, изготовленных Доверенными УЦ.

4. Работоспособность реестра СКП должностных лиц НО.

Доверенный УЦ не отвечает за последствия компрометации владельцем ключей ЭЦП используемых закрытых ключей ЭЦП и иных нарушений регламентирующих документов ДУЦ.

§

Одним из основных назначений единого пространства доверия является предупреждение и разрешение конфликтных ситуаций, касающихся авторства и целостности ЮЗЭД, циркулирующих в Системе.

Конфликтные ситуации, возникающие в ходе работы с ЮЗЭД, можно классифицировать следующим образом:

а) ситуации, связанные с содержанием ЭД:

— оспаривание содержания отправленного или полученного ЭД;

— оспаривание идентичности экземпляров ЭД и/или подлинника и копии ЭД на бумажном носителе;

— оспаривание целостности ЭД;

б) ситуации, связанные с авторством ЭД:

— подтверждение подлинности ЭЦП в ЭД (оспаривание авторства документа);

— оспаривание полномочий лица, заверившего ЭД ЭЦП;

— оспаривание действительности и правомочности использования СКП, для заверения ЭД (область действия СКП должна быть соответствующей);

в) ситуации, связанные с работой программно-технических средств:

— недоверие к технологиям и/или программно-техническим средствам передачи и защиты информации при обмене ЭД;

— недоверие к используемым структурам и форматам ЭД;

— оспаривание факта отправления и/или получения ЭД;

— оспаривание времени отправления и/или получения ЭД.

Порядок разрешения конфликтных ситуаций определяется регламентирующими документами Организатора сети ДУЦ, согласованными с ФНС России.

Для разрешения конфликтных ситуаций налоговым органом, в пределах компетенции которого возникла конфликтная ситуация, создается комиссия (по факту или на постоянной основе), в которую включаются:

— представители УЦ ФНС России (только в случае, если конфликтная ситуация связана с ЭЦП/СКП должностного лица НО);

— представители заинтересованных Участников;

— представители Организатора сети ДУЦ;

— представители ДУЦ, выдавшего СКП, если конфликтная ситуация связана с ЭЦП/СКП.

Дополнительно могут привлекаться авторитетные независимые специалисты в области криптографической защиты информации.

Результатом работы комиссии является акт, который заверяется всеми членами комиссии.

§

§

§

§

§

§

При компрометации ключей подписи Оператора ИРУЦ Оператор ИРУЦ приостанавливает взаимодействие с ИРУЦ и немедленно уведомляет Администратора ИРУЦ о факте компрометации, сообщая следующую информацию (по телефону/факсу/электронной почте):

— серийный номер скомпрометированного сертификата ключа подписи оператора ИРУЦ;

— парольную фразу (выданную при изготовлении СКП оператора ИРУЦ);

— идентификационные данные уведомителя (ФИО, телефон, e-mail);

— время, когда стало известно о компрометации ключей.

Администратор ИРУЦ организует отзыв СКП, выданного Оператору ИРУЦ, и в течение 1 рабочего дня, используя инструментарий ИРУЦ, организует рассылку СОС, содержащего отозванный СКП.

Оператор ИРУЦ или уполномоченное лицо Доверенного УЦ оформляет заявление на отзыв СКП Оператора ИРУЦ в бумажном виде с указанием причин, вызвавших компрометацию, заверяет его подписью руководителя и печатью ДУЦ и передает его в течение 1 рабочего дня Организатору сети ДУЦ (почта/курьерская доставка), предпринимает меры к устранению причин компрометации.

Оператор ИРУЦ или уполномоченное лицо Доверенного УЦ оформляет заявление на выдачу СКП Оператору ИРУЦ и направляет его Организатору сети ДУЦ.

§

§

§

§

Читайте также:  Как установить сертификат в КриптоПро с флешки

При компрометации ключей подписи уполномоченного лица ДУЦ Оператор ИРУЦ выполняет следующее:

1) уведомляет Администратора ИРУЦ о факте компрометации (по телефону/факсу/электронной почте), при этом сообщает следующую информацию:

— серийный номер скомпрометированного СКП;

— идентификационные данные уведомителя (ФИО, телефон, e-mail);

— время, когда стало известно о компрометации ключей;

2) приостанавливает издание новых СКП;

3) уведомляет о факте компрометации всех Участников;

4) отзывает все СКП, изданные ДУЦ;

5) публикует свой список отозванных сертификатов в ИРУЦ.

Администратор ИРУЦ блокирует использование СКП ДУЦ и всех СКП, изданных ДУЦ, в ИРУЦ и Системе.

Руководство ДУЦ предпринимает действия к восстановлению работоспособности ДУЦ и передает необходимую информацию Организатору сети ДУЦ.

9.4.6. Компрометация ключей ЭЦП должностных лиц НО

При компрометации ключей подписи должностных лиц НО лицо, ответственное за применение СКП, выполняет следующее:

1) уведомляет Администратора ИРУЦ о факте компрометации (по телефону/факсу/электронной почте), при этом сообщает следующую информацию:

— серийный номер скомпрометированного СКП;

— идентификационные данные уведомителя (ФИО, телефон, e-mail);

— время, когда стало известно о компрометации ключей;

2) останавливает применение СКП.

Администратор ИРУЦ блокирует использование СКП должностных лиц НО в ИРУЦ и Системе.

Лицо, ответственное за применение СКП должностных лиц НО, оформляет заявление на отзыв СКП в бумажном виде, оформляет Заявку на выпуск СКП взамен скомпрометированных, заверяет их подписью руководителя и печатью УФНС и передает его в течение 1 рабочего дня УЦ ФНС.

§

§

Какие носители используются для эцп?

01 апреля 2020 г.

электронная подпись

Электронная подпись – это реквизит электронного документа, предназначенный для его защиты от подделки. Подпись использует криптографическое преобразование информации и позволяющий идентифицировать владельца. Также некоторые виды ЭЦП защищают документ от внесения в него изменений после подписания. Устройство, порядок пользования и ответственность исполнителя определенны Федеральным законом № 63. Подпись действует в течении срока, обозначенного в сертификате.

Существуют следующие типы ЭЦП:

  • простая;
  • усиленная неквалифицированная;
  • усиленная квалифицированная.

Простая электронная подпись (ПЭП) — подразумевает использование кодов, паролей или иных средств, подтверждающих факт формирования электронной подписи определенным лицом. Простая электронно-цифровая подпись имеет низкую степень защиты. Она позволяет лишь определить автора документа и не защищает документ от подделки.

Неквалифицированная электронная подпись (НЭП) – усиленная электронная подпись, которая позволяет определить лицо, подписавшее электронный документ и обнаружить факт внесения изменений в  документ после момента его подписания. НЭП приравнивает документ к собственноручно подписанному с печатью организации, если это установлено регламентом информационной системы, в котором используется данный вид подписи, либо соглашением сторон, участвующих в электронном документообороте.

Квалифицированная электронная подпись (КЭП) — усиленная электронная подпись. Соответствует всем признакам неквалифицированной электронной подписи, но кроме этого содержит ключ проверки сертификата. Также для создания и проверки электронной подписи используются средства криптографической защиты, сертифицированые ФСБ РФ. За счет регламентированных правил выпуска и описания структуры электронной подписи в Федеральном законе №63-ФЗ «Об электронной подписи», ее можно использовать в информационных системах без необходимости описания применения в регламенте или соглашении сторон

виды подписей

Электронный документооборот – перспективное направление, упрощающее многие процедуры. Неоспоримые преимущества перед привычным бумажным документооборотом  говорят сами за себя: это и ускоренная передача сведений, и упрощенное хранение больших объемов информации, и повышенная безопасность. Технология широко применяется в торговле, в обращении в госорганы и предоставлении отчетности.

В России чаще всего в качестве носителей ЭП выступают смарт-карта и токены. Эти цифровые носители защищены паролями и сертифицированы в соответствии с требованиями ФСТЭК и ФСБ РФ. Для считывания физических носителей используются специальные карт-ридеры — прочитать о них можно по этой ссылке: https://ecpexpert.ru/cart-ridery.

Носители отличает высокая степень защиты от несанкционированной эксплуатации. Внешний облик схож с обычными USB-флешками, но внутренняя среда совершенно другого характера. Вопреки даже наивысшим показателям надежности не стоит пренебрегать мерами осторожности. Свой накопитель не следует передавать кому-либо или оставлять в легкодоступном для других людей месте и не забывать его продлевать вовремя.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector