О задаче защиты закрытого ключа ЭЦП от компрометации #эп / эцп #СЭД #ECMJ

Действия Участников Системы в случае компрометации ключей ЭЦП / КонсультантПлюс

Доверенный УЦ уведомляет Пользователей о ставших ему известных фактах, которые существенным образом могут сказаться на возможности дальнейшего использования СКЗИ и СКП.

Доверенный УЦ в момент генерации и сертификации ключей ЭЦП передает Пользователю пароль для экстренной связи в случае компрометации закрытых ключей ЭЦП. Пользователь обеспечивает сохранение конфиденциальности пароля.

Пользователь в случае компрометации собственных ключей ЭЦП обязан немедленно по телефонным каналам связи с использованием устного пароля или факсимильным сообщением, заверенным подписью и печатью Пользователя, информировать Доверенный УЦ о наступлении события, трактуемого как компрометация.

При компрометации ключа ЭЦП Пользователь должен прекратить обмен электронными документами с Участниками Системы.

Доверенный УЦ, получивший сообщение о компрометации ключей Пользователя, должен убедиться в достоверности сообщения о компрометации (запросить пароль или факсимильное сообщение, заверенное подписью и печатью Пользователя) и после этого обязан немедленно аннулировать скомпрометированные ключи ЭЦП (занести в СОС соответствующие СКП).

Пользователь, объявивший о компрометации собственных криптографических ключей, в течение одного рабочего дня документально оформляет уведомление и направляет его в Доверенный УЦ.

Пользователь, допустивший компрометацию собственных криптографических ключей, несет все издержки, связанные с генерацией новых ключей, их сертификацией и вводом в действие.

§

За невыполнение либо ненадлежащее исполнение обязательств виновный Участник Системы несет ответственность в порядке и на основаниях, предусмотренных действующим законодательством Российской Федерации.

Доверенный УЦ не отвечает за последствия компрометации Пользователем используемых закрытых ключей ЭЦП и иных нарушений Регламента, допущенных Пользователем.

Участники Системы освобождаются от ответственности за частичное или полное неисполнение условий Регламента в случае, если такое неисполнение явилось следствием непреодолимой силы, то есть чрезвычайных и неотвратимых обстоятельств, не зависящих от воли Участников, в том числе: принятия органами государственной власти, ФНС России, УФНС, законодательных и нормативных актов, распоряжений, приказов, препятствующих исполнению условий по настоящему Регламенту.

Участник, ссылающийся на обстоятельства непреодолимой силы, обязан незамедлительно (не позднее чем в 5-дневный срок с момента наступления) известить другую сторону о наступлении этих обстоятельств. Извещение должно содержать данные о характере обстоятельств и оценку их влияния на возможность исполнения Участником своих обязательств. Несвоевременное извещение Участником о наступлении обстоятельств, освобождающих ее от ответственности, влечет за собой утрату права для этого Участника ссылаться на эти обстоятельства.

Все предоставленные Участникам Системы данные или любые сведения, отнесенные к конфиденциальной информации в соответствии с действующим законодательством Российской Федерации, являются исключительной собственностью Участников и не подлежат разглашению Участниками или передаче третьим лицам ни при каких обстоятельствах, кроме случаев, предусмотренных законодательством Российской Федерации.

Налоговый орган несет ответственность перед Пользователями за своевременность обработки информации, поступающей от Пользователей в электронном виде по телекоммуникационным каналам связи, и предоставление всех необходимых в соответствии с нормативными актами ФНС РФ подтверждений и квитанций в электронном виде.

Налоговый орган несет ответственность за своевременное доведение до сведений Пользователей информации об изменении в представлении отчетности в электронном виде по телекоммуникационным каналам связи, публикуя соответствующую информацию на Интернет-сайте ФНС России и Управлений ФНС России субъектов Российской Федерации <*>.

———————————

<*> Ст. 21, 32 НК РФ, Приказ МНС России от 31.12.2002 N БГ-3-06/756 «О порядке ввода в действие новых форм налоговых деклараций». Распоряжение МНС РФ от 13.02.2004 N 44 «Об информационном наполнении Интернет-сайта ФНС России».

Доверенный УЦ не несет ответственности перед владельцами СКП и лицами, использующими СКП для проверки подписи и шифрования сообщений, а также перед третьими лицами за любые убытки, потери, иной ущерб, связанный с использованием СКП, независимо от суммы заключенных с использованием СКП сделок и совершения ими иных действий, за исключением случаев нарушения Доверенным удостоверяющим центром обязательств, предусмотренных настоящим Регламентом и действующим законодательством Российской Федерации.

§

§

Читайте также:  Как подписать документ электронной подписью? Виды подписей и программное обеспечение. — Удостоверяющий центр СКБ Контур

При возникновении конфликтной ситуации, связанной с тем, что Участники Системы по-разному трактуют содержание одного и того же электронного документа, комиссия, созданная для разрешения спора, на основании архивных копий документа (подписанных ЭЦП с обеих сторон), предъявленных сторонами Участников, организует экспертизу, на основании которой выносится решение о корректности ЭЦП каждой из сторон в данном электронном документе.

При возникновении конфликтной ситуации, связанной с тем, что стороны по-разному трактуют дату поступления Электронного документа от отправителя получателю, решение об истинной дате поступления документа выносится на основании архивных файлов подтверждений отправки, подписанных ЭЦП налогового органа и налогоплательщика.

Разрешая конфликтные ситуации при нарушении процедур криптографической защиты информации и/или установлении авторства и/или подлинности электронных документов, заверенных ЭЦП, Участники Системы исходят из того, что:

— в соответствии с действующим законодательством документ в электронном виде, заверенный ЭЦП, является документом, имеющим юридическую силу, аналогичным бумажному, снабженному подписью и печатью;

— подтверждением даты представления электронного документа является получение отправителем подтверждения отправки электронного документа;

— используемая в соответствии с настоящим Регламентом система защиты информации, которая обеспечивается ЭЦП и шифрованием, достаточна для защиты информации от несанкционированного доступа, подтверждения целостности, подлинности и авторства электронных документов, а также для разрешения конфликтных ситуаций по ним;

— Математические свойства алгоритма ЭЦП, реализованного в соответствии со стандартами Российской Федерации ГОСТ Р34.10-94 (или ГОСТ Р34.10-2001) и ГОСТ Р34.11-94, свидетельствуют о невозможности подделки значения ЭЦП любым лицом, не обладающим закрытым криптографическим ключом ЭЦП. Участник Системы признает, что разбор конфликтной ситуации в отношении авторства, целостности и подлинности электронного документа заключается в доказательстве подписания конкретного электронного документа на конкретном ключе ЭЦП.

В соответствии с настоящим порядком подлежат разрешению конфликтные ситуации двух типов:

— некорректность входящего электронного документа или ЭЦП (конфликтная ситуация типа А);

— для корректного электронного документа непризнание отправителем электронного документа факта отправки документа, а также его целостности и подлинности (конфликтная ситуация типа Б).

§

§

Если одна из сторон приходит к выводу, что другая сторона ссылается на документ, который не отправлялся и/или на измененный по содержанию документ, эта сторона немедленно извещает Доверенный УЦ о наличии такой конфликтной ситуации.

Доверенный УЦ формирует Экспертную (согласительную) комиссию для разрешения конфликтной ситуации, в состав которой входят представители Доверенного УЦ и Участники, вовлеченные в конфликтную ситуацию. Дополнительно могут привлекаться авторитетные независимые специалисты в области криптографической защиты информации.

В ходе работы Экспертной комиссии рассматриваются все документы и материалы, относящиеся к предмету разногласий, и выполняется процедура проверки ЭЦП документа. Экспертной комиссии должны быть представлены следующие данные:

— электронный документ с ЭЦП, авторство которого оспаривается;

— архивные копии этого электронного документа с ЭЦП, переданные Участниками, вовлеченными в конфликтную ситуацию;

— сертификаты ключей подписи;

— дистрибутивы СКЗИ;

— ключевые носители.

При необходимости Экспертная комиссия имеет право провести экспертизу ПЭВМ Участников, вовлеченных в конфликтную ситуацию.

Экспертиза проводится на Автоматизированном рабочем месте Доверенного УЦ.

Экспертная комиссия подтверждает или опровергает авторство Участника для документа, вызвавшего данную конфликтную ситуацию. Решение Экспертной комиссии оформляется в виде Протокола.

§

§

§

                     Заявка Пользователя (налогоплательщика)
                 на подключение к Системе информационного обмена
              электронными документами с ЭЦП по телекоммуникационным
                               каналам связи <*>
 
Заявка заполнена в соответствии с
Регистрационными данными налогоплательщика
 
                ┌─┬─┬─┬─┐
  Код инспекции │ │ │ │ │              От
                └─┴─┴─┴─┘              __________________________________________
Наименование инспекции
-------------------------------------  __________________________________________
 Ф.И.О./Подпись ответственного лица    __________________________________________
                                       __________________________________________
Инспектор: __________/______________/      (должность, фамилия, имя, отчество)
 
Штамп (печать)   "__" _________ 200_ г.
 
Наименование организации (на основании учредительных документов)
_________________________________________________________________________________
                              ┌─┬─┬─┬─┬─┬─┐
Юридический адрес организации │ │ │ │ │ │ │ _____________________________________
                              └─┴─┴─┴─┴─┴─┘
_________________________________________________________________________________
                                         ┌─┬─┬─┬─┬─┬─┐
Фактический (почтовый) адрес организации │ │ │ │ │ │ │ __________________________
                                         └─┴─┴─┴─┴─┴─┘
_________________________________________________________________________________
 
  ИНН организации                КПП организации/обособленного подразделения
  ┌─┬─┬─┬─┬─┬─┬─┬─┬─┬─┐        ┌─┬─┬─┬─┬─┬─┬─┬─┬─┐            ┌─┬─┬─┬─┬─┬─┬─┬─┬─┐
  │ │ │ │ │ │ │ │ │ │ │        │ │ │ │ │ │ │ │ │ │            │ │ │ │ │ │ │ │ │ │
  └─┴─┴─┴─┴─┴─┴─┴─┴─┴─┘        ├─┼─┼─┼─┼─┼─┼─┼─┼─┤            ├─┼─┼─┼─┼─┼─┼─┼─┼─┤
                               │ │ │ │ │ │ │ │ │ │            │ │ │ │ │ │ │ │ │ │
                               └─┴─┴─┴─┴─┴─┴─┴─┴─┘            └─┴─┴─┴─┴─┴─┴─┴─┴─┘
 
Прошу изготовить сертификаты ключей подписи для  сотрудника(ов) нашей организации
в количестве ___ чел.:
 
  1. Руководитель организации
 
                    ┌─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┐
- Ф.И.О., должность │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │
                    ├─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┤
                    │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │
                    └─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┘
 
- ЭЦП   будет   использоваться  для   предоставления  налоговой  и  бухгалтерской
отчетности в налоговую инспекцию
 
                    ┌─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┐
- телефон/факс      │ │ │ │ │ │ │ │ │ │ │/│ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │
                    ├─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┤
- e-mail (необяза-  │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │
  телен)            └─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┘
 
                                 Личная подпись _______________/________________/
 
  2. Главный бухгалтер (при отсутствии штатной единицы не заполнять)
 
                    ┌─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┐
- Ф.И.О., должность │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │
                    ├─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┤
                    │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │
                    └─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┘
 
- ЭЦП   будет   использоваться  для   предоставления  налоговой  и  бухгалтерской
отчетности в налоговую инспекцию
 
                    ┌─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┐
- телефон/факс      │ │ │ │ │ │ │ │ │ │/│ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │
                    ├─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┤
- e-mail (необяза-  │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │
  телен)            └─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┘
 
                                 Личная подпись _______________/________________/
 
  3. ...     (заполняется  аналогично  п.  1  при   необходимости  дополнительных
криптографических ключей)
 
  Ответственным за СКЗИ  и  Систему  назначен  (присутствует  при  установке  ПО,
обеспечивает исправность и работоспособность ПК, имеет права  доступа  на  уровне
"Администратор"):
 
                    ┌─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┐
- Ф.И.О., должность │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │
                    ├─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┤
- телефон/факс      │ │ │ │ │ │ │ │ │ │ │/│ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │
                    ├─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┤
- e-mail            │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │
                    └─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┘
 
М.П. "__" _________ 200_ г.      Руководитель _________________/________________/

———————————

<*> Заявка заполняется на компьютере или вручную печатными буквами. Ф.И.О. указываются полностью на основании документа, удостоверяющего личность.

§

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector