О задаче защиты закрытого ключа ЭЦП от компрометации #эп / эцп #СЭД #ECMJ

Действия Участников Системы в случае компрометации ключей ЭЦП / КонсультантПлюс

Доверенный УЦ уведомляет Пользователей о ставших ему известных фактах, которые существенным образом могут сказаться на возможности дальнейшего использования СКЗИ и СКП.

Доверенный УЦ в момент генерации и сертификации ключей ЭЦП передает Пользователю пароль для экстренной связи в случае компрометации закрытых ключей ЭЦП. Пользователь обеспечивает сохранение конфиденциальности пароля.

Пользователь в случае компрометации собственных ключей ЭЦП обязан немедленно по телефонным каналам связи с использованием устного пароля или факсимильным сообщением, заверенным подписью и печатью Пользователя, информировать Доверенный УЦ о наступлении события, трактуемого как компрометация.

При компрометации ключа ЭЦП Пользователь должен прекратить обмен электронными документами с Участниками Системы.

Доверенный УЦ, получивший сообщение о компрометации ключей Пользователя, должен убедиться в достоверности сообщения о компрометации (запросить пароль или факсимильное сообщение, заверенное подписью и печатью Пользователя) и после этого обязан немедленно аннулировать скомпрометированные ключи ЭЦП (занести в СОС соответствующие СКП).

Пользователь, объявивший о компрометации собственных криптографических ключей, в течение одного рабочего дня документально оформляет уведомление и направляет его в Доверенный УЦ.

Пользователь, допустивший компрометацию собственных криптографических ключей, несет все издержки, связанные с генерацией новых ключей, их сертификацией и вводом в действие.

За невыполнение либо ненадлежащее исполнение обязательств виновный Участник Системы несет ответственность в порядке и на основаниях, предусмотренных действующим законодательством Российской Федерации.

Доверенный УЦ не отвечает за последствия компрометации Пользователем используемых закрытых ключей ЭЦП и иных нарушений Регламента, допущенных Пользователем.

Участники Системы освобождаются от ответственности за частичное или полное неисполнение условий Регламента в случае, если такое неисполнение явилось следствием непреодолимой силы, то есть чрезвычайных и неотвратимых обстоятельств, не зависящих от воли Участников, в том числе: принятия органами государственной власти, ФНС России, УФНС, законодательных и нормативных актов, распоряжений, приказов, препятствующих исполнению условий по настоящему Регламенту.

Участник, ссылающийся на обстоятельства непреодолимой силы, обязан незамедлительно (не позднее чем в 5-дневный срок с момента наступления) известить другую сторону о наступлении этих обстоятельств. Извещение должно содержать данные о характере обстоятельств и оценку их влияния на возможность исполнения Участником своих обязательств. Несвоевременное извещение Участником о наступлении обстоятельств, освобождающих ее от ответственности, влечет за собой утрату права для этого Участника ссылаться на эти обстоятельства.

Все предоставленные Участникам Системы данные или любые сведения, отнесенные к конфиденциальной информации в соответствии с действующим законодательством Российской Федерации, являются исключительной собственностью Участников и не подлежат разглашению Участниками или передаче третьим лицам ни при каких обстоятельствах, кроме случаев, предусмотренных законодательством Российской Федерации.

Налоговый орган несет ответственность перед Пользователями за своевременность обработки информации, поступающей от Пользователей в электронном виде по телекоммуникационным каналам связи, и предоставление всех необходимых в соответствии с нормативными актами ФНС РФ подтверждений и квитанций в электронном виде.

Налоговый орган несет ответственность за своевременное доведение до сведений Пользователей информации об изменении в представлении отчетности в электронном виде по телекоммуникационным каналам связи, публикуя соответствующую информацию на Интернет-сайте ФНС России и Управлений ФНС России субъектов Российской Федерации <*>.

——————————–

<*> Ст. 21, 32 НК РФ, Приказ МНС России от 31.12.2002 N БГ-3-06/756 “О порядке ввода в действие новых форм налоговых деклараций”. Распоряжение МНС РФ от 13.02.2004 N 44 “Об информационном наполнении Интернет-сайта ФНС России”.

Доверенный УЦ не несет ответственности перед владельцами СКП и лицами, использующими СКП для проверки подписи и шифрования сообщений, а также перед третьими лицами за любые убытки, потери, иной ущерб, связанный с использованием СКП, независимо от суммы заключенных с использованием СКП сделок и совершения ими иных действий, за исключением случаев нарушения Доверенным удостоверяющим центром обязательств, предусмотренных настоящим Регламентом и действующим законодательством Российской Федерации.

При возникновении конфликтной ситуации, связанной с тем, что Участники Системы по-разному трактуют содержание одного и того же электронного документа, комиссия, созданная для разрешения спора, на основании архивных копий документа (подписанных ЭЦП с обеих сторон), предъявленных сторонами Участников, организует экспертизу, на основании которой выносится решение о корректности ЭЦП каждой из сторон в данном электронном документе.

При возникновении конфликтной ситуации, связанной с тем, что стороны по-разному трактуют дату поступления Электронного документа от отправителя получателю, решение об истинной дате поступления документа выносится на основании архивных файлов подтверждений отправки, подписанных ЭЦП налогового органа и налогоплательщика.

Разрешая конфликтные ситуации при нарушении процедур криптографической защиты информации и/или установлении авторства и/или подлинности электронных документов, заверенных ЭЦП, Участники Системы исходят из того, что:

– в соответствии с действующим законодательством документ в электронном виде, заверенный ЭЦП, является документом, имеющим юридическую силу, аналогичным бумажному, снабженному подписью и печатью;

– подтверждением даты представления электронного документа является получение отправителем подтверждения отправки электронного документа;

– используемая в соответствии с настоящим Регламентом система защиты информации, которая обеспечивается ЭЦП и шифрованием, достаточна для защиты информации от несанкционированного доступа, подтверждения целостности, подлинности и авторства электронных документов, а также для разрешения конфликтных ситуаций по ним;

– Математические свойства алгоритма ЭЦП, реализованного в соответствии со стандартами Российской Федерации ГОСТ Р34.10-94 (или ГОСТ Р34.10-2001) и ГОСТ Р34.11-94, свидетельствуют о невозможности подделки значения ЭЦП любым лицом, не обладающим закрытым криптографическим ключом ЭЦП. Участник Системы признает, что разбор конфликтной ситуации в отношении авторства, целостности и подлинности электронного документа заключается в доказательстве подписания конкретного электронного документа на конкретном ключе ЭЦП.

В соответствии с настоящим порядком подлежат разрешению конфликтные ситуации двух типов:

– некорректность входящего электронного документа или ЭЦП (конфликтная ситуация типа А);

– для корректного электронного документа непризнание отправителем электронного документа факта отправки документа, а также его целостности и подлинности (конфликтная ситуация типа Б).

Если одна из сторон приходит к выводу, что другая сторона ссылается на документ, который не отправлялся и/или на измененный по содержанию документ, эта сторона немедленно извещает Доверенный УЦ о наличии такой конфликтной ситуации.

Доверенный УЦ формирует Экспертную (согласительную) комиссию для разрешения конфликтной ситуации, в состав которой входят представители Доверенного УЦ и Участники, вовлеченные в конфликтную ситуацию. Дополнительно могут привлекаться авторитетные независимые специалисты в области криптографической защиты информации.

В ходе работы Экспертной комиссии рассматриваются все документы и материалы, относящиеся к предмету разногласий, и выполняется процедура проверки ЭЦП документа. Экспертной комиссии должны быть представлены следующие данные:

– электронный документ с ЭЦП, авторство которого оспаривается;

– архивные копии этого электронного документа с ЭЦП, переданные Участниками, вовлеченными в конфликтную ситуацию;

– сертификаты ключей подписи;

– дистрибутивы СКЗИ;

– ключевые носители.

При необходимости Экспертная комиссия имеет право провести экспертизу ПЭВМ Участников, вовлеченных в конфликтную ситуацию.

Экспертиза проводится на Автоматизированном рабочем месте Доверенного УЦ.

Экспертная комиссия подтверждает или опровергает авторство Участника для документа, вызвавшего данную конфликтную ситуацию. Решение Экспертной комиссии оформляется в виде Протокола.

                     Заявка Пользователя (налогоплательщика)

                 на подключение к Системе информационного обмена

              электронными документами с ЭЦП по телекоммуникационным

                               каналам связи <*>

Заявка заполнена в соответствии с

Регистрационными данными налогоплательщика

                ┌─┬─┬─┬─┐

  Код инспекции │ │ │ │ │              От

                └─┴─┴─┴─┘              __________________________________________

Наименование инспекции

-------------------------------------  __________________________________________

 Ф.И.О./Подпись ответственного лица    __________________________________________

                                       __________________________________________

Инспектор: __________/______________/      (должность, фамилия, имя, отчество)

Штамп (печать)   "__" _________ 200_ г.

Наименование организации (на основании учредительных документов)

_________________________________________________________________________________

                              ┌─┬─┬─┬─┬─┬─┐

Юридический адрес организации │ │ │ │ │ │ │ _____________________________________

                              └─┴─┴─┴─┴─┴─┘

_________________________________________________________________________________

                                         ┌─┬─┬─┬─┬─┬─┐

Фактический (почтовый) адрес организации │ │ │ │ │ │ │ __________________________

                                         └─┴─┴─┴─┴─┴─┘

_________________________________________________________________________________

  ИНН организации                КПП организации/обособленного подразделения

  ┌─┬─┬─┬─┬─┬─┬─┬─┬─┬─┐        ┌─┬─┬─┬─┬─┬─┬─┬─┬─┐            ┌─┬─┬─┬─┬─┬─┬─┬─┬─┐

  │ │ │ │ │ │ │ │ │ │ │        │ │ │ │ │ │ │ │ │ │            │ │ │ │ │ │ │ │ │ │

  └─┴─┴─┴─┴─┴─┴─┴─┴─┴─┘        ├─┼─┼─┼─┼─┼─┼─┼─┼─┤            ├─┼─┼─┼─┼─┼─┼─┼─┼─┤

                               │ │ │ │ │ │ │ │ │ │            │ │ │ │ │ │ │ │ │ │

                               └─┴─┴─┴─┴─┴─┴─┴─┴─┘            └─┴─┴─┴─┴─┴─┴─┴─┴─┘

Прошу изготовить сертификаты ключей подписи для  сотрудника(ов) нашей организации

в количестве ___ чел.:

  1. Руководитель организации

                    ┌─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┐

- Ф.И.О., должность │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │

                    ├─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┤

                    │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │

                    └─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┘

- ЭЦП   будет   использоваться  для   предоставления  налоговой  и  бухгалтерской

отчетности в налоговую инспекцию

                    ┌─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┐

- телефон/факс      │ │ │ │ │ │ │ │ │ │ │/│ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │

                    ├─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┤

- e-mail (необяза-  │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │

  телен)            └─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┘

                                 Личная подпись _______________/________________/

  2. Главный бухгалтер (при отсутствии штатной единицы не заполнять)

                    ┌─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┐

- Ф.И.О., должность │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │

                    ├─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┤

                    │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │

                    └─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┘

- ЭЦП   будет   использоваться  для   предоставления  налоговой  и  бухгалтерской

отчетности в налоговую инспекцию

                    ┌─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┐

- телефон/факс      │ │ │ │ │ │ │ │ │ │/│ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │

                    ├─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┤

- e-mail (необяза-  │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │

  телен)            └─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┘

                                 Личная подпись _______________/________________/

  3. ...     (заполняется  аналогично  п.  1  при   необходимости  дополнительных

криптографических ключей)

  Ответственным за СКЗИ  и  Систему  назначен  (присутствует  при  установке  ПО,

обеспечивает исправность и работоспособность ПК, имеет права  доступа  на  уровне

"Администратор"):

                    ┌─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┬─┐

- Ф.И.О., должность │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │

                    ├─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┤

- телефон/факс      │ │ │ │ │ │ │ │ │ │ │/│ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │

                    ├─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┼─┤

- e-mail            │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │

                    └─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┴─┘

М.П. "__" _________ 200_ г.      Руководитель _________________/________________/

——————————–

<*> Заявка заполняется на компьютере или вручную печатными буквами. Ф.И.О. указываются полностью на основании документа, удостоверяющего личность.