Регламент УЦ - Федеральная служба по финансовому
advertisement
2
УТВЕРЖДЕН
приказом Федеральной службы по
финансовому мониторингу
от 16.08.2013 № 223
РЕГЛАМЕНТ
удостоверяющего центра Федеральной службы по
финансовому мониторингу
3
Содержание
Термины и сокращения ...................................................................................................................... 6
Перечень сокращений ...................................................................................................................... 10
1 Введение ......................................................................................................................................... 11
1.1 Общая информация ............................................................................................................... 11
1.2 Название Регламента и его идентификация ........................................................................ 11
1.3 Назначение Удостоверяющего центра Росфинмониторинга .............................................. 11
1.4 Услуги Удостоверяющего центра .......................................................................................... 11
1.5 Компоненты УЦ Росфинмониторинга ................................................................................... 12
1.6 Пользователи УЦ Росфинмониторинга ................................................................................ 13
1.7 Область применения сертификатов ключей проверки ЭП ................................................. 14
1.8 Администрирование Регламента .......................................................................................... 14
1.9 Платность услуг ..................................................................................................................... 14
1.10 Права на интеллектуальную собственность ...................................................................... 14
1.11 Контактная информация ...................................................................................................... 14
2 Политика публикации и распространения Регламента, сертификатов ключей
проверки электронной подписи и информации об их аннулировании.................................... 16
2.1 Публикация и распространение Регламента ....................................................................... 16
2.2 Реестр сертификатов ключей проверки электронной подписи ........................................... 16
2.3 Публикация списка аннулированных сертификатов ............................................................ 16
3 Идентификация и аутентификация ............................................................................................. 17
3.1 Имена и идентификация пользователей .............................................................................. 17
3.2 Аутентификация зарегистрированного пользователя УЦ ................................................... 19
3.3 Идентификация и аутентификация пользователей при регистрации в УЦ
Росфинмониторинга .................................................................................................................... 19
3.4 Идентификация и аутентификация пользователей при смене сертификатов ключей
проверки электронной подписи ................................................................................................... 20
3.5 Идентификация и аутентификация пользователей при запросе на аннулирование
(приостановлении) сертификата ключа проверки электронной подписи ................................. 20
4 Эксплуатационные требования ................................................................................................... 21
4.1 Регистрация пользователя УЦ .............................................................................................. 21
4.2 Процедура подачи заявления на регистрацию и выдачу сертификата ключа проверки
электронной подписи ................................................................................................................... 22
4.3 Обработка заявления на регистрацию и выдачу сертификата ключа проверки
электронной подписи ................................................................................................................... 22
4.4 Издание сертификата ключа проверки электронной подписи ............................................. 22
4.5 Получение сертификата ключа проверки электронной подписи ......................................... 23
4.6 Использование ключей электронной подписи и сертификатов ключей проверки
электронной подписи ................................................................................................................... 23
4.7 Замена сертификата ключа проверки электронной подписи .............................................. 24
4.8 Аннулирование сертификата ключа проверки электронной подписи ................................. 24
4.9 Процедура контроля соответствия сертификата бумажной копии ..................................... 26
4.10 Процедура проверки статуса сертификата ключа проверки электронной подписи ......... 27
4.11 Прекращение действия сертификата ключа проверки электронной подписи .................. 27
4.12 Восстановление УЦ после аварийных ситуаций ................................................................ 27
4
4.13 Завершение деятельности УЦ ............................................................................................ 28
4.14 Синхронизация времени ...................................................................................................... 28
5 Физический, процедурный и персональный контроль режима конфиденциальности...... 29
5.1 Политика конфиденциальности ............................................................................................ 29
5.2 Перечень данных, поступающих в УЦ, подлежащих защите .............................................. 29
5.3 Перечень данных, экспортируемых из УЦ, подлежащих защите ........................................ 29
5.4 Список объектов доступа и целевых функций УЦ ............................................................... 29
5.5 Физический контроль режима конфиденциальности ........................................................... 30
5.6 Процедурный контроль режима конфиденциальности ........................................................ 31
5.7 Персональный контроль режима конфиденциальности ...................................................... 31
5.8 Процедуры аудита ................................................................................................................. 32
5.9 Архивирование ....................................................................................................................... 33
5.10 Смена ключа Уполномоченного лица УЦ ........................................................................... 34
5.11 Порядок обеспечения информационной безопасности при передаче сообщений в
виде электронного документа ..................................................................................................... 34
6 Технический контроль режима конфиденциальности ............................................................. 36
6.1 Генерация и ввод в действие ключевой пары ...................................................................... 36
6.2 Защита ключа электронной подписи .................................................................................... 36
6.3 Иные аспекты управления ключевой парой ......................................................................... 37
6.4 Контроль защищенности вычислительной техники ............................................................. 38
6.5 Контроль защищенности на протяжении жизненного цикла ............................................... 38
6.6 Контроль защищенности сетевой среды .............................................................................. 38
6.7 Использование меток доверенного времени ....................................................................... 39
7 Структуры сертификатов и списка аннулированных сертификатов .................................... 40
7.1 Структура сертификата ......................................................................................................... 40
7.2 Структура списка аннулированных сертификатов ............................................................... 40
7.3 Структура OCSP..................................................................................................................... 41
7.4 Структура TSP........................................................................................................................ 42
8 Компрометация ключей ................................................................................................................ 43
8.1 Компрометация ключей пользователя УЦ............................................................................ 43
8.2 Компрометация ключей Уполномоченного лица УЦ ............................................................ 43
9 Порядок проведения аудита ........................................................................................................ 44
9.1 Требования к аудиту .............................................................................................................. 44
9.2 Темы аудита ........................................................................................................................... 44
10 Правоотношения субъектов Регламента ................................................................................. 45
10.1 Деятельность Удостоверяющего центра ........................................................................... 45
10.2 Деятельность пользователей .............................................................................................. 46
10.3 Ответственность .................................................................................................................. 46
10.4 Контроль за соблюдением Регламента .............................................................................. 46
11 Порядок разбора конфликтных ситуаций ................................................................................ 48
Приложение 1 .................................................................................................................................... 49
Форма регистрационной карточки абонента ................................................................................ 49
Приложение 2А
........................................................................................................................... 52
5
Форма заявления на регистрацию сотрудника в Удостоверяющем центре
Росфинмониторинга и/или изготовление сертификата ключа подписи ................................. 52
Приложение 2Б .................................................................................................................................. 53
Форма заявления
на изготовление сертификата ключа электронной подписи,
требующегося для работы устройств и программных приложений ....................................... 53
Шаблон акта приема-передачи криптографических ключей ....................................................... 54
Приложение 3 .................................................................................................................................... 55
Шаблон доверенности на представление интересов пользователя в УЦ
Росфинмониторинга ......................................................................................................................... 55
Приложение 4 .................................................................................................................................... 56
Шаблон заявления на аннулирование сертификата .................................................................... 56
Приложение 5 .................................................................................................................................... 57
Шаблон сертификата ключа проверки электронной подписи .................................................... 57
Лист регистрации изменений .......................................................................................................... 59
6
Термины и сокращения
Авторство документа
Принадлежность документа одному из участников (абонентов) системы электронного
документооборота. Авторство документа определяется путем аутентификации содержащейся в нем
информации.
Администратор УЦ
Сотрудник Росфинмониторинга, наделенный полномочиями по обеспечению создания ключей
электронной подписи, ключей проверки электронной подписи, сертификатов ключей проверки
электронной подписи, управлению (выдача, аннулирование прекращение, приостановление и
возобновление действия) сертификатами ключей проверки электронной подписи Пользователей УЦ.
Аутентификация информации
Установление подлинности и целостности информации, содержащейся в документе.
Аутентификация может осуществляться как на основе структуры и содержания документа или его
реквизитов, так и путем реализации криптографических алгоритмов преобразования информации.
Доказательная аутентификация информации осуществляется анализом (экспертизой) подписей
должностных лиц и печатей на бумажных документах и проверкой правильности электронной
подписи для электронных документов при использовании сертифицированных средств
криптографической защиты информации.
Владелец сертификата ключа проверки электронной подписи
Лицо, которому в установленном Федеральным законом от 06.04.2011 г. № 63-ФЗ
«Об электронной подписи» порядке выдан сертификат ключа проверки электронной подписи.
Единая информационная система (ЕИС) Росфинмониторинга
Информационная система Росфинмониторинга, участники электронного взаимодействия в
которой составляют определенный круг лиц (абоненты ЕИС Росфинмониторинга). ЕИС
Росфинмониторинга в соответствии с определением, данном в Федеральном законе от 06.04.2011 г.
№63-ФЗ «Об электронной подписи», относится к корпоративной информационной системе.
Квалифицированный сертификат ключа проверки электронной подписи (далее –
квалифицированный сертификат)
Сертификат ключа проверки электронной подписи, выданный аккредитованным
Удостоверяющим центром или доверенным лицом аккредитованного Удостоверяющего центра либо
федеральным органом исполнительной власти, уполномоченным в сфере использования
электронной подписи (далее - уполномоченный федеральный орган).
Ключ проверки электронной подписи
Уникальная последовательность символов, однозначно связанная с ключом электронной
подписи и предназначенная для проверки подлинности электронной подписи (далее – проверка
электронной подписи).
Ключ электронной подписи
Уникальная последовательность символов, предназначенная для создания электронной
подписи.
Компрометация ключа
Утрата доверия к тому, что используемые ключи электронной подписи недоступны
посторонним лицам. К событиям, связанным с компрометацией ключей, относятся следующие
ситуации:
-утрата ключевых дискет или иных носителей ключа;
-утрата ключевых дискет или иных носителей ключа с последующим обнаружением;
-увольнение сотрудников, имевших доступ к ключевой информации;
-возникновение подозрений на утечку информации или ее искажение в системе
конфиденциальной связи;
7
-нарушение целостности печатей на сейфах с носителями ключевой информации, если
используется процедура опечатывания сейфов;
-утрата ключей от сейфов в момент нахождения в них носителей ключевой
информации;
-утрата ключей от сейфов в момент нахождения в них носителей ключевой
информации с последующим обнаружением;
-доступ посторонних лиц к ключевой информации.
Конфиденциальность информации
Состояние защищенности информации, характеризуемое способностью автоматизированной
системы обеспечивать сохранение в тайне информации от субъектов, не имеющих полномочий на
ознакомление с ней.
Конфиденциальная информация
Информация с ограниченным доступом, не содержащая сведений составляющих
государственную тайну, доступ к которой ограничивается в соответствии с законодательством.
Конфликтная ситуация
Ситуация, при которой у пользователей возникает необходимость разрешения вопросов
признания или непризнания авторства и/или подлинности электронных документов, обработанных
средствами криптографической защиты информации.
Корректный электронный документ
Электронный документ, прошедший процедуру проверки
ЭП
с подтверждением ее
правильности, а также документ, не имеющий искажений в тексте сообщения, не позволяющих
понять его смысл.
Криптографическая защита
Защита информации от ее несанкционированной модификации и доступа посторонних лиц при
помощи алгоритмов криптографического преобразования.
Криптографический ключ (ключ)
Параметр шифра или его значение, определяющее выбор одного преобразования из
совокупности всевозможных для данного алгоритма преобразований.
Некорректный электронный документ
Электронный документ, не прошедший процедуры проверки ЭП , а также документ, имеющий
искажения в тексте сообщения, не позволяющие понять его смысл.
Несанкционированный доступ к информации
Доступ к информации или действие с информацией, нарушающие правила разграничения
доступа с использованием штатных средств, предоставляемых средствами вычислительной техники
или автоматизированной системой.
Обработка информации
Создание, хранение, передача, прием, преобразование и отображение информации.
Оператор УЦ
Сотрудник Росфинмониторинга, наделенный полномочиями по рассмотрению и обработке
заявлений на изготовление, аннулирование действия сертификатов ключей проверки электронной
подписи и их выдача.
Плановая смена ключей
Смена ключей, не вызванная компрометацией ключей, в соответствии с эксплуатационной
документацией на СКЗИ, с периодичностью, установленной настоящим Регламентом.
Подтверждение подлинности электронной подписи в электронном документе
Положительный результат проверки соответствующим сертифицированным средством
электронной подписи с использованием сертификата ключа проверки электронной подписи
8
принадлежности электронной подписи в электронном документе владельцу сертификата ключа
подписи и отсутствия искажений в подписанном данной электронной подписью электронном
документе.
Пользователь УЦ
Участник информационного обмена электронными документами, зарегистрированный в
Удостоверяющем центре и признающий данный Регламент.
Сертификат ключа проверки электронной подписи (СКП ЭП )
Электронный документ или документ на бумажном носителе, выданные Удостоверяющим
центром либо доверенным лицом Удостоверяющего центра и подтверждающие принадлежность
ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
Средства Удостоверяющего центра
Программные и (или) аппаратные средства, используемые для реализации функций
Удостоверяющего центра. Используется сертифицированный ФСБ России комплекс программ для
электронно-вычислительной машины программно-аппаратного комплекса (далее – ПАК) «КриптоПро
УЦ».
Средства электронной подписи
Шифровальные (криптографические) средства, используемые для реализации хотя бы одной
из следующих функций - создание электронной подписи, проверка электронной подписи, создание
ключа электронной подписи и ключа проверки электронной подписи.
Уполномоченное лицо УЦ
Сотрудник Росфинмониторинга, наделенный полномочиями по заверению от лица УЦ
Росфинмониторинга сертификатов ключей проверки электронной подписи, копий сертификатов
ключей проверки электронной подписи и списка аннулированных сертификатов.
Управление ключами
Создание (генерация) ключей, их хранение, распространение, удаление (уничтожение), учет и
применение в соответствии с настоящим Регламентом.
Усиленная электронная подпись
Является электронная подпись, которая:
-получена в результате криптографического преобразования информации с
использованием ключа электронной подписи;
-позволяет определить лицо, подписавшее электронный документ;
-позволяет обнаружить факт внесения изменений в электронный документ после
момента его подписания;
-создается с использованием средств электронной подписи.
Участники электронного взаимодействия
Различают два вида участников электронного взаимодействия:
-организации (лица) с которыми заключены двусторонние
информационном взаимодействии;
-сотрудники Росфинмониторинга.
соглашения
об
Шифр
Совокупность обратимых преобразований множества возможных открытых данных на
множество возможных шифрованных данных, осуществляемых по определенным правилам с
применением ключей.
Шифрование
Процесс преобразования открытой информации с целью сохранения ее в тайне от
посторонних лиц при помощи некоторого алгоритма, называемого шифром. Для шифрования
информации используется алгоритм криптографического преобразования ГОСТ 28147-89.
Электронная подпись ( ЭП )
9
Информация в электронной форме, которая присоединена к другой информации в
электронной форме (подписываемой информации) или иным образом связана с такой информацией
и которая используется для определения лица, подписывающего информацию.
10
Перечень сокращений
АРМ РКС
БД
ЕИС
ИНН
ОГРН
ОГРНИП
ОС
ПАК
ПО
РФ
САС
СДВ
СЗИ
СКЗИ
СОПСС
УЦ
УЭИС
ФЗ
ФСБ России
ЦР
ЦС
ЭП
CRL
Автоматизированное рабочее место разбора конфликтных ситуаций
База данных
Единая информационная система
Идентификационный номер налогоплательщика
Основной государственный регистрационный номер
Основной государственный регистрационный номер индивидуального
предпринимателя
Операционная система
Программно-аппаратный комплекс
Программное обеспечение
Российская Федерация
Список аннулированных сертификатов
Служба доверенного времени
Система защиты информации
Средство криптографической защиты информации
Служба оперативной проверки статуса сертификатов
Удостоверяющий центр
Управления эксплуатации информационных систем
Федеральный закон
Федеральная Служба безопасности Российской Федерации
Центр регистрации
Центр сертификации
Электронная подпись
Certificate Revocation List
11
1 Введение
1.1 Общая информация
Федеральная служба по финансовому мониторингу (далее – Росфинмониторинг) выполняет
функции удостоверяющего центра (далее – УЦ), предусмотренные Федеральным законом от
06.04.2011 №63-ФЗ «Об электронной подписи» (далее – УЦ Росфинмониторинга), на основании:
- лицензии ФСБ России ЛСЗ № 000775 Рег. № 12728Н от «26 февраля 2013г.», выданной
Росфинмониторингу на право деятельности на осуществление разработки, производства,
распространения шифровальных (криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использование шифровальных (криптографических)
средств, выполнения работ, оказания услуг в области шифрования информации, технического
обслуживания (криптографических) средств, информационных систем и телекоммуникационных
систем, защищенных с использованием шифровальных (криптографических) средств (за
исключением случая, если техническое обслуживание шифровальных (криптографических) средств,
информационных систем и телекоммуникационных систем, защищенных с использованием
шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд
юридического лица или индивидуального предпринимателя);
- свидетельства Министерства связи и массовых коммуникаций Российской Федерации об
аккредитации удостоверяющего центра Рег. №176 от 15.04.2013.
Настоящий Регламент является руководящим документом УЦ Росфинмониторинга и
представляет собой совокупность правил, которые обеспечивают безопасное функционирование УЦ
во всех режимах. Регламент определяет механизмы и условия предоставления и использования услуг
УЦ, обязанности субъектов УЦ, протоколы работы, принятые форматы данных и основные
организационно-технические мероприятия, необходимые для безопасной работы УЦ.
Регламент определяет обязательства для всех групп пользователей УЦ Росфинмониторинга, а
также является средством официального уведомления и информирования всех сторон о
взаимоотношениях, возникающих в процессе предоставления и использования услуг УЦ.
Требования данного документа соответствуют стандарту «Internet X.509 Public Key
Infrastructure Certificate Policyand Certification Framework» (RFC 3647) и действующему
законодательству Российской Федерации.
1.2 Название Регламента и его идентификация
Наименование документа: «Регламент Удостоверяющего центра Федеральной службы по
финансовому мониторингу».
Версия: 2.0
Дата: ___________________.
1.3 Назначение Удостоверяющего центра Росфинмониторинга
УЦ Росфинмониторинга осуществляет функции по созданию и выдаче сертификатов ключей
проверки электронных подписей, а также иных функций, предусмотренных Федеральным законом от
06.04.2011г. №63-ФЗ «Об электронной подписи».
УЦ предназначен для выполнения задач по выдаче, проверке и управлению сертификатами
ключей проверки ЭП, используемых пользователями и программными приложениями, для
обеспечения целостности, неотказуемости и конфиденциальности информации, обрабатываемой в
Единой информационной системе (далее – ЕИС) Росфинмониторинга.
1.4 Услуги Удостоверяющего центра
12
В процессе своей деятельности УЦ предоставляет участникам ЕИС Росфинмониторинга
следующие услуги:
-регистрация пользователей – владельцев сертификатов ключей проверки ЭП ;
-изготовление и выдача сертификатов проверки ЭП в электронной форме и на
бумажном носителе с информацией об их действии;
-изготовление ключей ЭП и ключей проверки ЭП по обращениям участников
информационных систем с записью их на предоставленный пользователем ключевые носители;
-ведение реестра сертификатов ключей проверки подписей, обеспечение его
актуальности и возможности свободного доступа к реестру пользователей и прочих субъектов;
-предоставление пользователям и прочим субъектам по их запросам копий
сертификатов ключей проверки ЭП в форме электронных документов;
-аннулирование действия сертификатов ключей проверки ЭП (отзыв сертификатов) на
основании заявлений от владельцев сертификатов ключей проверки ЭП ;
-публикация списка аннулированных сертификатов и предоставление участникам
информационного обмена свободного доступа к нему;
-организация и обеспечение архивного хранения сертификатов ключей проверки
электронной подписи после истечения срока их текущего хранения;
-подтверждение подлинности ЭП уполномоченных лиц УЦ в изготовленных им
сертификатах ключей проверки электронной подписи по обращениям пользователей и прочих
субъектов;
-подтверждение подлинности ЭП в электронных документах в отношении выданных
им сертификатов ключей проверки ЭП по обращениям пользователей и прочих субъектов;
-распространение средств ЭП по обращениям пользователей.
1.5 Компоненты УЦ Росфинмониторинга
УЦ Росфинмониторинга состоит из следующих компонентов:
-Центр сертификации (далее – ЦС);
-Центр регистрации (далее – ЦР);
-Служба доверенного времени (далее – СДВ);
-Служба оперативной проверки статуса сертификатов (далее – СОПСС);
-Автоматизированное рабочее место (далее – АРМ) Администратора УЦ;
-АРМ разбора конфликтных ситуаций (далее – АРМ РКС).
1.5.1 Центр сертификации
К основным функциям ЦС относятся:
-формирование сертификатов пользователей по запросам ЦР;
-аннулирование сертификатов путем включения их в список аннулированных
сертификатов;
-ведение базы данных (далее – БД) всех изготовленных в ЦС сертификатов и списка
аннулированных сертификатов в течение срока их действия;
-обеспечение возможности начальной генерации сертификата, с помощью которого
будет производиться подпись данных, передаваемых на ЦР;
-взаимодействие с ЦР;
-протоколирование работы ЦС;
-ведение архива всех изготовленных в ЦС сертификатов и списка аннулированных
сертификатов.
1.5.2 Центр регистрации
13
ЦР является единственной точкой входа (регистрации) пользователей в системе. Только
зарегистрированный в ЦР пользователь может получить сертификат на свой ключ проверки ЭП в
УЦ.
К основным функциям ЦР относятся:
-обеспечение аутентификации приложений при обращении к ЦР;
-ведение базы данных, содержащей информацию о пользователях и пользовательских
сертификатах;
-обеспечение взаимодействия с ЦС и внешними приложениями.
1.5.3 Служба доверенного времени
СДВ обеспечивает подтверждение времени подписания электронного документа собственной
ЭП . Служба реализована в соответствии с RFC3161 «Time-StampProtocol (TSP)».
1.5.4 Служба оперативной проверки статуса сертификатов
СОПСС реализует функции по централизованной проверке статуса сертификата на
текущий
момент
времени.
Служба реализована
в
соответствии
с
RFC 2560
«OnlineCertificateStatusProtocol – OCSP».
1.5.5 АРМ Администратора УЦ
Компонент АРМ Администратора УЦ предназначен для выполнения организационнотехнических мероприятий, связанных с регистрацией пользователей, формированием ключей и
сертификатов пользователей и управления ключевой системой.
1.5.6 АРМ разбора конфликтных ситуаций
АРМ РКС предназначено для выполнения организационно-технических мероприятий,
связанных с подтверждением подлинности ЭП, сформированной с помощью ключей и сертификатов,
выданных УЦ Росфинмониторинга:
-ЭП в электронных документах;
-определение статуса сертификатов ключей проверки ЭП пользователей.
1.6 Пользователи УЦ Росфинмониторинга
Пользователем сертификата может быть любое лицо, устройство или программное
приложение.
В УЦ Росфинмониторинга различают две категории пользователей сертификатов:
-внешние абоненты ЕИС Росфинмониторинга – руководители или уполномоченные
лица организации, с которой у Росфинмониторинга заключен договор/соглашение об
информационном взаимодействии в рамках которого Росфинмониторинг обязуется изготовить
сертификаты ключей электронной подписи.
-внутренние абоненты ЕИС Росфинмониторинга – государственные гражданские
служащие Росфинмониторинга.
В тех случаях, когда сертификаты требуются для работы каких-либо устройств или
программных приложений, допускается не указывать в качестве владельца сертификата ключа
проверки ЭП физическое лицо, действующее от имени юридического лица, в сертификате ключа
проверки электронной подписи, используемом для автоматического создания и (или)
автоматической проверки ЭП в информационной системе. Владельцем такого сертификата ключа
проверки электронной подписи признается юридическое лицо, информация о котором содержится в
таком сертификате.
14
1.7 Область применения сертификатов ключей проверки ЭП
Изготовленные УЦ сертификаты ключей проверки электронной подписи могут использоваться:
-- при проверке подлинности ЭП в соответствии с Федеральным законом «Об электронной
подписи»;
-- для контроля целостности информации;
-- при аутентификации субъектов в автоматизированных системах;
-- для обеспечения конфиденциальности информации.
1.8 Администрирование Регламента
1.8.1 Утверждение и вступление в силу Регламента
Настоящий Регламент утверждается в соответствии
распорядительных документов принятом в Росфинмониторинге.
с
порядком
утверждения
Документ вступает в силу со дня его утверждения, если иное не оговорено в самом документе.
1.8.2 Процедуры извещения о изменении Регламента
Все положения данного Регламента должны ежегодно анализироваться. Ошибки,
обновления или предложения по изменению данного документа должны сообщаться согласно
настоящему разделу.
1.8.2.1 Положения, которые могут изменяться без извещения
Изменения в положения данного Регламента, которые по оценкам УЦ не оказывают либо
оказывают минимальное влияние на использование сертификатов ключей электронной подписи и
списков аннулированных сертификатов, изданных в соответствии с данным Регламентом, могут
вноситься без изменения номера версии документа и оповещения пользователей УЦ.
1.8.2.2 Изменения с оповещением
Изменения в Регламенте, которые по оценкам УЦ могут иметь значительное влияние на
использование сертификатов и списков аннулированных сертификатов, изданных в соответствии с
данным Регламентом, могут вноситься при условиях оповещения пользователей УЦ посредством
информационных писем в течение 30 дней и соответствующего увеличения номера версии
документа.
1.9 Платность услуг
Услуги УЦ предоставляются бесплатно.
1.10 Права на интеллектуальную собственность
Сертификаты, списки аннулированных сертификатов, изданные УЦ, и настоящий Регламент,
являются собственностью Росфинмониторинга.
Отличительные имена (DN), используемые для представления пользователей в хранилищах и
в сертификатах, включая относительные отличительные имена (RDN), также являются
собственностью Росфинмониторинга.
1.11 Контактная информация
Федеральная служба по финансовому мониторингу
Адрес: 107450, г. Москва, К-450, ул.Мясницкая, д.39, стр.1.
E-mail : info@fedsfm.ru .
Факс: +7 (495) 607-36-52.
15
Контактный телефон Удостоверяющего центра: +7 (495) 607-13-73.
E-mail Удостоверяющего центра: uc@fedsfm.ru .
16
2 Политика публикации и распространения Регламента,
сертификатов ключей проверки электронной подписи и
информации об их аннулировании
2.1 Публикация и распространение Регламента
Настоящий Регламент распространяется в форме электронного документа и документа на
бумажном носителе.
Ознакомление пользователей УЦ с Регламентом проводится путем его опубликования на
официальном сайте Росфинмониторинга в сети Интернет (www.fedsfm.ru).
Официальное уведомление о прекращении действия Регламента осуществляется путем
публикации соответствующего сообщения на официальном сайте Росфинмониторинга в сети
Интернет (www.fedsfm.ru).
2.2 Реестр сертификатов ключей проверки электронной подписи
УЦ ведет реестр всех изготовленных сертификатов ключей проверки электронной подписи
пользователей УЦ в течение установленного срока хранения.
Реестр сертификатов ключей проверки электронной подписи ведется в электронном виде.
В реестре представлены следующие сертификаты:
-корневой сертификат ЦС;
-списки аннулированных сертификатов (далее – САС).
Данные сертификаты хранятся в выделенной директории на выделенном web-сервере.
2.3 Публикация списка аннулированных сертификатов
Публикация САС выполняется в следующие справочники:
-реестр сертификатов;
-точки распространения САС указанные в сертификате.
Публикация САС осуществляется в автоматическом режиме согласно заданному расписанию
один раз в месяц.
В случае аннулирования сертификата процедура выпуска САС производится в ручном режиме
незамедлительно. Максимальное время задержки публикации САС составляет 4 часа.
17
3 Идентификация и аутентификация
3.1 Имена и идентификация пользователей
Идентификация пользователя выполняется в процессе его регистрации в качестве
зарегистрированного пользователя УЦ.
Результатом идентификации является присвоение пользователю УЦ идентификатора и
занесение идентификатора в Реестр зарегистрированных пользователей УЦ.
Идентификатором зарегистрированного пользователя являются идентификационные данные
из заявления на регистрацию.
Для идентификации пользователей в УЦ в состав сертификата должно быть включено имя
пользователя УЦ.
Имя пользователя УЦ должно записываться в поле Subject сертификата согласно
рекомендациям PKIX «Internet X.509 Public Key Infrastructure Certificateand CRL Profile» (RFC 5280).
Каждый субъект может иметь альтернативное имя, записанное в дополнительное поле
subjectAltName.
Имя пользователя УЦ должно иметь формат X.501 и не быть пустой строкой. Присвоение
имени осуществляется при создании ключей ЭП и формировании запроса на изготовление
сертификата.
Именование пользователей УЦ выполняется по следующей схеме:
Имя пользователя УЦ = {(Фамилия) (Имя) (Отчество)}
или
Имя пользователя УЦ = {(Наименование организации)}
Информация об имени пользователя УЦ заполняется русскими буквами. В названии
организации разрешается использовать латинские буквы и сокращения.
В случае использования в качестве имени пользователя юридического лица в сертификат
должны заноситься данные о физическом лице, которое будет действовать от имени организации.
3.1.1 Идентификационные данные
Обязательные атрибуты поля идентификационных данных Уполномоченного лица УЦ,
устанавливаемые в сертификатах пользователей УЦ, приведены в таблице (Таблица 1).
Таблица 1 – Обязательные атрибуты поля идентификационных данных Уполномоченного лица УЦ
Наименование поля
Common Name
Organization
Organization Unit
INN
OGRN
Country
State
Locality
Комментарий
Псевдоним УЦ
Наименование организации
Наименование подразделения, сотрудником которого является
уполномоченное лицо УЦ
ИНН юридического лица
ОГРН юридического лица
RU
Наименование субъекта РФ местонахождения ПАК УЦ
Наименование населенного пункта местонахождения ПАК УЦ
Обязательные атрибуты поля идентификационных данных владельца сертификата
(физического лица), являющегося пользователем УЦ, приведены в таблице (Таблица 2).
Таблица 2 – Обязательные атрибуты поля идентификационных данных владельца сертификата
(физического лица)
18
Наименование
поля
Common Name
SNILS
INN
State
Locality
Country
Комментарий
лица
Фамилия, имя, отчество пользователя
Страховой номер индивидуального лицевого счета (СНИЛС)
ИНН физического лица (если есть)
Наименование субъект РФ по адресу регистрации физического лица
Наименование населенного пункта по адресу регистрации физического
RU
Обязательные атрибуты поля идентификационных данных владельца сертификата
(юридического лица), являющегося пользователем УЦ, приведены в таблице (Таблица 3).
Таблица 3 – Обязательные атрибуты поля идентификационных данных владельца сертификата
(юридического лица)
Наименование
поля
Common Name
Комментарий
В зависимости от типа конечного владельца сертификата:
― наименование организации;
― Ф.И.О. должностного лица;
― название автоматизированной системы;
― другое отображаемое имя по требованиям информационной системы
INN
OGRN
OGRNIP
Organization
Organization Unit
Title
SNILS
State
Locality
Country
ИНН юридического лица/индивидуального предпринимателя
ОГРН юридического лица
ОГРНИП (только для индивидуальных предпринимателей)
Полное или сокращенное наименование организации
В случае выпуска сертификата на должностное лицо –
соответствующее подразделение организации (если имеется)
В случае выпуска СКП ЭП на должностное лицо – его должность
В случае выпуска СКП ЭП на должностное лицо – страховой номер
индивидуального лицевого счета (СНИЛС)
Наименование субъект РФ по адресу местонахождения юридического
лица
Наименование населенного пункта по адресу местонахождения
юридического лица
RU
Допускается не указывать в качестве владельца сертификата ключа проверки электронной
подписи физическое лицо, действующее от имени юридического лица, в сертификате ключа
проверки электронной подписи, используемом для автоматического создания и (или)
автоматической проверки ЭП в информационной системе при оказании государственных и
муниципальных услуг, исполнении государственных и муниципальных функций, а также в иных
случаях, предусмотренных федеральными законами и принимаемыми в соответствии с ними
нормативными правовыми актами. Владельцем такого сертификата ключа проверки электронной
подписи признается юридическое лицо, информация о котором содержится в таком сертификате.
Обязательные атрибуты поля приведены в таблице (Таблица 1).
Допускается включение дополнительной информации в сертификаты издаваемые УЦ
Росфинмониторинга.
19
3.2 Аутентификация зарегистрированного пользователя УЦ
3.2.1 Очная аутентификация зарегистрированного пользователя
Очная аутентификация зарегистрированного пользователя УЦ выполняется по паспорту или
другому документу, удостоверяющему личность, предъявляемому лично.
3.2.2 Удаленная аутентификация зарегистрированного пользователя
Удаленная аутентификация зарегистрированного пользователя УЦ предназначена для
идентификации зарегистрированного пользователя УЦ по средствам телефонной связи.
Удаленная аутентификация зарегистрированного пользователя УЦ выполняется по ключевой
фразе, определенной пользователем в заявлении на регистрацию.
Лицо, проходящее процедуру удаленной аутентификации, должно сообщить
идентификационные данные и по запросу сотрудника УЦ назвать ключевую фразу.
свои
3.2.3 Аутентификация зарегистрированного пользователя по сертификату
Аутентификация зарегистрированного пользователя УЦ по сертификату ключа проверки
электронной подписи выполняется путем выполнения процедуры подтверждения
ЭП
с
использованием сертификата ключа проверки электронной подписи.
3.2.4 Аутентификация зарегистрированного пользователя по паролю
Аутентификация зарегистрированного пользователя УЦ по паролю выполняется путем
сопоставления предъявленного зарегистрированным пользователем УЦ пароля с учетной
информацией, хранимой в Реестре зарегистрированных пользователей УЦ.
Действие пароля начинается с момента его предоставления пользователю УЦ.
3.2.5 Идентификация и аутентификация устройств и программных
приложений
Для получения сертификатов, требующихся для работы устройств и программных приложений,
назначается ответственное лицо, которое является ответственным за его использование и хранение.
Регистрация ответственного лица должна производиться в соответствии с требованиями п.4 В
заявлении дополнительно делается отметка, в какой системе и для каких целей используется
сертификат.
УЦ проверяет идентичность лица, делающего заявку, а также полномочия заявителя на право
получения ключей для устройства или приложения.
3.3 Идентификация и аутентификация пользователей при регистрации в
УЦ Росфинмониторинга
Процедура идентификации и аутентификации при регистрации внешнего абонента
ЕИС Росфинмониторинга осуществляется на основании документа «Регистрационная карточка
абонента ЕИС Росфинмониторинга», представляющей собой формализованный документ на
бумажном носителе, формат которого приведен в приложении (Приложение 1) к настоящему
Регламенту (далее – Форма 3-УЦ/01).
Достоверность данных, содержащихся в Форме 3-УЦ/01, должна подтверждаться подписью
руководителя организации и печатью организации.
В случае если владельцем сертификата является не руководитель организации, к Форме 3УЦ/01 дополнительно прилагаются оригинал доверенности или копии документов, подтверждающих
20
правомочность действий от имени юридического лица, физического лица – владельца сертификата,
представляющего юридическое лицо.
Процедура идентификации и аутентификации при регистрации внутреннего абонента
ЕИС Росфинмониторинга осуществляется на основании оригинала Форма 3-УЦ/01_Р (Форма 3УЦ/01_О) и/или личной явки в УЦ Росфинмониторинга.
3.4 Идентификация и аутентификация пользователей при смене
сертификатов ключей проверки электронной подписи
Процедура идентификации и аутентификации пользователей при запросе на смену
сертификата аналогична процедуре идентификации и аутентификации пользователей при
регистрации в УЦ Росфинмониторинга, изложенной в п. 3.3 настоящего Регламента.
Для внутренних абонентов
аутентификация по сертификату.
ЕИС Росфинмониторинга
допускается
идентификация
и
3.5 Идентификация и аутентификация пользователей при запросе на
аннулирование (приостановлении) сертификата ключа проверки
электронной подписи
Идентификация и аутентификация пользователей при запросе на аннулирование сертификата
осуществляется Оператором УЦ:
-в присутствии пользователя или его доверенного лица по документу,
удостоверяющему личность пользователя УЦ (доверенного лица);
-при личном звонке в УЦ – на основании кодовой фразы, сформированной на этапе
регистрации пользователя.
Оператор УЦ сверяет идентификационные данные пользователя в документе с
регистрационными данными в БД ЦР, и на основании проверки принимает решение об
аннулировании (приостановлении) сертификата.
3.5.1 Действия пользователя, выполнение которых разрешено до его
идентификации и аутентификации
До идентификации и аутентификации пользователя никакие действия ему не разрешаются.
21
4 Эксплуатационные требования
4.1 Регистрация пользователя УЦ
Регистрация пользователя УЦ осуществляется оператором УЦ на основании
договора/соглашения об информационном взаимодействии в рамках которого Росфинмониторинг
обязуется изготовить сертификаты ключей электронной подписи (для внешних пользователей) и
приказа о назначении на работу (для внутренних пользователей) при предоставлении ими
документов для регистрации в УЦ Росфинмониторинга .
Документы для регистрации в УЦ Росфинмониторинга передаются в УЦ и рассматриваются в
течение не более десяти рабочих дней с момента поступления.
В случае отказа в регистрации заявление на регистрацию вместе с приложениями заявителю
не возвращается.
Официальным уведомлением пользователя УЦ об отказе в регистрации является отправка
почтового сообщения через E-mail от отправителя uc@fedsfm.ru (адрес электронной почты
отправителя).
По окончании процедуры регистрации, зарегистрированному пользователю УЦ выдаются:
-ключи, записанные на ключевой носитель;
-сертификат ключа проверки электронной подписи в электронной форме,
соответствующий ключу ЭП ;
-копия сертификата ключа проверки электронной подписи на бумажном носителе по
форме, определенной настоящим Регламентом;
-копии сертификатов ключа проверки электронной подписи уполномоченного лица УЦ в
электронной форме.
Указанные выше данные, передаваемые зарегистрированному пользователю в электронной
форме, записываются в виде файлов на доступное для записи ключей устройство (смарт-карты,
Touch-Memory и т. п.).
Криптографические ключи внешним абонентам ЕИС Росфинмониторинга передаются через
межрегиональные управления Росфинмониторинга или центральный аппарат Росфинмониторинга
на основании Акта приема-передачи (Error! Reference source not found.) через полномочного
представителя организации, на которого оформлена надлежащая доверенность (Приложение 3).
УЦ Росфинмониторинга или межрегиональное управление Росфинмониторинга после
изготовления криптографических ключей сообщает пользователю (по электронной почте и/или по
телефонным каналам связи) где и когда он может получить криптографические ключи.
4.1.1 Запрос на регистрацию внешних абонентов ЕИС Росфинмониторинга в
процессе регистрации
Для регистрации в УЦ и получения ключей
ЭП организация, с которой заключен
договор/соглашение об информационном взаимодействии в рамках которого Росфинмониторинг
обязуется изготовить сертификаты ключей электронной подписи, направляет в Росфинмониторинг
«Регистрационную карточку абонента ЕИС Росфинмониторинга», представляющую собой
формализованный документ на бумажном носителе, формат которого приведен в Приложение 1 к
настоящему Регламенту (далее – Форма 3-УЦ/01), а также документы, подтверждающие
достоверность информации, содержащейся в Форме 3-УЦ/01, для включения в квалифицированный
сертификат, либо их надлежащим образом заверенные копии:
1) основной документ, удостоверяющий личность, страховое свидетельство государственного
пенсионного страхования заявителя - физического лица или учредительные документы, документ,
подтверждающий факт внесения записи о юридическом лице в Единый государственный реестр
юридических лиц, и свидетельство о постановке на учет в налоговом органе заявителя юридического лица;
22
2) надлежащим образом заверенный перевод на русский язык документов о государственной
регистрации юридического лица в соответствии с законодательством иностранного государства (для
иностранных юридических лиц);
3) доверенность или иной документ, подтверждающий право заявителя действовать от имени
других лиц.
Регистрационная карточка абонента используется для контроля подлинности получаемой
информации, включая идентификацию отправителя информации, а также для регистрации и учета
идентификационных реквизитов организации в ЕИС Росфинмониторинга.
Дополнительно к Форме 3-УЦ/01 прилагается согласие на обработку персональных данных, по
утвержденной Росфинмониторингом форме.
4.1.2 Запрос на регистрацию внутренних абонентов
ЕИС Росфинмониторинга в процессе регистрации
Форма заявления о регистрации внутреннего абонента ЕИС Росфинмониторинга приведена в
Приложение 2А к настоящему Регламенту (далее – Форма 3-УЦ/01-Р).
Форма заявления на изготовление сертификата ключа электронной подписи, требующегося
для работы устройств и программных приложений приведена в Приложении 2Б к настоящему
Регламенту (далее – Форма 3-УЦ/01-О).
4.2 Процедура подачи заявления на регистрацию и выдачу сертификата
ключа проверки электронной подписи
Внутренние абоненты ЕИС Росфинмониторинга направляют Форму 3-УЦ/01-Р (Форма 3УЦ/01-О) через систему электронного документооборота Росфинмониторинга. Дополнительно,
Форма
3-УЦ/01-Р
(Форма
3-УЦ/01-О)
с
собственноручными
подписями
сотрудника
Росфинмониторинга и руководителя структурного подразделения направляется лично либо
нарочно.
Внешние абоненты ЕИС Росфинмониторинга направляют документы для регистрации и
выдачу сертификата ключа проверки почтовым отправлением либо нарочно.
4.3 Обработка заявления на регистрацию и выдачу сертификата ключа
проверки электронной подписи
Оператор УЦ после получения заявления на регистрацию и выдачу сертификата от
пользователя средствами программного обеспечения УЦ выполняет технологические процедуры по
регистрации пользователей (внесение информации о пользователе в БД ЦР).
4.4 Издание сертификата ключа проверки электронной подписи
При принятии положительного решения на изготовление сертификата Оператор УЦ:
-формирует запрос на издание сертификата (в запрос включается идентификационная
информация пользователя и ключ проверки ЭП, данный запрос подписывается
ЭП
с
использованием ключа ЭП Оператора УЦ);
-устанавливает пароль пользователя ключевого носителя (далее – ПИН-код). Если
существует техническая возможность, то форматирует ключевой носитель и устанавливает ПИН-код
ключевого носителя;
-записывает ПИН-код на бумажные носители;
-генерирует ключ ЭП и соответствующий ему ключ проверки ЭП пользователя;
-проверяет правильность параметров в запросе и утверждает (подтверждает)
сформированный запрос, после чего запрос поступает в ЦС на исполнение.
Процесс обработки заявления на изготовление сертификата не должен занимать более
14 (четырнадцати) суток с момента получения его Администратором.
23
Издание сертификата осуществляется после получения и обработки ЦС сформированного
запроса.
Изданный сертификат в электронном виде возвращается Оператору УЦ, который записывает
его на ключевой носитель.
Оператор УЦ распечатывает две копии сертификата на бумажном носителе, заверяет печатью
УЦ и подписывает собственноручной подписью, после чего осуществляет передачу пользователю
ключевого носителя и бумажных копий сертификата пользователю.
Передача ключевого носителя и бумажных копий сертификата ключа электронной подписи
осуществляется
через
ближайшее
к
пользователю
Межрегиональное
управление
Росфинмониторинга или УЦ Росфинмониторинга. Пакет с ключом ЭП и бумажными копиями
сертификата ключа электронной подписи опечатывается.
После получения подтверждения о признании сертификата (см. раздел 4.5 ) Оператор УЦ
опубликовывает его в реестре сертификатов. В случае отказа пользователя от сертификата,
включает его в список аннулированных сертификатов.
4.5 Получение сертификата ключа проверки электронной подписи
После получения сертификата владелец обязан направить в УЦ сообщение о признании
выпущенного сертификата или отказе от него.
Для этого при получении криптографических ключей пользователь производит регистрацию
ключа проверки электронной подписи в ЕИС Росфинмониторинга. Регистрация ключа проверки ЭП
в ЕИС Росфинмониторинга заключается в подписании бумажной копии сертификата ключа личной
собственноручной подписью физического лица – владельца сертификата. Если владелец
сертификата обладает правом первой подписи, сертификат ключа заверяется печатью организации.
Один экземпляр оформленного таким образом сертификата ключа возвращается в УЦ
Росфинмониторинга.
После регистрации ключа проверки электронной подписи УЦ Росфинмониторинга переводит
соответствующий ключ проверки
ЭП в статус сертифицированного и уведомляет об этом
пользователя лично, по электронной почте и/или телефонным каналам связи.
4.6 Использование ключей электронной подписи и сертификатов
ключей проверки электронной подписи
Пароль Администратора ключевого носителя и ПИН-код задаются Оператором УЦ на этапе
записи ключа ЭП на ключевой носитель.
Оператор УЦ передает бумажный носитель с ПИН-кодом пользователю УЦ. Бумажный
носитель с паролем Администратора ключевого носителя хранится только у Оператора УЦ и
известен только ему.
Для доступа к ключу ЭП необходимо знание ПИН-кода. Пароль Администратора ключевого
носителя используется для смены ПИН-кода в случае блокировки ПИН-кода в результате
ошибочных действий пользователя УЦ.
Пользователи УЦ должны менять ПИН-коды сразу после получения ключевого носителя от
Оператора УЦ или доверенного лица.
24
4.7 Замена сертификата ключа проверки электронной подписи
4.7.1 Плановая смена ключей уполномоченного лица Удостоверяющего
центра, Администраторов и Операторов УЦ
Плановая смена ключей уполномоченного лица Удостоверяющего центра, Администраторов и
Операторов УЦ производится в связи с истечением установленного срока их действия.
4.7.2 Плановая смена ключей владельца сертификата
Плановая смена ключей владельца сертификата производится один раз в год в связи с
истечением установленного срока их действия. Для её проведения пользователь заблаговременно
до момента истечения срока действия сертификата ключа
ЭП
направляет в УЦ
Росфинмониторинга заявление на плановую смену.
Внешний абонент ЕИС Росфинмониторинга направляет Регистрационную карточку абонента
ЕИС Росфинмониторинга (Приложение 1, в которой в разделе III «Заявление на генерацию
криптографических ключей», в п.1 указывается «В целях проведения плановой замены
криптографических ключей». Далее процедура смены ключей владельца сертификата идентична
процедуре издания сертификата ключа проверки электронной подписи (см. раздел 4.4 ).
Внутренний абонент ЕИС Росфинмониторинга направляет заявление (запрос) на плановую
смену.
4.7.3 Внеплановая смена сертификата ключа проверки электронной подписи
Внеплановая смена ключей (ключа ЭП и соответствующего ему ключа проверки ЭП )
пользователя УЦ осуществляется в следующих случаях:
-компрометации ключа ЭП пользователя УЦ;
-компрометации ключа ЭП Уполномоченного лица УЦ;
-изменения данных, включенных в сертификат ключа проверки электронной подписи;
-выхода из строя ключевых носителей.
Процедура внеплановой смены ключей пользователя включает:
-аннулирование старого сертификата;
-получение нового ключа ЭП и сертификата.
4.8 Аннулирование сертификата ключа проверки электронной подписи
4.8.1 Условия аннулирования
Сертификат должен быть аннулирован, если информация в нем более не может пользоваться
доверием. Причины аннулирования сертификата:
-временное отстранение владельца сертификата от выполнения служебных
обязанностей;
-компрометация или подозрение на компрометацию ключа ЭП ;
-изменение идентифицирующей информации или атрибутов в сертификате
пользователя до истечения срока действия сертификата;
-увольнение владельца сертификата;
-невыполнение владельцем сертификата своих обязательств, изложенных в
настоящем Регламенте или дополнительных соглашениях.
4.8.2 Кто может потребовать аннулирование сертификата
Инициировать запрос на аннулирование сертификата может только:
25
----
Владелец сертификата (либо его руководитель или замещающее лицо);
Администратор УЦ;
Оператор УЦ.
4.8.3 Процедура запроса на аннулирование сертификата
Запрос на аннулирование должен содержать:
-информацию, позволяющую идентифицировать сертификат,
аннулировать;
-причину аннулирования сертификата;
-данные, позволяющие проверить аутентичность запроса.
который
следует
По принятии и согласии с запросом на аннулирование сертификата, ЦС должен аннулировать
сертификат. Аутентифицированный запрос на аннулирование и результат действий, предпринятых
ЦС, сохраняются в архиве.
ЦС включает данные об аннулированном сертификате в очередной список аннулированных
сертификатов.
4.8.4 Аннулирование сертификатов внешних пользователей УЦ
Росфинмониторинга
В случае изменения регистрационных данных организации (названия организации, изменения
адреса места нахождения или почтового адреса юридического лица, регистрационных номеров,
средств связи (номеров телефонов, факсов, адреса электронной почты), назначения нового
руководителя организации, и пр.), организация не позднее 3 рабочих дней с момента изменения
данных направляет в Росфинмониторинг новую Регистрационную карточку абонента
ЕИС Росфинмониторинга (Приложение 1), в которой заполняет раздел III «Заявление на генерацию
криптографических ключей», где в п.1 указывается «В целях замены криптографических ключей в
связи с изменением принадлежности».
Получив карточку, уполномоченное лицо УЦ определяет, затрагивают ли произошедшие в
организации изменения обязательные атрибуты поля идентификационных данных владельца
сертификата, являющегося физическим лицом и представляющего юридическое лицо, и в
зависимости от результата принимает решение о необходимости аннулирования сертификата ключа
проверки электронной подписи, о чем сообщает владельцу сертификата. Если изменения
затрагивают обязательные атрибуты сертификата, уполномоченное лицо УЦ принимает решение об
аннулировании указанного сертификата ключа проверки электронной подписи, после чего Оператор
УЦ аннулирует указанный сертификат, формирует новый список отозванных сертификатов и
публикует его в справочнике сертификатов ключей подписей.
В случае приостановления или прекращения по различным причинам деятельности
организации, а также ее реорганизации, организация обязана проинформировать о данном факте по
телефонным каналам связи с использованием устного пароля и в течение 5 рабочих дней должна
возвратить комплект АРМ в Росфинмониторинг (территориальные органы Росфинмониторинга).
Получив извещение, уполномоченное лицо УЦ принимает решение об аннулировании
указанного сертификата ключа проверки электронной подписи, после чего Оператор УЦ аннулирует
указанный сертификат, формирует новый список отозванных сертификатов и публикует его в
справочнике сертификатов.
Действия пользователей при компрометации ключа описаны в разделе 8.1 настоящего
Регламента.
4.8.5 Аннулирование сертификатов внутренних пользователей
УЦ Росфинмониторинга
Аннулирование сертификатов внутренних пользователей УЦ ЕИС Росфинмониторинга
осуществляется на основании заявления на аннулирование сертификата или приказа об увольнении
сотрудника Росфинмониторинга.
26
Для аннулирования сертификата ключа проверки электронной подписи и формирования новой
ключевой пары и соответствующего сертификата ключа проверки электронной подписи
пользователь должен отправить заявление об аннулировании сертификата через систему
электронного документооборота Росфинмониторинга, подписанное с помощью действующего ключа
электронной подписи.
Получив заявление от сотрудника, Оператор УЦ принимает решение об аннулировании
сертификата ключа проверки электронной подписи, формирует новый список аннулированных
сертификатов и публикует его в справочнике сертификатов.
Заявление об аннулировании сертификата должно содержать фамилию, имя, отчество
владельца сертификат ключа подписи, дату начала и окончания срока действия сертификата. В
случае личной явки пользователя в УЦ пользователь пишет аналогичное заявление
собственноручно.
4.8.6 Время обработки запроса на отзыв
Любое действие, являющееся реакцией на запрос на аннулирование сертификата, должно
быть произведено в течение 24 часов с момента приема заявление на аннулирование сертификата.
4.8.7 Уведомление об аннулировании сертификата
УЦ обязан официально уведомить о факте аннулирования (отзыва) сертификата ключа
проверки электронной подписи его владельца. Срок уведомления – не позднее 24 часов с момента
занесения сведений об аннулированном сертификате в список аннулированных сертификатов.
Официальным уведомлением о факте аннулирования сертификата ключа проверки
электронной подписи является опубликование списка аннулированных сертификатов, содержащего
сведения об аннулированном (отозванном) сертификате ключа проверки электронной подписи, в
справочнике сертификатов УЦ.
Временем аннулирования (отзыва) сертификата ключа проверки электронной подписи
признается время занесения сведений об аннулированном (отозванном) сертификате ключа
проверки электронной подписи в список отозванных сертификатов и включенное в его структуру.
Временем опубликования списка аннулированных сертификатов признается время изготовления
списка аннулированных сертификатов и включенное в его структуру.
4.9 Процедура контроля соответствия сертификата бумажной копии
Контроль соответствия сертификата бумажной копии осуществляется путем сравнения
содержимого каждого поля сертификата на его бумажной копии и в диалоге отображения
сертификата.
Сертификат ключа проверки электронной подписи на бумажном носителе представляет собой
документ, содержащий следующие обязательные реквизиты:
-уникальный номер сертификата, даты начала и окончания его действия;
-идентификационные данные владельца сертификата ключа проверки электронной
подписи;
-ключ проверки ЭП ;
-наименования средств ЭП и средств УЦ Росфинмониторинга, которые использованы
для создания ключа ЭП, ключа проверки ЭП, сертификата, а также реквизиты документа,
подтверждающего соответствие указанных средств требованиям, установленным в соответствии с
Федеральным законом от 06.04.2011г. №63-ФЗ «Об электронной подписи»;
-наименование и место нахождения УЦ Росфинмониторинга, номер сертификата УЦ;
-сведения об областях использования ключа ЭП и ключа проверки ЭП ;
-собственноручная подпись Оператора УЦ;
-печать УЦ.
Копия сертификата ключа проверки электронной подписи печатается на листах белой бумаги
формата А4, не содержащих средств защиты от копирования и подделки.
27
4.10 Процедура проверки статуса сертификата ключа проверки
электронной подписи
Проверке подлежит сертификат, выданный владельцу в электронном виде.
Проверка осуществляется по заявлению любого участника информационной системы, в
которой используется УЦ, и состоит из следующих этапов:
-представление пользователем письменного запроса на проверку выданного
сертификата;
-представление пользователем в электронном виде на отчуждаемом носителе
сертификата, требующего проверки;
-формирование комиссии – состав комиссии, как правило, формируется заранее,
полномочия комиссии и ее состав утверждаются руководством УЦ;
-выполнение комиссией процедуры проверки
ЭП
издателя в представленном
сертификате;
-подготовка комиссией письменного документа (протокола) с результатами проверки
(протокол подписывается членами комиссии).
Процедура проверки сертификата включает в себя следующие этапы:
-построение цепочки сертификатов до сертификата корневого центра сертификации
(началом цепочки является проверяемый сертификат);
-проверка ЭП издателей для каждого сертификата, включенного в цепочку;
-проверка статуса и срока действия сертификатов, включенных в цепочку.
Поскольку проверка сертификата производится по текущему состоянию сетевого справочника
сертификатов УЦ и действующему САС, пользователь, по инициативе которого производится
проверка, должен в максимально сжатые сроки представить сертификат и запрос на проверку в УЦ.
Проверка выполняется на выделенном компьютере с предварительно установленным
необходимым программным обеспечением, включая СКЗИ «КриптоПро CSP».
4.11 Прекращение действия сертификата ключа проверки электронной
подписи
Сертификат прекращает свое действие и получает статус «Недействителен» в следующих
случаях:
-сертификат был аннулирован и помещен в САС;
-истек срок действия сертификата;
-аннулирован или истек один из сертификатов цепочки сертификатов.
4.12 Восстановление УЦ после аварийных ситуаций
4.12.1 Восстановление после компрометации
В случае компрометации ключа ЦС, используемого для подписи сертификатов и списка
аннулированных сертификатов, вся система должна быть остановлена.
Для восстановления системы необходимо:
-повторно произвести формирование ключа и сертификата ЦС;
-произвести выпуск новых сертификатов всех пользователей;
-обеспечить получение новых личных сертификатов пользователями.
4.12.2 Восстановление после прочих бедствий
В случае повреждения оборудования ЦС вследствие каких-либо бедствий ЦС должен принять
все возможные меры для скорейшего восстановления своей работоспособности. Приоритет должен
28
быть отдан возможности аннулирования сертификатов и выпуска списка аннулированных
сертификатов. В случае невозможности восстановления функции аннулирования сертификатов до
окончания срока действия списка аннулированных сертификатов ЦС должен объявить свои ключи
скомпрометированными и действовать в соответствии с разделом 8.2.
4.13 Завершение деятельности УЦ
В соответствии с частью 4 статьи 15 Федерального закона от 6.04.2011 г. №63-ФЗ «Об
электронной подписи» при принятии решения о прекращении своей деятельности УЦ обязуется:
-сообщить об этом в уполномоченный федеральный орган не позднее, чем за один
месяц до даты прекращения своей деятельности;
-передать в уполномоченный федеральный орган в установленном порядке реестр
квалифицированных сертификатов;
-передать на хранение в уполномоченный федеральный орган в установленном
порядке информацию, подлежащую хранению в аккредитованном УЦ.
В случае прекращения деятельности УЦ с переходом его функций другим лицам уведомить об
этом в письменной форме владельцев сертификатов ключей проверки электронных подписей,
которые выданы этим УЦ и срок действия которых не истек, не менее чем за один месяц до даты
передачи своих функций. В указанном случае после завершения деятельности УЦ информация,
внесенная в реестр сертификатов, передается лицу, к которому перешли функции УЦ,
прекратившего свою деятельность.
В случае прекращения деятельности УЦ без перехода его функций другим лицам УЦ
уведомляет об этом в письменной форме владельцев сертификатов, которые выданы этим УЦ и
срок действия которых не истек, не менее чем за один месяц до даты прекращения деятельности
этого УЦ. В указанном случае после завершения деятельности УЦ информация, внесенная в реестр
сертификатов, уничтожается.
Архивы УЦ должны быть сохранены в порядке и на сроки, указанные в разделе 5.9 настоящего
Регламента.
4.14 Синхронизация времени
УЦ обязан синхронизировать по времени все используемые программные и технические
средства с временем, соответствующим часовому поясу г. Москвы.
29
5 Физический, процедурный и персональный контроль режима
конфиденциальности
5.1 Политика конфиденциальности
5.1.1 Типы конфиденциальной информации
К конфиденциальной информации относятся:
-ключи ЭП уполномоченного лица и пользователей УЦ;
-персональная и корпоративная информация пользователей УЦ, не публикуемая в
качестве части сертификата ключа проверки электронной подписи и списка аннулированных
сертификатов;
-пароль пользователя;
-содержимое БД УЦ;
-информация, хранящаяся в журналах аудита УЦ.
УЦ обеспечивает конфиденциальность ключа проверки ЭП пользователя с момента
изготовления ключевого материала и до момента передачи его пользователю. С момента передачи
ключевого материала ответственность за обеспечение его конфиденциальности несет
пользователь.
Доступ к конфиденциальной информации осуществляется в порядке, предусмотренном
действующим законодательством.
5.1.2 Информация, не являющаяся конфиденциальной
Информация, включаемая в сертификаты ключей проверки электронной подписи и списки
аннулированных сертификатов, издаваемые УЦ, не считается конфиденциальной и признается
общедоступной. Пользователь знает и согласен с публикацией персональных данных пользователя
в сертификате ключа проверки электронной подписи и списке аннулированных сертификатов.
Информация о настоящем Регламенте также не считается конфиденциальной.
5.2 Перечень данных, поступающих в УЦ, подлежащих защите
Следующие данные, поступающие в УЦ, должны быть подписаны пользователями с
использованием их рабочих или служебных ключей ЭП :
-запрос на сертификат;
-запрос на аннулирование сертификата.
5.3 Перечень данных, экспортируемых из УЦ, подлежащих защите
Следующие данные, экспортируемые из УЦ, должны быть подписаны УЦ с использованием
ключей ЭП УЦ:
-сертификат ключа проверки электронной подписи;
-список аннулированных сертификатов.
5.4 Список объектов доступа и целевых функций УЦ
Администраторы УЦ должны контролировать доступ к следующим объектам:
-криптографические ключи;
-БД ЦС;
-БД ЦР;
-хранилище сертификатов ЦС;
-запросы на сертификат;
30
--
технические средства УЦ.
Администраторы УЦ должны контролировать доступ к следующим целевым функциям УЦ:
-формирование ключей;
-формирование сертификатов;
-аннулирование сертификатов;
-формирование списка аннулированных сертификатов;
-рассылка сертификатов и списка аннулированных сертификатов;
-резервное копирование и восстановление БД УЦ;
-регистрация пользователей;
-исключение пользователей из сети.
5.5 Физический контроль режима конфиденциальности
5.5.1 Размещение и построение технических средств УЦ
К техническим средствам УЦ применяются следующие требования безопасности:
-доступ к техническим средствам имеет только уполномоченный персонал;
-доступом без сопровождения к техническим средствам УЦ обладает только персонал,
определенный в списке доступа;
-персонал, не находящийся в списке доступа, соответствующим образом
сопровождается и контролируется;
-ведется журнал доступа к техническим средствам УЦ.
5.5.2 Физический доступ
Защита от неконтролируемого доступа к техническим средствам ЦС и ЦР осуществляется с
помощью сертифицированного устройства типа «Электронный замок».
Контроль целостности технических средств УЦ осуществляется при каждой загрузке ЦС и ЦР,
но не реже одного раза в неделю.
Оборудование УЦ в активированном состоянии защищено от неавторизованного доступа.
После ввода пароля, защищающего ключ ЭП, пользователи не должны оставлять свои
рабочие места без присмотра.
5.5.3 Электроснабжение и кондиционирование воздуха
Помещение, в котором размещается оборудование УЦ, обеспечено электроснабжением и
системой кондиционирования в объеме достаточном для создания приемлемых условий работы.
5.5.4 Подверженность воздействию влаги
Требования по влажности в помещениях соответствуют техническим условиям эксплуатации
аппаратного обеспечения.
5.5.5 Предупреждение и защита от возгорания
Меры пожарной безопасности соответствуют требованиям к пожарной охране предприятий.
5.5.6 Хранение носителей
Вся конфиденциальная и ключевая информация, подлежащая хранению храниться в
специально оборудованном шкафу, доступ к которому имеет ограниченный круг лиц.
5.5.7 Уничтожение носителей
31
Все носители информации, содержащие важную информацию, после окончания срока
хранения подлежат уничтожению путем физического уничтожения носителей информации или его
форматирования.
5.5.8 Резервное копирование
Все данные, критичные для функционирования УЦ, подлежат резервному копированию.
К данным, подлежащим резервному копированию УЦ, относятся:
-БД ЦС и ЦР, содержащие сведения о выданных сертификатах и запросы на их
изготовление;
-конфигурационная информация.
Копирование любых ключей ЭП УЦ и пользователей УЦ не допускается. Создание дубликатов
при создании ключей не допускается.
Резервное копирование осуществляется Администратором УЦ не реже одного раза в неделю.
5.6 Процедурный контроль режима конфиденциальности
5.6.1 Доверенные роли
Существуют следующие роли, обеспечивающие функционирование УЦ:
-Уполномоченное лицо УЦ;
-Администратор УЦ;
-Оператор УЦ;
-Аудитор УЦ.
5.6.2 Ролевая идентификация и аутентификация
Идентификация и аутентификация для служащих УЦ должны следовать требованиям,
определенным в разделах 3.3. Пункты этих разделов должны быть выполнены, прежде чем:
-служащие будут включены в список доступа к серверу УЦ;
-служащие будут включены в список физического доступа к системе УЦ;
-для служащих будет выпущен сертификат и создана учетная запись в системе УЦ для
выполнения своих ролей.
5.7 Персональный контроль режима конфиденциальности
Члены группы Администраторов и Операторов УЦ должны:
-назначаться уполномоченным лицом УЦ;
-получать всестороннюю подготовку с привлечением особого внимания к выполнению
их непосредственных обязанностей;
-не иметь обязанностей, способных привести к конфликтам интересов с их
обязанностями в плане операций ЦС или ЦР.
5.7.1 Требования к квалификации и профессиональным навыкам
Уполномоченное лицо УЦ, члены группы Администраторов и Операторов УЦ должны иметь
высшее профессиональное образование или профессиональную подготовку в области
информационной безопасности.
5.7.2 Требования к подготовке
Персонал, выполняющий обязанности, связанные с операциями ЦС или ЦР, должен проходить
подготовку, включающую:
32
-принципы и механизмы безопасности ЦС и ЦР, основные положения данного
Регламента;
-принципы работы программного и/или аппаратного обеспечения, используемого в системе
УЦ;
-конкретные обязанности, выполнение которых предусмотрено для этого персонала.
5.7.3 Требования к переподготовке, частота переподготовки
Переподготовка членов группы Администраторов должна проводиться с учетом изменений в
системе УЦ.
5.7.4 Санкции к неавторизованным действиям
В случае реального или предполагаемого неавторизованного действия лицом, выполняющим
обязанности, связанные с операциями ЦС или ЦР, ЦС или ЦР могут приостановить доступ этого
лица к системе УЦ.
5.7.5 Служащие по контракту
Служащие по контракту, обеспечивающие деятельность какой-либо из частей ЦС или ЦР
должны быть объектом проверок, аналогичных при приеме на службу в Росфинмониторинг, а также
пройти проверку на надежность, соответствующую уровню, которого требует выполняемая роль.
5.7.6 Документация, предоставляемая служащим
ЦС должен обеспечить доступ служащим этого ЦС и соответствующего ЦР к данному
Регламенту и иной документации, достаточной для определения обязанностей и процедур,
соответствующих положениям этих служащих.
5.8 Процедуры аудита
5.8.1 Типы записываемых событий
УЦ записывает в файлах журнала аудита все события, имеющие отношение к системе
безопасности УЦ.
События, записываемые в журнал безопасности Windows 2003/2008/2008 R2Server, включают
в себя:
-событие входа в систему с учетной записью;
-управление учетной записью;
-события входа в систему;
-изменение политики;
-использование привилегий.
Структура записи события включает следующее:
-выполненное действие;
-пользователь, выполнивший это действие;
-событие, произошедшее при этом, а также было ли оно успешно.
События, записываемые в журнал регистрации событий на ЦР включают следующее:
-регистрация пользователей;
-выпуск сертификатов;
-аннулирование сертификатов;
-запросы на сертификат.
Структура записи события:
-дата события;
33
----
тип события;
объект;
субъект.
События, записываемые в журнал Microsoft IIS на ЦР (сведения о действиях пользователей
включают следующее):
-дата возникновения события;
-время возникновения события;
-IP-адрес клиента, получающего доступ к серверу;
-имя пользователя, получающего доступ к серверу;
-номер порта, к которому подключен клиент;
-действие, которое пытался выполнить клиент;
-ресурс, к которому осуществляется запрос (если имеется) и который пытался выполнить
клиент;
-состояние действия;
-заняло времени.
5.8.2 Частота обработки журнала аудита
УЦ подвергает просмотру журналы аудита не реже одного раза в две недели. Подобные
просмотры включают проверку того, что журнал не подвергался искажениям, а также краткому
изучению всех событий в журнале с обращением особого внимания на сообщения о несоответствиях
и предупреждения об опасных ситуациях. При возникновении записей о подозрительных действиях
применяется сопоставление журналов аудита ЦС и ЦР.
5.8.3 Срок хранения информации в журнале аудита
УЦ хранит свои журналы аудита на месте эксплуатации, по крайней мере, в течение двух
месяцев и последовательно переводить их в режим архивного хранения.
5.8.4 Защита журнала аудита
Система ведения электронного журнала аудита включает механизмы защиты файлов журнала
от неавторизованного просмотра, модификации и удаления. Рукописные журналы заверены
подписью уполномоченного лица УЦ.
5.8.5 Резервное копирование журнала аудита
Резервное копирование журналов аудита, осуществляется при каждом произошедшем
событии в журнале аудита.
5.8.6 Оповещение субъекта, активировавшего событие
В случае попадания события в систему регистрации, оповещение лиц, организаций, устройств
и приложений, активизировавших данное событие, не является обязательным, но также и не
запрещается.
5.8.7 Оценка уязвимости
Персонал УЦ должен проявлять бдительность по отношению к попыткам нарушения
целостности системы управления сертификатами УЦ.
5.9 Архивирование
Архивированию подлежат следующие данные:
-реестр сертификатов ключей проверки ЭП пользователей;
34
------подписи.
сертификаты ключей проверки электронной подписи уполномоченного лица УЦ;
журналы аудита программно-аппаратных средств обеспечения деятельности УЦ;
реестр зарегистрированных пользователей;
заявления на изготовление ключей пользователей;
заявления на изготовление сертификатов ключей проверки электронной подписи;
заявления на аннулирование (отзыв) сертификатов ключей проверки электронной
Минимальный срок хранения журналов аудита событий составляет 5 (пять) лет, остальная
информация хранится на протяжении всего срока деятельности УЦ.
Выделение архивных
Уполномоченным лицом УЦ.
документов
к
уничтожению
и
уничтожение
осуществляется
5.10 Смена ключа Уполномоченного лица УЦ
5.10.1 Плановая смена ключей Уполномоченного лица УЦ
Плановая смена ключей уполномоченного лица УЦ производится в связи с истечением
установленного срока их действия.
5.10.2 Внеплановая смена ключей Уполномоченного лица УЦ
Внеплановая смена ключей производится в случае компрометации соответствующего ключа
ЭП, изменениях регистрационных данных организации, или владельца сертификата, а также в
случаях порчи или поломки ключевых носителей.
5.11 Порядок обеспечения информационной безопасности при передаче
сообщений в виде электронного документа
Порядок обеспечения информационной безопасности в организации при работе в ЕИС
Росфинмониторинга определяется директором Росфинмониторинга на основе рекомендаций по
организационно-техническим мерам защиты, изложенным в данном разделе и эксплуатационной
документации.
Владелец сертификата ключа обязан:
-не использовать для ЭП ключи ЭП и ключи проверки ЭП, если ему известно, что эти
ключи используются или использовались ранее;
-хранить в тайне ключ ЭП ;
-немедленно требовать приостановления действия сертификата ключа проверки
электронной подписи при наличии оснований полагать, что тайна ключа
ЭП нарушена
(компрометация ключа).
Рекомендуется:
-Установка и настройка СКЗИ на АРМ должна выполняться в присутствии
Администратора. Перед установкой необходимо проверить целостность программного обеспечения
СКЗИ. Запрещается устанавливать СКЗИ целостность, которого нарушена. При каждом запуске АРМ
должен быть обеспечен контроль целостности установленного программного обеспечения СКЗИ.
-В организации должен быть определен и утвержден порядок учета, хранения и
использования носителей ключевой информации с ключами электронной подписи, который должен
полностью исключить возможность несанкционированного доступа к ним.
-Должен быть утвержден список лиц, имеющих доступ к ключевой информации.
-Для хранения носителей ключей ЭП в помещениях должны устанавливаться
надежные металлические хранилища (сейфы), оборудованные надежными запирающими
устройствами с двумя экземплярами ключей (один у исполнителя, другой – в службе безопасности
или у руководителя организации). Хранение носителей ключей ЭП допускается в одном хранилище
с другими документами в отдельном контейнере, опечатываемом ответственным исполнителем.
35
-АРМ со встроенными средствами криптографической защиты информации
использовать в однопользовательском режиме. В отдельных случаях, при необходимости
использования АРМ несколькими лицами, лица должны обладать равными правами доступа к
информации.
-При загрузке операционной системы и при возвращении после временного отсутствия
пользователя на рабочем месте должен запрашиваться пароль, состоящий не менее чем из 6
символов. В отдельных случаях при невозможности использования парольной защиты допускается
загрузка операционной системы (далее – ОС) без запроса пароля. При этом должны быть
реализованы
дополнительные
организационно-режимные
меры,
исключающие
несанкционированный доступ к этим АРМ.
-Должны быть приняты меры по исключению несанкционированного доступа в
помещения, в которых установлены технические средства АРМ со встроенной СКЗИ.
-Должны
быть
предусмотрены
меры,
исключающие
возможность
несанкционированного изменения аппаратной части рабочей станции с установленными СКЗИ.
-Установленное на АРМ программное обеспечение не должно содержать средств
разработки и отладки приложений, а также средств, позволяющих осуществлять
несанкционированный доступ к системным ресурсам.
-Администрирование должно осуществляться доверенными лицами, имеющими
соответствующие полномочия, согласно политики информационной безопасности в организации.
-Средствами BIOS исключить возможность сетевой загрузки ОС рабочей станции.
-Средствами BIOS исключить возможность работы на АРМ, если во время ее
начальной загрузки не проходят встроенные тесты.
-Вхождение пользователей в режим конфигурирования BIOS штатными средствами
BIOS должно осуществляться только с использованием парольной защиты при длине пароля не
менее 6 символов.
-При использовании ОС Windows Server2003/2008/2008R2 и ОС WindowsXP/Vista/7
принять меры, исключающие доступ пользователя к системному реестру.
-Ограничить либо исключить использование Sheduler. При использовании Sheduler
состав запускаемого программного обеспечения на АРМ согласовывается с администратором
безопасности.
-При использовании ОС Windows2003/2008/2008 R2 Server и XP/Vista/7 исключить
возможность удаленного редактирования системного реестра пользователями (исключая
администратора).
-При использовании ОС Windows 2003/2008/2008 R2 Server и XP/Vista/7 переименовать
пользователя Administrator, отключить учетную запись для гостевого входа (Guest).
-В случае увольнения или перевода в другое подразделение (на другую должность),
изменения функциональных обязанностей сотрудника, имевшего доступ к ключевым носителям,
должна быть проведена смена ключей, к которым он имел доступ.
Не допускается:
-снимать несанкционированные копии с ключевых носителей;
-знакомить с содержанием ключевых носителей или передавать ключевые носители
лицам, к ним не допущенным;
-выводить секретные ключи на дисплей (монитор) АРМ или принтер;
-устанавливать ключевой носитель в считывающее устройство (дисковод и/или USBпорт) АРМ в непредусмотренных режимах функционирования системы, а также в другие АРМ;
-записывать на ключевой носитель постороннюю информацию.
36
6 Технический контроль режима конфиденциальности
6.1 Генерация и ввод в действие ключевой пары
6.1.1 Генерация и ввод в действие ключевой пары для внешних
пользователей УЦ Росфинмониторинга
Ключи ЭП
пользователей ЕИС Росфинмониторинга формируются централизованно
Оператором УЦ Росфинмониторинга с использованием программного обеспечения «АРМ
администратора ЦР» из состава комплекса «КриптоПро УЦ» версии 1.5.
В целях автоматизации процесса формирования ключей ЭП и сертификатов пользователей
разрешается использовать дополнительное программное обеспечение, разработанное с
использованием программного интерфейса УЦ.
Оператор УЦ Росфинмониторинга несет личную ответственность за сохранность в тайне
сформированных ключей ЭП
пользователей до момента передачи ключевого носителя
пользователю.
Для каждого пользователя на ключевом носителе формируется один ключевой контейнер,
содержащий ключ ЭП и проверки ЭП .
В процессе формирования ключей на ключевой носитель пользователя формируется
коммуникационный пароль пользователя и распечатывается на бумажном бланке.
Ключевые носители упаковываются в конверт, доставка конверта пользователям
осуществляется через Межрегиональные управления Росфинмониторинга и/или центральный
аппарат Росфинмониторинга.
6.1.2 Генерация и ввод в действие пар ключевой пары для внутренних
абонентов ЕИС Росфинмониторинга
Генерация служебных ключей пользователей осуществляется ЦС.
Генерация рабочих ключей пользователей осуществляется СКЗИ, входящим в состав
абонентского комплекта средств защиты информации (далее – СЗИ).
Служебные ключи, предназначенные для получения первого сертификата, вручаются
пользователю при его регистрации.
Рабочие ключи доставляются пользователям по защищенному каналу с использованием
протокола TLS (КриптоПро TLS).
Ключ проверки ЭП доставляется пользователем до ЦР в составе запроса на сертификат
любым способом по открытым каналам связи. ЦР пересылает его в ЦС.
Ключ проверки ЭП ЦС, используемый для подписи сертификатов и списка аннулированных
сертификатов, должен передаваться пользователю при его регистрации.
Генерация всех ключей осуществляется программным способом.
6.2 Защита ключа электронной подписи
Владелец сертификата обязан обеспечить защиту своих ключей ЭП от раскрытия.
Ключи ЭП пользователей должны быть защищены от неавторизованного использования при
помощи комбинации механизмов криптографического и физического контроля доступа.
6.2.1 Депонирование ключа электронной подписи
Депонирование ключей ЭП не должно осуществляться ни при каких обстоятельствах.
37
6.2.2 Резервное хранение ключа электронной подписи
Копирование любых ключей ЭП УЦ и пользователей не допускается.
6.2.3 Архивирование ключа электронной подписи
Архивирование ключей ЭП не должно осуществляться ни при каких обстоятельствах.
6.2.4 Метод активации ключа электронной подписи
Активация ключа ЭП должна осуществляться после введения пароля. Ввод активационных
данных должен быть защищен от вскрытия, вводимые данные не должны отображаться на экране.
6.2.5 Метод деактивации ключа электронной подписи
Ключи ЭП после активации не должны оставляться без присмотра или иным образом
открытыми для неавторизованного доступа. После использования они должны быть
деактивированы, например, посредством ручного выполнения процедуры выхода или по истечении
определенного времени отсутствия активности со стороны владельца. Ключевые носители, не
находящиеся в данный момент в использовании, должны быть изъяты и помещены в надежное
место хранения.
После деактивации ключей они должны быть удалены из памяти, перед тем как память будет
освобождена. Любые места на дисковых накопителях, где были сохранены ключи, должны быть
перезаписаны, перед тем как данные места освободятся для использования операционной
системой.
После деактивации ключи ЭП должны храниться только в зашифрованном виде.
6.2.6 Метод уничтожения ключа электронной подписи
После завершения использования ключа ЭП он должен быть удален с ключевого носителя
средствами применяемого СКЗИ «КриптоПро CSP»версии 3.6, либо весь ключевой носитель с
записанным на нем ключом ЭП должен быть уничтожен в установленном порядке (см. документ
«Порядок обращения с СКЗИ и ключевыми документами» из состава рабочей документации на УЦ
Росфинмониторинга).
6.3 Иные аспекты управления ключевой парой
6.3.1 Сроки действия ключей и сертификатов
6.3.1.1 Сроки действия ключей и сертификатов уполномоченного лица УЦ
Срок действия ключа ЭП уполномоченного лица УЦ, соответствующего сертификату ключа
проверки электронной подписи, владельцем которого он является, составляет пять лет.
Начало периода действия ключа ЭП уполномоченного лица УЦ исчисляется с даты и времени
начала действия соответствующего сертификата ключа проверки электронной подписи.
Срок действия ключа проверки ЭП уполномоченного лица УЦ устанавливается равным сроку
действия сертификата ключа проверки электронной подписи и составляет пять лет.
6.3.1.2 Сроки действия ключей и сертификатов Администраторов и Операторов УЦ
Срок действия ключей
ЭП Администраторов и Операторов УЦ, соответствующих
сертификатам ключей проверки электронной подписи, владельцем, которого они являются,
составляет один год.
Начало периода действия ключа проверки ЭП исчисляется с даты и времени начала действия
соответствующего сертификата ключа проверки электронной подписи.
38
Срок действия ключа проверки ЭП устанавливается равным сроку действия сертификата
ключа проверки электронной подписи и составляет один год.
6.3.1.3 Сроки действия ключей и сертификатов пользователей
Срок действия ключа ЭП пользователя, соответствующего сертификату ключа проверки
электронной подписи, владельцем которого он является, составляет один год.
Начало периода действия ключа ЭП пользователя исчисляется с даты и времени начала
действия соответствующего сертификата ключа проверки электронной подписи.
Срок действия ключа проверки ЭП пользователя устанавливается равным сроку действия
сертификата ключа проверки электронной подписи и составляет один год.
6.4 Контроль защищенности вычислительной техники
6.4.1 Технические требования по компьютерной безопасности
Технические средства УЦ включают следующую функциональность:
-контроль доступа к сервисам УЦ и ролям УЦ;
-идентификация и аутентификация ролей УЦ и соответствующих членов группы
Администраторов;
-криптографическая защита передаваемых сообщений и базы данных;
-архивирование данных пользователей и аудита УЦ;
-аудит событий, относящихся к обеспечению безопасности;
-механизмы резервного копирования и восстановления системы УЦ.
Данная функциональность может предоставляться средствами ОС или комбинацией средств
ОС, ПО УЦ, СЗИ и физических средств обеспечения безопасности.
6.4.2 Класс используемых СКЗИ
В УЦ используются СКЗИ класса КС2.
6.5 Контроль защищенности на протяжении жизненного цикла
6.5.1 Контроль управления безопасностью
Для управления безопасностью УЦ персонал УЦ руководствуется следующими правилами:
-оборудование УЦ не должно иметь установленных приложений или компонент ПО, не
являющихся частью конфигурации УЦ;
-обновление оборудования УЦ должно производиться доверенным и подготовленным
персоналом.
6.6 Контроль защищенности сетевой среды
Защита конфиденциальной информации, передаваемой между программно-техническими
средствами обеспечения деятельности УЦ и программными средствами, предоставляемыми УЦ
пользователям УЦ, в процессе обмена документами в электронной форме, осуществляется путем
шифрования информации с использованием шифровальных (криптографических) средств,
сертифицированных в соответствии с действующим законодательством Российской Федерации.
В качестве шифровальных (криптографических) средств пользователей УЦ, используемых для
защиты конфиденциальной информации, используется средство ЭП пользователя УЦ.
Защита
программно-технических
средств
обеспечения
деятельности
УЦ
от
несанкционированного доступа по внешним сетевым соединениям осуществляется путем
использования межсетевого экрана.
39
Удаленный доступ к УЦ должен быть защищен с использованием протокола безопасного
соединения.
6.7 Использование меток доверенного времени
Доверенные метки времени используются при создании ЭП электронных документов для
обеспечения уникальности электронного документа во времени. Метка доверенного времени
позволяет утверждать, что данный документ существовал или, например, был подписан до
указанного момента времени, и не был с тех пор изменен.
Для формирования доверенных меток времени используется СДВ, входящая в состав
компонент УЦ.
Создание меток доверенного времени должно осуществляться в соответствие с протоколом
TSP (TimeStampingProtocol).
40
7 Структуры сертификатов и списка аннулированных
сертификатов
7.1 Структура сертификата
УЦ издает сертификаты пользователей УЦ и Уполномоченного лица УЦ в электронной форме
формата X.509 версии 3. В таблицах ниже (Таблица 4, Таблица 5) определены основные и
дополнительные поля, которые должны присутствовать в сертификате.
Таблица 4 – Основные поля сертификата
Наименование поля
Signature
Issuer
Validity
Subject
PublicKey
Version
SerialNumber
Комментарий
ЭП пользователя УЦ
Идентификационные данные пользователя УЦ
Даты начала и окончания срока действия сертификата
Идентификационные данные владельца сертификата
Значение ключа проверки ЭП
Версия сертификата формата X.509 – версия 3
Уникальный
серийный
(регистрационный)
номер
сертификата
Таблица 5 – Дополнительные поля сертификата ключа проверки подписи
Наименование поля
Комментарий
authorityKeyIdentifier
subjectKeyIdentifier
ExtendedKeyUsage
СRLDistributionPoint
KeyUsage
CertificatePolicies
Идентификатор ключа пользователя УЦ
Идентификатор ключа владельца сертификата
Область (области) использования ключа
Точка распространения САС, изданных УЦ
Назначение ключа
Сведения о классе средств ЭП владельца сертификата
Шаблон сертификата приведен в Приложении 6 к настоящему Регламенту.
7.1.1 Объектные идентификаторы алгоритма
УЦ поддерживает следующие алгоритмы:
Диффи-Хеллмана
1.2.643.2.2.99
ГОСТ Р 34.10-2001
1.2.643.2.2.19
Диффи-Хеллмана
1.2.643.2.2.98
ГОСТ Р 34.11-94
1.2.643.2.2.9
ГОСТ 28147-89
1.2.643.2.2.21
7.2 Структура списка аннулированных сертификатов
УЦ издает САС в электронной форме формата X.509 версии 2. В таблице (Таблица 6)
определены основные атрибуты, которые должны присутствовать в САС.
Таблица 6 – Основные атрибуты САС
Наименование поля
Version
SignatureAlgorithm
Issuer
ThisUpdate
Комментарий
X.509 ver.2
Идентификатор алгоритма, используемого УЦ для подписания САС
Идентификационные данные Уполномоченного лица УЦ
Дата издания САС
41
Наименование поля
NextUpdate
RevokedCetificates
Комментарий
Дата следующего издания САС
Список серийных номеров аннулированных сертификатов
7.3 Структура OCSP
Структура запроса OCSP включает следующее:
-версия;
-наименование клиентского приложения, отправившего запрос (необязательное);
-список запросов (необязательное);
-дополнения (необязательное).
Список запросов является последовательностью запросов на получение статуса отзыва со
следующей структурой:
-идентификатор сертификата, статус которого запрашивается;
-дополнения (необязательное).
Идентификатор сертификата имеет следующую структуру:
-идентификатор алгоритма хэширования;
-значение хэш-функции имени издателя;
-значение хэш-функции ключа проверки ЭП издателя;
-серийный номер сертификата.
Дополнительно в структуру запроса может быть включена ЭП пользователя со следующей
структурой:
-алгоритм подписи;
-значение подписи;
-цепочка сертификатов (необязательное).
Структура ответа OCSP включает следующее:
-статус операции и информация об ошибке (все последующие поля содержатся только
в случае успешного выполнения запроса);
-тип OCSP-ответа;
-версия;
-идентификатор сервера выдавшего ответ;
-идентификатор сертификата;
-время выдачи ответа;
-список ответов;
-дополнения (необязательное);
-идентификатор алгоритма подписи;
-значение подписи;
-цепочка сертификатов (необязательное).
Статус выполнения запроса может быть:
-успешный;
-неправильно сформированный запрос;
-внутренняя ошибка сервера;
-не используется;
-требуется подпись;
-не удалось авторизовать клиента.
42
7.4 Структура TSP
Структура запроса TSP включает следующее:
-значение хэш-функции от документа, на который запрашивается штамп времени
(здесь обязательно указывается, какой именно алгоритм хэширования используется);
-идентификатор OID политики запрашиваемого штампа (необязательно);
-Nonce – случайное число, идентифицирующее данную транзакцию протокола TSP
(необязательно);
-дополнения (extensions) – является необязательным параметром и включает
дополнительные атрибуты запроса.
Идентификатор политики определяет, по какой политике должен быть выдан штамп времени.
Политики штампов времени задаются сервером штампов времени и устанавливают набор правил,
по которым выдаются штампы времени, а также области их применения.
Поле nonce позволяет клиенту проверить своевременность полученного ответа, в котором
сервер штампов времени должен разместить то же самое значение nonce, которое было в запросе.
Структура ответа TSP включает следующее:
-статус операции и информация об ошибке;
-штамп времени (если статус успешный).
Штамп времени включает:
-значение хэш-функции от документа, на который выдан штамп времени (здесь
обязательно указывается, какой именно алгоритм хэширования используется);
-идентификатор OID политики штампа;
-время выдачи штампа времени;
-точность времени;
-признак строгой упорядоченности штампов (ordering);
-Nonce – случайное число, идентифицирующее данную транзакцию протокола TSP
(совпадает с соответствующим полем запроса);
-дополнения (extensions) (необязательно).
43
8 Компрометация ключей
8.1 Компрометация ключей пользователя УЦ
При компрометации или подозрении пользователя УЦ на компрометацию собственного ключа
ЭП пользователь должен:
-уведомить Администратора УЦ по телефону о необходимости аннулирования
сертификата (для аутентификации пользователь УЦ должен использовать кодовую фразу, выданную
Администратором УЦ при регистрации);
-предоставить Администратору УЦ заявление на аннулирование сертификата,
подписанное пользователем УЦ.
Администратор УЦ:
-выполняет процедуру аннулирования сертификата (по звонку от пользователя УЦ);
-публикует аннулированный сертификат в списке аннулированных сертификатов.
8.2 Компрометация ключей Уполномоченного лица УЦ
При компрометации, подозрении на компрометацию ключа ЭП Уполномоченного лица УЦ
Администратор УЦ:
-останавливает работу УЦ и оповещает всех пользователей УЦ о приостановке
деятельности УЦ;
-формирует новый ключ
ЭП
и соответствующий ему ключ проверки
ЭП
Уполномоченного лица УЦ;
-изготавливает сертификат и подписывает его электронной подписью с использованием
нового ключа ЭП ;
-аннулирует старый сертификат Уполномоченного лица и публикует САС, подписанный
на новом ключе ЭП Уполномоченного лица;
-возобновляет работу УЦ;
-участвует в расследовании причин компрометации и вырабатывает предложения по их
устранению при дальнейшей эксплуатации.
44
9 Порядок проведения аудита
9.1 Требования к аудиту
Аудитор УЦ организовывает проверку на предмет соответствия деятельности УЦ требованиям
настоящего Регламента и предоставляет необходимые материалы для проверки. Проверка УЦ
проводится не реже 1 (одного) раза в год.
Допускается привлечение организационно или юридически независимого от УЦ лица,
имеющего необходимые средства, навыки и умения. Решение о проведении внешнего аудита
определяется руководителем УЦ.
Любые расхождения между действиями УЦ и положениями данного Регламента должны быть
доложены лицу, действующему от имени УЦ. Определяются меры и время устранения нарушений.
Меры могут включать следующие процедуры:
-указать на нарушения, но разрешить УЦ продолжать деятельность до следующей
плановой проверки;
-разрешить УЦ продолжать деятельность, обязав в тридцатидневный срок устранить
все нарушения (иначе, деятельность УЦ будет прекращена);
-временно прекратить деятельность УЦ.
Решение о применении конкретного действия должно базироваться на степени тяжести
нарушений и степени возникающих рисков.
Результаты проверки должны быть сообщены УЦ сразу после завершения проверки.
Доведение результатов проверки до пользователей УЦ определяется выявленными нарушениями и
принимаемыми мерами по их устранению.
Необходимые меры должны быть определены и сообщены УЦ в максимально короткие сроки
для снижения возникших рисков. Для определения эффективности предпринимаемых мер может
быть назначена дополнительная проверка.
9.2 Темы аудита
Область вопросов, рассматриваемая при проведении аудита:
-физическая безопасность УЦ;
-идентификация и аутентификация;
-безопасность программно-аппаратных средств;
-безопасность обслуживающего персонала УЦ;
-ведение журналов событий и мониторинга системы;
-процедуры резервного копирования.
45
10 Правоотношения субъектов Регламента
10.1 Деятельность Удостоверяющего центра
УЦ имеет право:
-проверять сведения, указанные в заявлениях участников информационной системы на
регистрацию;
-отказать в предоставлении услуг по регистрации субъектов в случае нарушения ими
требований настоящего Регламента;
-отказать в изготовлении сертификата ключа проверки электронной подписи
пользователям в случае нарушения ими требований настоящего Регламента;
-отказать в предоставлении услуг по регистрации и/или в изготовлении сертификата
ключа проверки электронной подписи пользователям не направляющим в Росфинмониторинг
сообщения об операциях с денежными средствами или иным имуществом или направляющим ниже
порогового значения, установленного Росфинмониторингом;
-аннулировать сертификаты уполномоченного лица УЦ, сертификаты ключей проверки
электронной подписи пользователей в случае нарушения конфиденциальности ключа ЭП, в том
числе и без соответствующего заявления со стороны владельца сертификата ключа проверки
электронной подписи.
УЦ обязан:
-публиковать настоящий Регламент;
-создавать ключи ЭП, ключи проверки ЭП и сертификаты ключей проверки
электронной подписи по обращению пользователей с гарантией сохранения в тайне ключей ЭП ;
-аннулировать сертификаты ключей проверки электронной подписи по обращению их
владельцев;
-вести реестр сертификатов ключей проверки подписей, обеспечивать его актуальность
и возможность свободного доступа к нему пользователей;
-вести реестр аннулированных сертификатов, обеспечивать его актуальность и
возможность свободного доступа к нему пользователей и прочих субъектов;
-обеспечивать уникальность ключей проверки ЭП в издаваемых сертификатах ключей
проверки электронной подписи;
-выдавать сертификаты ключей проверки электронной подписи в форме документов на
бумажных носителях и (или) в форме электронных документов с информацией об их действии;
-осуществлять по обращениям пользователей подтверждение подлинности ЭП в
электронном документе в отношении выданных им сертификатов ключей проверки электронной
подписи;
-уничтожать сертификаты ключей проверки электронной подписи по истечению срока
их архивного хранения.
Администратор УЦ обязан:
-выполнять распоряжения и указания вышестоящего руководства;
-организовать техническое обслуживание вычислительной техники в соответствии с
эксплуатационной документацией;
-выполнять требования по защите информации ограниченного распространения, хранить
государственную и иную охраняемую законом тайну, а также не разглашать ставшие ему
известными в связи с исполнением должностных обязанностей сведения, в том числе
затрагивающие частную жизнь, честь и достоинство граждан;
Оператора УЦ обязан:
-выполнять распоряжения и указания вышестоящего руководства;
-выполнять все операции по генерации ключей и выдаче сертификата ключа проверки
ЭП пользователю УЦ;
-обеспечить хранение ключа ЭП, предназначенного для подписания заявлений на
изготовление сертификатов ключей проверки ЭП, в условиях, исключающих возможность его
компрометации;
46
-выполнять требования по защите информации ограниченного распространения,
хранить государственную и иную охраняемую законом тайну, а также не разглашать ставшие ему
известными в связи с исполнением должностных обязанностей сведения, в том числе
затрагивающие частную жизнь, честь и достоинство граждан;
10.2 Деятельность пользователей
Пользователь имеет право:
-обращаться в УЦ с запросом на формирование новой ключевой пары и сертификата
ключа проверки электронной подписи;
-обращаться в УЦ с запросом на аннулирование сертификата ключа проверки
электронной подписи до истечения срока его действия;
-обращаться в УЦ с запросом на выдачу в электронной форме сертификатов ключей
проверки электронной подписи других пользователей, находящихся в реестре изготовленных
сертификатов;
-обращаться в УЦ с запросом на выдачу в электронной форме реестра аннулированных
сертификатов;
-обращаться в УЦ с запросом на проверку подлинности ЭП уполномоченного лица УЦ
в изготовленных им сертификатах ключей проверки электронной подписи;
-обращаться в УЦ с запросом на проверку подлинности ЭП под электронным
документом в отношении выданного УЦ сертификата ключа проверки электронной подписи.
Пользователь обязан:
-выразить согласие с положениями настоящего Регламента и следовать ему;
-предоставлять в УЦ достоверные сведения о себе в объеме, определенном
положениями настоящего Регламента;
-обеспечивать сохранение в тайне своих ключей ЭП и принимать все возможные меры
для предотвращения их потери, раскрытия, модифицирования или несанкционированного
использования;
-использовать
ключи
и
сертификаты
только
для
целей,
разрешенных
соответствующими дополнениями сертификата и настоящим Регламентом;
-немедленно уведомлять УЦ о возможной компрометации своего ключа ЭП способом,
описанным в настоящем Регламенте.
10.3 Ответственность
10.3.1 Отказ от гарантий и обязательств
УЦ в соответствии с законодательством Российской Федерации несет ответственность за
вред, причиненный третьим лицам в результате:
- неисполнения или ненадлежащего исполнения обязательств, вытекающих из договора об
информационном взаимодействии, удостоверяющим центром;
- неисполнения или ненадлежащего исполнения обязанностей, предусмотренных
Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи".
Требования к УЦ ограничиваются указанием на несоответствие его действий настоящему
Регламенту.
10.4 Контроль за соблюдением Регламента
Положения настоящего Регламента должны рассматриваться в соответствии с нормативными
документами по информационной безопасности и законами Российской Федерации.
Любые разногласия в отношении управления ключами и сертификатами должны разрешаться
посредством соответствующего механизма урегулирования споров. По возможности разногласия
должны разрешаться путем совместных переговоров. В случаях когда договоренность не
47
достигается, спорная ситуация разрешается в судебном порядке в соответствии с законами
Российской Федерации.
48
11 Порядок разбора конфликтных ситуаций
Применение электронной подписи в автоматизированной системе может приводить к
конфликтным ситуациям, заключающимся в оспаривании сторонами (участниками системы)
авторства и/или содержимого документа, подписанного ЭП.
Разбор конфликтной ситуации заключается в доказательстве подлинности ЭП конкретным
участником системы под конкретным электронным документом.
Данный разбор основывается на математических свойствах алгоритма ЭП, реализованного в
соответствии со стандартами Российской Федерации ГОСТ Р 34.10-94 и ГОСТ Р 34.10-2001,
гарантирующими невозможность подделки значения ЭП любым лицом, не обладающим ключом
ЭП.
Разбор конфликтной ситуации выполняется комиссией, состоящей из представителей сторон и
уполномоченных лиц УЦ.
Разбор конфликтной ситуации выполняется по
автоматизированной системы и состоит из:
-предъявления претензии одной стороны другой;
-формирования комиссии;
-разбора конфликтной ситуации;
-принятия решения.
инициативе
любого
участника
Разбор конфликтной ситуации проводится на АРМРКС для электронного документа, авторство
или содержание которого оспаривается. АРМ РКС позволяет проверять подпись электронных
документов, сформированных в двух различных форматах:
-сообщение отдельно от подписи;
-сообщение в одном файле с подписью, соответствующем стандарту PKCS#7 Signed.
Проверка подписанного электронного документа включает в себя выполнение следующих
действий:
-определение сертификата ключа проверки ЭП необходимого для проверки ЭП ;
-проверка ЭП электронного документа с использованием сертификата ключа проверки
ЭП ;
-проверка ЭП сертификата проверки электронной подписи ключа;
-проверка действительности сертификата ключа проверки электронной подписи на
момент времени, указанный предъявляющей претензии стороной;
-проверка отсутствия сертификатов ключей проверки электронной подписи в списке
аннулированных сертификатов на момент времени, указанный предъявляющей претензии стороной.
Протокол проверки ЭП, формируемый указанной программой, является основным документом
работы комиссии и должен быть подписан всеми членами комиссии.
При положительном результате проверки ЭП документа, верификации сертификата ключа
проверки электронной подписи, отсутствии сертификата открытого ключа в списке отозванных
сертификатов авторство подписи под документом считается установленным.
Примечание — Система криптографической защиты информации позволяет выполнять
проверку значения ЭП в течение установленного в системе срока хранения сертификатов ключей
проверки электронной подписи.
49
Приложение 1
Приложение №1
к
Регламенту,
утвержденного
приказом Росфинмониторинга
от__________________ № ______
Форма регистрационной карточки абонента
Форма 3-УЦ / 01 регистрационной карточки абонента приведена отдельным файлом.
Рег карта.xls
50
51
52
Приложение 2
А
Приложение №2А
к
Регламенту,
утвержденного
приказом Росфинмониторинга
от__________________ № ______
Форма заявления на регистрацию сотрудника в Удостоверяющем
центре Росфинмониторинга и/или изготовление сертификата ключа
подписи
№
ФОРМА 3-УЦ/01-Р
Заполняется в УЦ
Ид. №
Начальнику Управления
________________________________
И.О. Фамилия
Дата
Заявка
Заявление на регистрацию сотрудника
в Удостоверяющем центре Росфинмониторинга и/или
изготовление сертификата ключа подписи
В целях:
регистрации в УЦ Росфинмониторинга и первичного получения
криптографических ключей
плановой замены криптографических ключей
замены криптографических ключей в связи с изменением принадлежности
замены скомпрометированных криптографических ключей
замена вышедших из строя ключевых носителей
прошу зарегистрировать меня в Удостоверяющем центре Росфинмониторинга, сформировать
ключи электронной подписи и ключи проверки электронной подписи для использования в системе
электронного документооборота Росфинмониторинга с указанием в сертификате ключа проверки
электронной подписи следующих идентификационных данных.
CommonName (CN):
СНИЛС:
Ключевая фраза
Фамилия:
Имя:
Отчество:
Руководитель
структурного подразделения
Должность сотрудника Росфинмониторинга
И.О. Фамилия
И.О. Фамилия
53
Приложение 2Б
Приложение №2Б
к
Регламенту,
утвержденного
приказом Росфинмониторинга
от__________________ № ______
Форма заявления на изготовление сертификата ключа
электронной подписи, требующегося для работы устройств и
программных приложений
№
ФОРМА 3-УЦ/01-О
Заполняется в УЦ
Ид. №
Дата
Начальнику Управления
________________________________
И.О. Фамилия
Заявка
Заявление на изготовление сертификата ключа электронной подписи,
требующегося для работы устройств и программных приложений
В целях:
регистрации в УЦ Росфинмониторинга и первичного получения
криптографических ключей
плановой замены криптографических ключей
замены криптографических ключей в связи с изменением принадлежности
замены скомпрометированных криптографических ключей
замена вышедших из строя ключевых носителей
прошу изготовить сертификат ключа проверки электронной подписи на юридическое лицо,
сформировать ключи электронной подписи и ключи проверки электронной подписи для
использования
в
______________________________________________________________
с
указанием в сертификате ключа проверки электронной подписи следующих идентификационных
данных.
CommonName (CN):
Ключевая фраза
Ответственность
за
использование
и
хранение
ключевых
документов
возлагаю
_______________________________________________________________________________________
на
(фамилия, имя, отчество)
___________________________________________________________________________________________
(структурное подразделение, должность)
Руководитель
структурного подразделения
И.О. Фамилия
Приложение №3
54
к
Регламенту,
утвержденного
приказом Росфинмониторинга
от__________________ № ______
Шаблон акта приема-передачи криптографических ключей
Настоящий Акт составлен между Федеральной службой по финансовому мониторингу в лице
_____________________________________________________________________________________
с одной стороны, и _____________________________________________ являющегося полномочным
представителем организации ___________________________________________________, с другой
стороны, о том, что полномочному представителю организации переданы криптографические ключи
и документы к ним.
Состав и содержимое пакета проверен и соответствует описи вложения.
Настоящий акт составлен в 2-х (двух) экземплярах, имеющих одинаковую юридическую силу.
Один экземпляр настоящего акта хранится в УЦ Росфинмониторинга, другой – в организации
представителя.
от УЦ Росфинмониторинга
________________________________
(должность)
от Организации
______________________________________
(должность)
_____________________ / И.О. Фамилия /
(подпись)
м.п.
__________________________/ И.О. Фамилия /
(подпись)
м.п.
55
Приложение 3
Приложение №4
к
Регламенту,
утвержденного
приказом Росфинмониторинга
от__________________ № ______
Шаблон доверенности на представление интересов пользователя в
УЦ Росфинмониторинга
ДОВЕРЕННОСТЬ №______
Я,
Дата выдачи
«___»__________ 20__ г.
(Ф.И.О.)
ДОВЕРЯЮ
(Должность, название организации)
(Ф.И.О.)
Паспорт
(Серия)
Кем выдан
Дата выдачи
(Должность, название организации)
(Номер)
Получить пакет документов, содержащий сформированные для меня ключи электронной
подписи, сертификат ключа проверки электронной подписи, бумажный носитель с кодовой фразой,
бумажный носитель с ПИН-кодом, бумажный носитель с копией сертификата ключа проверки
электронной подписи.
Представитель наделяется правом расписываться в соответствующих документах для
исполнения поручений, определенных настоящей доверенностью.
Настоящая доверенность действительна по «____» _______________ 20___ г.
Подпись лица, получившего доверенность
(подпись)
(Фамилия и инициалы)
УДОСТОВЕРЯЮ
(Должность руководителя, название организации)
М.П.
«___» _______________ 20__ г.
(подпись)
(Фамилия и инициалы)
56
Приложение 4
Приложение №5
к
Регламенту,
утвержденного
приказом Росфинмониторинга
от__________________ № ______
Шаблон заявления на аннулирование сертификата
Начальнику Управления
________________________________
И.О. Фамилия
от ______________________________________
(Ф.И.О.)
_______________________________________
(должность)
ЗАЯВЛЕНИЕ
Прошу аннулировать сертификат ключа проверки электронной подписи серийный
№ ________________, выданный на имя __________________________________________________
_____________________________________________________________________________________.
Причина аннулирования сертификата (отметить необходимое):
компрометация или подозрение на компрометацию ключа электронной подписи
изменение идентифицирующей информации или атрибутов в сертификате пользователя
увольнение владельца сертификата
окончание срока действия ключа электронной подписи
минование необходимости использования электронной подписи
невыполнение владельцем сертификата обязательств, изложенных в данном Регламенте
«___»______________20__ г.
(дата)
(подпись)
______________________
57
Приложение 5
Приложение №6
к
Регламенту,
утвержденного
приказом Росфинмониторинга
от__________________ № ______
Шаблон сертификата ключа проверки электронной подписи
Удостоверяющий Центр Федеральной службы по финансовому мониторингу
Сертификат ключа проверки электронной подписи
Сведения о сертификате:
Кому выдан:
XXXXX XXXXXXX XXXXXXX
Кем выдан:
УЦ Росфинмониторинга
Действителен с XXXXXXXXXXXXXXXXXX UTC по XXXXXXXXXXXXXXXXXX UTC
Версия: 3 (0x2)
Серийный номер: XXXXXXXXXXXXXXXX
Издатель сертификата: CN = УЦ Росфинмониторинга, O = Росфинмониторинг, L = Москва, C = RU, E = uc@fedsfm.ru, ИНН =
007708234633, ОГРН = 1047708022548
Срок действия:
Действителен с: XXXXXXXXXXXXXXXXXX UTC
Действителен по: XXXXXXXXXXXXXXXXXX UTC
Владелец сертификата: T = XXXXXXX, CN = XXXXX XXXXXX XXXXXX, OU = УЭИС, O = XXXXXXXXX, L = XXXXX, S = XXX XXXXXXX, C =
RU, E = uc@fedsfm.ru, ИНН = XXXXXXXXXXXX, ОГРН = XXXXXXXXXXXXX, СНИЛС = XXXXXXXXXXXX
Ключ проверки электронной подписи:
Алгоритм ключа проверки электронной подписи:
Название: ГОСТ Р 34.10-2001
Идентификатор: 1.2.643.2.2.19
Параметры: XXXXXXXXXXXXXXXXXXXXXXXXXXXX
Значение: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Расширения сертификата X.509
1. Расширение 2.5.29.15 (критическое)
Название: Использование ключа
Значение: Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных (f0)
2. Расширение 2.5.29.37
Название: Улучшенный ключ
Значение: Защищенная электронная почта (1.3.6.1.5.5.7.3.4) Пользователь службы штампов времени (1.2.643.2.2.34.25) Пользователь
Центра Регистрации, HTTP, TLS клиент (1.2.643.2.2.34.6) Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)
3. Расширение 2.5.29.14
Название: Идентификатор ключа субъекта
Значение: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
4. Расширение 2.5.29.35
Название: Идентификатор ключа центра сертификатов
Значение: Идентификатор ключа=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX Поставщик сертификата: Адрес каталога: CN=УЦ
Росфинмониторинга O=Росфинмониторинг L=Москва C=RU E=uc@fedsfm.ru ИНН=007708234633 ОГРН=1047708022548 Серийный номер
сертификата=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
5. Расширение 2.5.29.31
Название: Точки распространения списков отзыва (CRL)
Значение: [1]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя: URL=http://rfm-ra/ra/cdp/crlrosfinmonitoring.crl [2]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя:
URL=http://192.168.15.20/ra/cdp/crl-rosfinmonitoring.crl [3]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное
имя: URL=http://fedsfm.ru/uc/crl-rosfinmonitoring.crl
6. Расширение 2.5.29.16
Название: Период использования закрытого ключа
Значение: Действителен XXXXXXXXXXXXXXXXXX Действителен пXXXXXXXXXXXXXXXXXX
7. Расширение 2.5.29.32
Название: Политики сертификата
Значение: [1]Политика сертификата: Идентификатор политики=Класс средства ЭП КС1 [2]Политика сертификата: Идентификатор
политики=Класс средства ЭП КС2
8. Расширение 1.2.643.100.111
Название: Средство электронной подписи владельца
Значение: Средство электронной подписи: КриптоПро CSP (версия 3.6)
9. Расширение 1.2.643.100.112
Название: Средства электронной подписи и УЦ издателя
Значение: Средство электронной подписи: "КриптоПро CSP" (версия 3.6) Заключение на средство ЭП: Сертификат соответствия №
СФ/121-1859 от 17.06.2012 Средство УЦ: "Удостоверяющий центр "КриптоПро УЦ" версии 1.5 Заключение на средство УЦ: Сертификат
соответствия № СФ/128-1822 от 01.06.2012
Подпись Удостоверяющего центра:
Алгоритм подписи:
Название: ГОСТ Р 34.11/34.10-2001
Идентификатор: 1.2.643.2.2.3
Значение: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Подпись владельца сертификата: ___________/_______________
58
"___" ________ 20__ г.
Подписанный бланк сертификата ключа проверки электронной подписи следует переслать по адресу:
111111, Москва, ул. ХХХХХХХХ, д.ХХ. XXXXXXXXXXXXXXXXXXXX
Администратору информационной безопасности.
М. П.
59
Лист регистрации изменений
Изм.
Всего
листов
№
№приказа и дата
(страниц) докум.
изменен. заменен. новых аннулир. в докум.
Номера листов (страниц)
Подп.
Дата
