Договор - Кордон

Договор
об оказании услуг электронного документооборота
с ФНС России, ПФР, органами Гос.Статистики.
г. Ростов-на-Дону
в лице
, действующего на основании
, с одной стороны, именуемое в дальнейшем «Пользователь» и
ООО «Кордон» в лице генерального директора Гаврилова Михаила Васильевича, действующего на основании Устава ,
именуемое в дальнейшем «Специализированный оператор связи», и вместе именуемые Стороны, заключили настоящий
Договор о нижеследующем:
1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
1.1 Пользователь Системы (в дальнейшем Заказчик) – являющийся налогоплательщиком - есть участник
информационного обмена электронными документами, ознакомленный на момент заключения настоящего
Договора с «Регламентом использования средств криптографической защиты информации при обмене
электронными документами в системе сдачи отчетности налогоплательщиками в электронном виде» (в
дальнейшем Регламент), признает Регламент и обязуется его выполнять.
1.2 Регламент – «Регламент использования средств криптографической защиты информации при обмене
электронными документами в системе сдачи отчетности налогоплательщиками в электронном виде» - это
документ, отражающий организационные аспекты обмена электронными документами в Системе передачи и
приема бухгалтерской и статистической отчетности, налоговых деклараций и сведений в ПФР поступающих от
абонентов в электронном виде по каналам связи ( Приложением № 3 к настоящему Договору).
Регламент является обязательным для исполнения всеми участниками Системы. Регламент публикуется на сайте
Исполнителя в Интернете по адресу: http://kordon-nalog.ru/
1.3 Система – это автоматизированная информационная система передачи и приема бухгалтерской и
статистической отчетности, сведений в ПФР, налоговых деклараций, поступающих от абонентов в электронном
виде по каналам связи.
1.4 ПО СКЗИ – сертифицированное средство криптографической защиты информации – программное
обеспечение «КриптоПро CSP».
1.5 Модуль Пользователя – программное обеспечение «Система «Электронная отчетность», предназначенное для
работы Пользователя в Системе, разработанное ООО «Компанией «Тензор»
1.6 Специализированный оператор связи (в дальнейшем Исполнитель) – юридическое лицо, предоставляющее, на
основании: договора с УФНС по Ростовской области № 01 от 01.12.2008 года, соглашения с территориальным
органом Федеральной службы государственной статистики по Ростовской области (Ростовстат) № 6-08 от
01.12.2008года, соглашение с Отделением ПФР по Ростовской области №18/055 от 02.06.2008г., услуги по
обмену открытой и конфиденциальной информацией между налоговыми органами, Ростовстат, ПФР и
абонентами Системы.
2. ПРЕДМЕТ ДОГОВОРА
2.1 По настоящему договору Исполнитель (на основании Лицензионного договора между ООО «Кордон» и ООО
«Тензор Электронная Отчетность», и ООО «Крипто-Про»), обязуется осуществить поставку Заказчику
неисключительные права на ПО СКЗИ и Модуля Пользователя:
-ПО с лицензионными соглашениями и эксплуатационной документацией записываются на жесткий
магнитный диск (HDD) Заказчика и дают право на использование изготовленного и введенного в
гражданский оборот экземпляра ПО СКЗИ и Модуля Пользователя согласно «Пользовательского
лицензионного соглашения»;
- выполнить работы и оказать услуги по подключению Заказчика к Системе в соответствии со Сметой
стоимости ПО, работ и услуг ( Приложением № 1 к настоящему Договору).
2.2 Права на использования которые передает Исполнитель Заказчику указываются сторонами в Акте передачи
прав, который подписывается обеими сторонами договора.
2.3 Заказчик обязуется оплатить оказанные ему услуги в соответствии с разделом 4 настоящего Договора.
3. ПРАВА И ОБЯЗАННОСТИ СТОРОН
3.1. Исполнитель обязан:
3.1.1. Выполнить работы и оказать услуги Заказчику в соответствии с разделами. 5, 7 настоящего Договора и
Приложениями к настоящему Договору.
3.1.2. Соблюдать положения Регламента, иных нормативных и ненормативных актов, регламентирующих работу
в Системе, в соответствии с действующим законодательством Российской Федерации.
3.2. Исполнитель имеет право:
3.2.1. Совместно с отделом внутренней безопасности и защиты информации УФНС РФ по Ростовской области,
отделением ПФР по Ростовской области осуществлять контроль за соблюдением правил работы с ПО СКЗИ
Заказчиком.
3.3. Заказчик обязан:
3.3.1. Передать Исполнителю Заявку на поставку ПО СКЗИ и изготовление сертификатов ключей электронной
цифровой подписи. Заявка должна быть заверена надлежащим образом руководителем Заказчика;
3.3.2. Оплатить работы и услуги, предоставленные Исполнителем в соответствии с разделом 4 настоящего
Договора;
3.3.3. Соблюдать положения Регламента, иных нормативных и ненормативных актов, регулирующих работу в
Системе, в соответствии с действующим законодательством Российской Федерации.
3.3.4. Подготовить и поддерживать в рабочем состоянии ПЭВМ и ПО , предназначенные для работы в Системе, в
соответствии с Приложением №2 к настоящему Договору.
3.3.5. Сообщить Исполнителю в случае изменения сведений о Заказчике, содержащихся в Заявке в соответствии с
п.п. 3.3.1. настоящего Договора в течение срока действия сертификата ключа электронной цифровой подписи
(далее ЭЦП) Заказчика, в срок не позднее 3 (трех) рабочих дней с момента возникновения указанных
изменений.
3.3.6. Соблюдать правила пользования ПО СКЗИ, содержащиеся в эксплуатационной документации ПО СКЗИ и
Модуля Пользователя.
3.3.7. Использовать предоставленные по настоящему Договору ПО СКЗИ и Модуль Пользователя в соответствии
с требованиями лицензионных соглашений (поставляются в электронном виде Заказчику).
3.3.8. В случае возникновения неисправностей в работе ПО СКЗИ Заказчик в течение гарантийного срока в
соответствии с разделом 7 настоящего Договора подать Исполнителю Заявку на устранение неисправностей.
3.3.9. Соблюдать исключительные авторские права Исполнителя и ООО «Компанией «Тензор» (далее - авторы
ПО) на разработанное ими ПО, в том числе не осуществлять продажу или отчуждение иным способом
другим физическим или юридическим лицам без письменного согласия авторов ПО, а также запрещается
использовать ПО СКЗИ вне территории Российской Федерации.
3.3.10. Использовать предоставленный по настоящему Договору Модуль Заказчика только в рамках Системы.
3.3.11. Осуществлять обмен электронными документами в Системе только с соответствующими Инспекциями
ФНС РФ, УПФР, Ростовстат и Исполнителем.
3.4. Заказчик имеет право:
3.4.1. Заказчик вправе обратиться к Исполнителю за предоставлением иных услуг, связанных с использованием
ЭЦП.
4. ЦЕНА ДОГОВОРА И ПОРЯДОК РАСЧЕТА
4.1. Стоимость выполненных работ и оказанных услуг Исполнителя по настоящему договору определяется
согласно Смете стоимости ПО, работ и услуг в соответствии (Приложением № 1 к настоящему Договору).
Исполнитель составляет Смету стоимости ПО, работ и услуг согласно Прейскуранту цен Исполнителя
(публикуется на сайте Исполнителя в Интернете по адресу: http://kordon-nalog.ru/) и согласовывает ее с
Заказчиком. На основании указанной сметы Исполнитель выставляет Заказчику счет.
4.1.1 Стоимость изготовленного ключа ЭЦП в первый год его обслуживания соответствует п.2 Сметы стоимости
ПО, работ и услуг (Приложения №1 к настоящему Договору). При пролонгации настоящего договора на новый
срок стоимость изготовленного ключа ЭЦП может изменяться.
4.2. В случае изменения ставки налогов перерасчеты по настоящему Договору производятся по соглашению
Сторон и оформляются Дополнительным соглашением к настоящему Договору.
4.3. В случае выполнения работ и оказания услуг, не предусмотренных настоящим договором, договорные цены
определяются на основании утвержденных Смет Заказчиком и Исполнителем, согласно Прейскуранту цен
Исполнителя (публикуется на сайте Исполнителя в Интернете по адресу: http://kordon-nalog.ru/), являющихся
неотъемлемой частью соответствующих Дополнений к настоящему Договору.
4.4. Расчет за предоставленные ПО, работы, услуги по настоящему Договору производится 100% авансовым
платежом согласно Смете в соответствии с п.п. 4.1. настоящего Договора.
4.5. Расчет за услугу по настоящему договору производится Заказчиком путем перечисления денежных
средств на расчетный счет Исполнителя безналичным платежом в срок не позднее 5 (пяти) банковских дней с
момента выставления Исполнителем счета в соответствии с п.4.1. настоящего Договора
4.6. Аванс возвращается Исполнителем Заказчику при расторжении настоящего Договора по обстоятельствам, за
которые Исполнитель несет ответственность в соответствии с настоящим Договором и действующим
законодательством РФ.
4.7. По договоренности Сторон возможен иной порядок расчета в соответствии с Дополнительным соглашением
к настоящему Договору.
5. ПОРЯДОК ПОДКЛЮЧЕНИЯ ЗАКАЗЧИКА К СИСТЕМЕ
5.1. Подключение Заказчика к Системе и установке ПО СКЗИ осуществляются Исполнителем не позднее 10
рабочих дней с момента получения Заказчиком сертификатов ключей ЭЦП.
5.2. Ключи ЭЦП и Сертификаты ключей ЭЦП изготавливаются в соответствии с Заявкой Заказчика в
удостоверяющем центре Исполнителя в присутствии Заказчика, в согласованные Сторонами день и время, по
адресу: 344090, г. Ростов-на-Дону, ул. Мильчакова 5/2, телефон (863) 299-55-15.
5.3. Моментом подключения Заказчика к Системе считается момент подписания Сторонами Акта приема –
передачи СКЗИ в эксплуатацию в соответствии с разделом 6 настоящего Договора.
6. ПОРЯДОК ПРИЕМКИ - СДАЧИ РАБОТ
6.1. Заказчик обязан принять выполненные Исполнителем работы в соответствии с разделом 5 настоящего
Договора, за исключением случаев, когда он вправе потребовать устранения недостатков в разумный срок или
отказаться от исполнения договора. Работы считаются оконченными и принятыми Заказчиком с момента
подписания Сторонами Акта приема- передачи СКЗИ в эксплуатацию.
6.2. Акта приема- передачи СКЗИ в эксплуатацию подписывается обеими Сторонами.
7. ГАРАНТИЙНОЕ ОБСЛУЖИВАНИЕ
7.1. Гарантийное обслуживание - это услуги, оказываемые Заказчику по техническому и иному обслуживанию
ПО СКЗИ в период указанного в п.п.7.2. настоящего Договора гарантийного срока.
7.2. Гарантийный срок начинает течь с момента подключения Заказчика к Системе в соответствии с разделом 5
настоящего Договора.
7.3. Сроком окончания гарантийного срока является срок окончания действия настоящего Договора.
7.4. В рамках гарантийного обслуживания Исполнитель обязуется:
7.4.1 Обеспечить работоспособность ПО СКЗИ на ЭВМ Заказчика в соответствии с Приложением № 2 к
настоящему Договору;
7.4.2 Обеспечить соответствие алгоритмов работы предоставленного ПО СКЗИ требованиям, предъявляемым
Федеральной налоговой службой РФ при Министерстве финансов РФ к Системам представления налоговых
деклараций и бухгалтерской отчетности в электронном виде по телекоммуникационным каналам связи;
7.4.3 Обеспечить ведение обмена и обработки электронных документов в системе ПФР в соответствии с «
Технологией обмена документами индивидуального (персонифицированного) учета страховых взносов по
телекоммуникационным каналам связи в системе электронного документа оборота Отделением ПФР п
Ростовской области» и «Протокол обмена документами индивидуального (персонифицированного) учета
страховых взносов ТКС в системе электронного документа оборота ПФР».
7.4.4 Обеспечить выполнение «Регламента обеспечения безопасности при защищенном обмене электронными
документами в системе электронного документооборота Отделения ПФР по Ростовской области по ТКС»
7.4.5 Обеспечить право на использование программного обеспечения и доступ к системе электронного документа
оборота для формирования статистической отчетности.
7.4.6 Обеспечить круглосуточную работу почтового сервера Исполнителя;
7.4.7 Консультировать Заказчика по вопросам работы ПО СКЗИ по телефону и электронной почте по рабочим
дням с 9.00 до 18.00 (тел./факс (863) 299-55-15. E-mail: kordon2004@mail.ru,);
7.4.8 Обновление ПО СКЗИ Заказчика производится самим Заказчиком, используя для этого средства Системы;
7.4.9. После подачи Заказчиком Заявки в соответствии с п.п.3.3.1. настоящего Договора, Исполнитель обязуется
устранить возникшее неисправности в работе ПО СКЗИ в течение пяти рабочих дней;
7.4.10. Обеспечить своевременный выезд специалистов к Заказчику для выполнения работ по гарантийному
обслуживанию.
Если Заказчик находится за пределами территории г. Ростова – на – Дону Исполнитель сообщает Заказчику не
позднее, чем за семь дней до начала работ состав командируемых специалистов для бронирования мест в
гостинице или выделения мест в общежитии.
7.12. Устранение неисправностей в работе ПО СКЗИ возникших вследствие несоблюдения Заказчиком правил ее
эксплуатации в гарантийный период, производится за счет Заказчика.
7.13. Услуги по изготовлению ключей ЭЦП и сертификатов ключей ЭЦП взамен скомпрометированных ключей
ЭЦП предоставляются Исполнителем за отдельную плату в соответствии с действующим прейскурантом цен
Исполнителя (публикуется на сайте Исполнителя по адресу: http://kordon-nalog.ru/) .
8. КОММЕРЧЕСКАЯ ТАЙНА
8.1. Условия настоящего Договора и дополнительных соглашений к нему конфиденциальны и не подлежат
разглашению.
8.2. Если Сторона, благодаря исполнению своего обязательства по настоящему Договору,
получила от другой стороны информацию о новых решениях и технических знаниях, в том числе не защищаемых
законом, а также сведения, которые могут рассматриваться как коммерческая тайна, сторона, получившая такую
информацию, не вправе сообщать ее третьим лицам без согласия другой стороны.
8.3. К коммерческой тайне относится любая информация, которая:
1) при сообщении была явно охарактеризована как представляющая коммерческую тайну;
2) не является общедоступной;
3) представляет коммерческий интерес или дает конкурентные преимущества иным физическим или
юридическим лицам.
9. ОТВЕТСТВЕННОСТЬ СТОРОН
9.1. За не исполнение либо ненадлежащее исполнение принятых на себя обязательств по настоящему Договору
виновная Сторона несет ответственность на основании и в порядке, предусмотренном действующим
законодательством РФ.
9.2. В случае одностороннего отказа от исполнения обязательств Заказчиком, последний обязан оплатить
Исполнителю фактически понесенные им расходы.
9.3. В случае одностороннего отказа от исполнения обязательств Исполнителем, последний обязуется возместить
причиненные Заказчику убытки.
9.4. Исполнитель не отвечает за последствия компрометации Заказчиком используемых закрытых ключей, иных
нарушений Регламента, допущенных Пользователем.
9.5. Исполнитель не несет ответственности за неготовность Заказчика к подключению к Системе, по причине
неисполнения или ненадлежащего исполнения Заказчиком требований в соответствии с Приложением № 2 к
настоящему Договору. В случае неготовности Заказчика к подключению к Системе, дополнительный выезд
специалиста Исполнителя оплачивается дополнительно.
9.6. Стороны освобождаются от ответственности за не исполнение либо ненадлежащие исполнение обязательств
по настоящему Договору, если это не исполнение либо ненадлежащие исполнение явилось следствием
обстоятельств непреодолимой силы, т.е. чрезвычайных и непредотвратимых при данных условиях обстоятельств,
возникших после заключения настоящего Договора, а именно: пожара, стихийных бедствий, войны, военных
операций различного рода, блокад, запрета на экспорт/импорт, принятия органами государственной власти, ФНС
РФ, УФНС по Ростовской области законодательных и нормативных актов, распоряжений, приказов,
препятствующих исполнению обязательств по настоящему Договору, если ее будут соблюдены требования п.9.7.
9.7. При этом Сторона, освобожденная от ответственности по данным обстоятельствам, обязана уведомить
противную Сторону в срок не позднее пяти дней с момента наступления данных обстоятельств.
Извещение должно содержать данные о характере обстоятельств, а также официальные документы,
удостоверяющие наличие этих обстоятельств и, по возможности, дающие оценку их влияния на возможность
исполнения стороной своих обязательств по данному договору.
9.8. Если сторона не направит или несвоевременно направит извещение, предусмотренное в п. 9.7., то она
обязана возместить второй стороне понесенные ею убытки.
9.9. В случаях наступления обстоятельств, предусмотренных в п.9.6., срок выполнения стороной обязательств по
настоящему договору отодвигается соразмерно времени, в течение которого действуют эти обстоятельства и их
последствия.
9.10. Если, наступившие обстоятельства, перечисленные в п. 9.6. и их последствия, продолжают действовать
более двух месяцев, стороны проводят дополнительные переговоры для выявления приемлемых
альтернативных способов исполнения настоящего договора.
9.11 Заказчик несет ответственность за достоверно заполненные данные в Заявки на сайте Исполнителя kordonnalog.ru
9.12 Если Заказчик не направил своевременно Исполнителю, в течение 10 рабочих дней, Заявку об изменении
своих реквизитов или же о смене руководителя Заказчика, и Исполнитель в свою очередь изготовил сертификат
ЭЦП по старым данным, то Заказчик в этом случае оплачивает перегенерацию ЭЦП, согласно прайсу,
действующему на момент перегенерации.
10. СРОК ДЕЙСТВИЯ ДОГОВОРА
10.1. Срок действия настоящего Договора один календарный год с момента его заключения.
10.2. Моментом заключения настоящего договора считается момент его подписания обеими сторонами.
10.3. В случае отсутствия возражений одной из Сторон настоящий Договор пролонгируется на срок в
соответствии с п.п. 10.1. настоящего Договора путем подписания дополнительного соглашения.
11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ.
11.1. Вопросы, не урегулированные настоящим Договором, регулируются действующими законодательством РФ.
11.2. Указанные в настоящем Договоре письменные уведомления считаются поданными одной Стороной и
принятыми другой Стороной, если они переданы по адресам, указанным в разделе 12 настоящего Договора.
11.3. Договор составлен в двух экземплярах, имеющих одинаковую юридическую силу по одному экземпляру для
каждой стороны.
11.4. Все изменения и дополнения настоящего Договора оформляются Дополнительными соглашениями и имеют
равную с ним юридическую силу, если составлены в письменной форме и скреплены подписями Сторон.
Дополнительные соглашения вступают в силу с момента их подписания Сторонами, если другой срок не
установлен самим Дополнительным соглашением.
11.5. Все Приложения к настоящему Договору являются его неотъемлемой частью и имеют с ним равную
юридическую силу, в том числе:
Приложение №1 – Смета стоимости ПО, работ и услуг.
Приложение №2 - Требования к ЭВМ и ПО Заказчика, предназначенные для работы в Системе.
Приложение №3 – Регламент использования средств криптографической защиты информации при обмене электронными
документами в автоматизированной информационной системе передачи и приема бухгалтерской отчетности и
налоговых деклараций, поступающих от налогоплательщиков в электронном виде по каналам связи.
Приложение №4 - Акт уничтожения криптографических ключей
Приложение №5 - Требования ФСБ по обеспечению безопасности информации
при ее защите по уровню “C” (на уровне потребителя)
Приложение №6 - Порядок разрешения конфликтных ситуаций, возникающих в ходе осуществления электронного
документооборота.
Приложение №7 - Инструкция по доказательству принадлежности ЭЦП при разборе конфликтных ситуаций.
12. ЮРИДИЧЕСКИЕ АДРЕСА И РЕКВИЗИТЫ СТОРОН
Заказчик:
,
;
тел.
; E-mail:
ИНН
, КПП
,
р/сч.
,
, к/сч.
, БИК
Исполнитель:
ООО «Кордон»,344090, г. Ростов-на-Дону,ул. Мильчакова 5/2;
тел. (863) 299-55-15; E-mail: kordon2004@mail.ru
ИНН6168022453 , КПП 616801001, ОКПО 46569359,
р/с40702810152090000324, Юго-Западный Банк СБ РФ г. Ростов-на-Дону, к/с30101810600000000602, БИК 046015602
Заказчик:
Исполнитель:
_______________(
)
М.П.
_______________ (Гаврилов М.В.)
М.П.
Приложение № 1
к Договору
Спецификация
стоимости ПО и услуг
в лице
, действующего на основании
, с одной стороны, именуемый в дальнейшем «Заказчик» и ООО
«Кордон» в лице генерального директора Гаврилова Михаила Васильевича, действующего на основании Устава, с другой
стороны, именуемый в дальнейшем «Исполнитель», согласовали настоящую смету:
№
наименование
1
ПО с лицензионными соглашениями и эксплуатационной
документацией записываются на жесткий магнитный диск (HDD)
Пользователя
Лицензия на СБиС++
Лицензия на СКЗИ «КриптоПро CSP» версия 3.0
Изготовление ключ ЭЦП и сертификата ключа подписи на бумажном
носителе и в электронном виде (ключевой носитель - дискета 3,5 “):
создание ключей ЭЦП с гарантией сохранения в тайне закрытого
ключа ЭЦП;
предоставление доступа к реестру сертификатов ключей подписей
(публикуется на сайте Исполнителя в Интернете по адресу
http://kordon-nalog.ru/);
предоставление доступа к списку отозванных сертификатов
(публикуется на сайте Исполнителя в Интернете по адресу
http://kordon-nalog.ru/);
выполнение работ, связанных с отзывом сертификата ключа ЭЦП;
проверка уникальности открытых ключей подписей в архиве
удостоверяющего центра.
1.1
1.2
2.
2.1
3.
4.
Ключевой носитель – ruToken 16k s
Обслуживание в одной дополнительной налоговой инспекции
Передача сведений в ИФНС.
цена
количество
стоимость
800
1800
0
0
0
0
1200
0
0
700
0*
0
600
3000
0*
0
0
0
800
0
0
5.
Передача сведений в ПФР
600
0
0
6.
Передача сведений в Росстат
800
0
0
7.
Выезд для первичной установки и настройки ПО, а также для
переустановки заново ПО(если такая необходимость возникла по вине
Пользователя)
800
0
0
Телекоммуникационный доступ через модемный пул провайдера (точку
доступа) к почтовому серверу Специализированного оператора связи
1200
0*
0*
8..
Итого:
Настоящая смета определяет величину договорной цены (общую стоимость) настоящего Договора в сумме _______
(_______________________) рубля. Все цены указаны без НДС (исполнитель не является плательщиком НДС) и является
основанием для проведения взаимных расчетов между Заказчиком и Исполнителем.
В случае изменения ставки налогов перерасчеты по настоящему договору производятся по соглашению Сторон.
Заказчик:
Исполнитель:
_______________(
)
М.П.
_______________ (Гаврилов М.В.)
М.П.
*- услуга заказывается дополнительно
Приложение № 2
к Договору
Требования к ПЭВМ и ПО Пользователя,
предназначенных для работы в Системе
Пользователь, на момент подключения к Системе и в течении всего срока эксплуатации, обязан предоставить
работоспособную и исправную ПЭВМ отвечающую следующим требованиям:
Аппаратные:
процессор – не хуже, чем Pentium II, 600 МГц
объем оперативного запоминающего устройства – не менее 64 Мбайт
объем свободного места на жестком диске (HDD) – не менее 500 Мбайт
устройство чтения носителей CD (CD-ROM) и/или портами USB
дисковод (FDD)
модем, установленный в ОС
поддержка графическим адаптером и монитором режима с разрешением не менее 800 на 600 точек
Программные:
Основные:
операционная система:
Windows 98 (с установленным Internet Explorer версии 5.5 или выше)
Windows ME (с установленным Internet Explorer версии 5.5 или выше)
Windows NT 4 (с установленным Service Pack версии 6a)
Windows 2000 (с установленным Service Pack версии 3 или выше)
Windows XP
Windows Vista
Функционирование ОС должно быть стабильным, без сбоев и зависаний.
Поддержка русского языка в ОС должна быть корректно установлена и настроена.
Поддержка протокола TCP/IP должна быть полной.
Коммуникационное оборудование должно исправно функционировать в ОС и иметь доступ к среде передачи.
Пользователь обязан обеспечить:
Наличие дистрибутива операционной системы, установленной на ПЭВМ и комплекта драйверов устройств;
Антивирусную защиту ПО;
Присутствие администратора локальной вычислительной сети (ЛВС), если ПЭВМ подключена к ЛВС;
Права администратора на ПЭВМ Пользователя, для выполнения работ по установке и настройке ПО специалистом
Специализированного оператора связи;
Присутствие лица, ответственного за СКЗИ, для проведения инструктажа и подготовки к работе в Системе.
От Заказчика:
_______________(
М.П.
)
От Исполнителя:
_______________ (Гаврилов М.В.)
М.П.
Приложение № 3
к Договору
«УТВЕРЖДАЮ»
Генеральный директор
ООО «Кордон»
Гаврилов М.В.
РЕГЛАМЕНТ
использования средств криптографической защиты информации при обмене электронными документами в
автоматизированной информационной системе передачи и приема бухгалтерской отчетности и налоговых
деклараций, поступающих от налогоплательщиков в электронном виде по каналам связи.
В настоящем Регламенте под Пользователем понимается Заказчик, а под Специализированным оператором связи понимается
Исполнитель по настоящему Договору.
1. Общие положения
1.1. Настоящий Регламент определяет:
1.1.1. Порядок регистрации и подключения Пользователей к Системе.
1.1.2. Порядок организации криптографической защиты информации при обмене электронными документами в
автоматизированной информационной системе передачи и приема бухгалтерской отчетности и налоговых деклараций,
поступающих от налогоплательщиков в электронном виде по каналам связи (далее – Система).
1.2. Пользователи Системы осуществляют обмен электронными документами только между зарегистрированными
участниками Системы по открытым каналам связи.
1.3. Пользователи соблюдают установленную последовательность действий при обмене электронными документами и
проверке их подлинности.
1.4. Действия участников электронного документооборота при возникновении конфликтных ситуаций регламентируются
Порядком разрешения конфликтных ситуаций (Приложение № 6 к настоящему Договору).
1.5. Пользователи используют для защиты информации сертифицированные, в порядке установленном законодательством
Российской Федерации, средства криптографической защиты информации (далее – СКЗИ).
1.6. Используемые во взаимоотношениях между Пользователями электронные документы, заверенные электронной цифровой
подписью (далее – ЭЦП), имеют равную юридическую силу с документами на бумажном носителе, имеющими
соответствующие подписи и печати (независимо от того существуют такие документы на бумажном носителе или нет).
1.7. Пользователь признает, что использование в Системе сертифицированных СКЗИ, которые реализуют ЭЦП и
шифрование, достаточно для обеспечения конфиденциальности информационного взаимодействия пользователей, а также
подтверждения того, что электронный документ:
происходит от Пользователя (подтверждение авторства документа);
не претерпел изменений при информационном взаимодействии Пользователя (подтверждение целостности и
подлинности документа).
1.8. Регламент начинает действовать в отношении Пользователя с момента заключения им Договора c Организатором
Системы.
2. Термины и сокращения, используемые в регламенте
Владелец сертификата ключа - физическое лицо, на имя которого Организатором системы выдан сертификат ключа и
которое владеет соответствующим закрытым криптографическим ключом.
Договор – Договор, заключенный между Пользователем и Организатором Системы. Договор определяет состав, порядок
исполнения и стоимость услуг, оказываемых Пользователю Организатором Системы.
Заявка – Заявка Пользователя (налогоплательщика) на подключение к Системе передачи и приема бухгалтерской отчетности
и налоговых деклараций, поступающих от налогоплательщиков в электронном виде по каналам связи
Закрытые (секретные) ключи - криптографические ключи, которые хранятся Пользователями Системы в тайне. Закрытые
ключи используются для формирования ЭЦП Пользователя и шифрования.
Пользователь – юридическое или физическое лицо, участник информационного обмена электронными документами,
заключивший с Организатором Системы Договор, зарегистрированный в Системе и признающий данный Регламент.
Ключевой носитель – отчуждаемый носитель (дискета, Token, и т.п.), содержащий один или несколько ключей.
Компрометация ключа - утрата доверия к тому, что используемые закрытые ключи недоступны посторонним лицам. К
событиям, связанным с компрометацией ключей, относятся, включая, но, не ограничиваясь, следующие:
утрата ключевых носителей;
утрата ключевых носителей ключа с последующим обнаружением;
увольнение сотрудников, имевших доступ к ключевым носителям;
возникновение подозрений на утечку информации или ее искажение в Системе;
нарушение целостности печатей на сейфах с ключевыми носителями, если используется процедура опечатывания;
утрата ключей от сейфов (помещений) в момент нахождения в них ключевых носителей;
утрата ключей от сейфов (помещений) в момент нахождения в них ключевых носителей с последующим обнаружением;
доступ посторонних лиц к ключевой информации;
случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе, когда ключевой носитель
вышел из строя и не опровергнута возможность того что, данный факт произошел в результате несанкционированных
действий злоумышленника).
Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с действующим
законодательством РФ, а также настоящим Регламентом.
Конфликтная ситуация - ситуация, при которой у пользователей Системы возникает необходимость разрешить вопросы
признания или непризнания авторства и/или подлинности электронных документов, обработанных средствами
криптографической защиты информации.
Криптографический ключ (ключ) - параметр шифра или его значение, определяющее выбор одного преобразования из
совокупности всевозможных для данного алгоритма преобразований.
Некорректный электронный документ - электронный документ, не прошедший процедуры проверки ЭЦП, имеющий
искажения в тексте сообщения, не позволяющие понять его смысл.
Несанкционированный доступ (НСД) к информации - доступ к информации лиц, не имеющих на то полномочий.
Обработка информации – создание, хранение, передача, прием, преобразование и отображение информации.
Организатор Системы (Специализированный оператор связи) – ЗАО «Кордон», имеющее в соответствии с
законодательством Российской Федерации лицензии, дающие право осуществлять деятельность по обслуживанию средств,
предназначенных для криптографической защиты конфиденциальной информации, а также выполнять функции
Удостоверяющего центра.
Открытый ключ ЭЦП (Открытый ключ подписи) - уникальная последовательность символов, соответствующая
закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и
предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной
цифровой подписи в электронном документе. Открытый ключ Пользователя является действующим на момент подписания,
если он зарегистрирован (сертифицирован) и введен в действие.
Открытый ключ шифрования – криптографический ключ, предназначенный для шифрования разового (сеансового) ключа
шифрования с целью его передачи адресату по открытым каналам связи. Открытые ключи шифрования могут быть известны
всем пользователям системы.
Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат
проверки соответствующим сертифицированным средством ЭЦП с использованием сертификата ключа подписи
принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и
отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.
Сертификат открытого ключа (сертификат ключа) - документ на бумажном носителе или электронный документ с ЭЦП
уполномоченного лица удостоверяющего центра (Организатора Системы), которые включают в себя открытый ключ (ЭЦП
и/или шифрования) и которые выдаются удостоверяющим центром (Организатором Системы) участнику информационной
системы для подтверждения подлинности открытого ключа и идентификации владельца сертификата открытого ключа.
СОС (Список отозванных сертификатов, Certificate Revocation List, CRL) – список отозванных сертификатов.
Управление ключами - создание (генерация) ключей, их хранение, распространение, удаление (уничтожение), учет и
применение, а также выдача и отзыв сертификатов открытых ключей в соответствии с политикой безопасности
Удостоверяющего центра.
Удостоверяющий центр (УЦ) – структура ЗАО «Кордон», выполняющая функции, предусмотренные Федеральным законом
от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи».
3. Общие вопросы организации защиты информации
3.1. Организатор Системы осуществляет работы по управлению ключами в соответствии с
положениями настоящего Регламента, на основании Договора и Заявки Пользователя.
3.2. Пользователь предоставляет Организатору Системы право изготовить закрытые и открытые ключи ЭЦП и шифрования
Пользователя на Автоматизированном рабочем месте Администратора Удостоверяющего центра (АРМ УЦ). АРМ УЦ
расположен на территории Организатора Системы.
3.3. Организатор Системы предоставляет Пользователю возможность самостоятельной выработки закрытых ключей ЭЦП и
шифрования в присутствии Организатора и под его непосредственным контролем с использованием технических средств
размещенных на территории Организатора Системы.
3.4. Организатор Системы изготавливает сертификаты ключей Пользователя в электронном виде и вместе с ключевым
носителем передает их ему. При изготовлении сертификатов ключей Организатор Системы оформляет два экземпляра
сертификата в форме документов на бумажных носителях, которые заверяются собственноручными подписями владельца
сертификата ключа и уполномоченного лица Организатора Системы, а также печатью Организатора Системы. Один
экземпляр сертификата ключа на бумажном носителе выдается владельцу сертификата ключа, второй – остается у
Организатора Системы.
3.5. Организатор Системы использует программные и технические средства генерации ключевой информации в неизменном
виде по отношению к сертифицированному эталону. Организатор Системы гарантирует отсутствие привнесенных
нерегламентированных процедур скрытого копирования индивидуальной секретной ключевой информации в используемых
программных и технических средствах.
3.6. Пользователь получает доступ к реестру сертификатов других участников Системы и списку отозванных сертификатов
(реестр сертификатов и СОС публикуется на сайте Исполнителя в Интернете по адресу: http://kordon-nalog.ru/ ).
Примечание: Организатор системы принимает все возможные меры чтобы в кратчайшие сроки внести в СОС сертификаты
недействительных (скомпрометированных) ключей.
3.7. Срок действия криптографических ключей Пользователя Системы, составляет 1 год.
Начало периода действия ключей Пользователя Системы исчисляется с даты и времени начала действия соответствующих им
сертификатов ключей.
4. Порядок получения СКЗИ, криптографических ключей и сертификатов
4.1. Пользователь заключает Договор с Организатором Системы и производит оплату.
4.2. Руководитель Пользователя в соответствии с Договором представляет Организатору системы Заявку и все необходимые
документы, содержащую:
данные на сотрудников Пользователя, которым необходимо изготовить криптографические ключи;
данные на сотрудника Пользователя, ответственного за СКЗИ и Систему,
информацию о технических характеристиках компьютеров, на которые будет установлено СКЗИ.
4.3. Администратор (уполномоченное лицо) УЦ согласует с Пользователем, график работ.
4.4. В соответствии с согласованным графиком сотрудники Пользователя (указанные в Заявке в качестве владельцев
сертификатов ключей подписи) лично или их доверенные лица:
прибывают в УЦ,
регистрируются Администратором УЦ,
получают СКЗИ и изготовленные в их присутствии ключи и сертификаты,
расписываются в журнале (или составляют акт) о получении:
СКЗИ,
криптографических ключей,
сертификатов ключей подписи;
расписываются в бумажных копиях сертификатов ключей подписи;
получают сертификат УЦ,
получают актуальный список отозванных сертификатов (СОС),
получают пароль для связи на случай компрометации ключей,
получают инструктаж Администратором УЦ правилам работы с СКЗИ, криптографическими ключами и сертификатами
ключей.
5. Функции и задачи Организатора Системы
5.1. Организатор Системы предоставляет услуги Удостоверяющего центра (УЦ) всем Пользователям Системы, а именно:
создает криптографические ключи по обращению Пользователя с гарантией сохранения в тайне закрытых ключей.
Закрытый ключ передается владельцу сертификата ключа подписи на ключевом носителе;
изготавливает сертификаты ключей на основании надлежащим образом оформленной Заявки и всех необходимых
документов;
выдает сертификаты ключа в форме документа на бумажном носителе и в электронном виде;
обеспечивает уникальность открытых ключей в реестре сертификатов ключей и архиве УЦ;
вносит сертификаты ключей в реестр сертификатов ключей подписей не позднее даты начала их действия;
предоставляет Пользователю доступ к реестру сертификатов ключей подписи и списку отозванных сертификатов.
обеспечивает выпуск и обновление списка отозванных сертификатов с включением в него всех сертификатов
скомпрометированных ключей подписи, с указанием даты и времени аннулирования сертификата ключа подписи.
5.2. Организатор Системы уведомляет Пользователей о фактах, которые стали ему известны и которые существенным
образом могут сказаться на возможности дальнейшего использования СКЗИ и сертификата ключа.
5.3. Организатор Системы обязан аннулировать сертификат ключа:
по заявлению в письменной форме владельца сертификата ключа подписи;
если Организатору Системы стало достоверно известно о прекращении действия документа, на основании которого
оформлен сертификат ключа.
5.4. Организатор Системы обеспечивает хранение сертификата ключа Пользователя в форме электронного документа после
аннулирования сертификата ключа не менее трех лет. По истечении указанного срока хранения, сертификат ключа подписи
исключается из реестра сертификатов ключей подписей и переводится в режим архивного хранения. Сертификат ключа
подписи в форме документа на бумажном носителе хранится в порядке, установленном законодательством Российской
Федерации об архивах и архивном деле.
5.5. Организатор Системы участвует в работе Экспертной комиссии при рассмотрении спорных вопросов (конфликтных
ситуаций)
5.6. Организатор Системы контролирует правила использования СКЗИ Пользователями Системы.
6. Права и обязанности Пользователя
6.1. Пользователь обязан предоставить достоверную регистрационную и идентифицирующую его информацию в объеме,
определенном положениями настоящего Регламента и Договором.
6.2. Пользователь, в соответствии с Договором, лицензионным соглашением и эксплуатационной документацией на СКЗИ,
подготавливает и содержит в рабочем состоянии ПЭВМ и программное обеспечение, предназначенные для работы в Системе.
Пользователю рекомендуется не использовать средств разработки и отладки программ на ПЭВМ, на которой установлено
СКЗИ.
6.3. Пользователь обязан организовать режим функционирования рабочих мест таким образом, чтобы исключить возможность
доступа к СКЗИ, несанкционированной модификации или использования СКЗИ лицами, не имеющими допуска к работе с
СКЗИ, а также исключить возможность использования криптографических ключей не уполномоченными на то лицами.
6.4. Пользователь обязан при обработке электронных документов осуществлять их архивирование и хранить эти архивы в
течение срока, установленного соответствующими законами и нормативными актами, для хранения бумажных документов.
6.5. Пользователь обязан при разрешении конфликтных ситуаций, связанных с установлением подлинности и/или авторства
спорного документа или иных конфликтных ситуаций связанных с использованием ЭЦП, предоставлять Экспертной
комиссии, создаваемой и действующей в соответствии с Приложением №3 к настоящему Регламенту, все документы и
материалы, относящиеся к предмету конфликтной ситуации.
6.6. Замена криптографических ключей Пользователя производится по инициативе Пользователя, но не реже одного раза в год
(отдельным решением могут быть установлены другие сроки) в следующем порядке:
Пользователь направляет Организатору Системы заявление на замену ключей (рекомендуется за месяц до истечения
срока действия сертификата старого ключа);
Организатор системы согласовывает с Пользователем время проведения работ;
Пользователь оплачивает работы по изготовлению и выдаче новых сертификатов ключей;
работы по изготовлению новых ключей и выдаче сертификатов производит Организатор системы в соответствии с
разделом 4 настоящего Регламента;
Пользователь после получения новых ключей и сертификатов проверяет их работоспособность;
старые ключи уничтожаются Пользователем самостоятельно путем физического уничтожения (или форматирования)
ключевых носителей. Пользователь может не уничтожать старые ключи, обеспечив их надежное хранение (их
недоступность для посторонних лиц) – при этом все риски, связанные с несанкционированным использованием
старых ключей, ложатся на Пользователя. Факт уничтожения или сохранения старого ключа оформляется
документом, который заверяется подписями владельца старого ключа, руководителя организации и печатью
организации. 2-й экземпляр данного документа передается Организатору Системы
Примечание: перед уничтожением старых ключей необходимо расшифровать все документы, зашифрованные с их
использованием, иначе в дальнейшем использовать эти документы будет невозможно!
6.7. Пользователь имеет право:
не принимать к исполнению электронные документы, заверенные ЭЦП, если:
сертификат ключа подписи отправителя утратил силу (не действует, находится в СОС) на момент проверки или на момент
подписания электронного документа при наличии доказательств, определяющих момент подписания;
Примечание: перед принятием решения по исполнению полученного электронного документа, в зависимости от его важности,
Пользователь самостоятельно определяет необходимость проверки нахождения сертификата ЭЦП отправителя в СОС.
не подтверждена подлинность ЭЦП в электронном документе;
ЭЦП используется не в соответствии со сведениями, указанными в сертификате ключа подписи.
запрашивать подтверждение по полученным им электронным документам в случае возникновения сомнений;
требовать от Организатора системы аннулирования своего сертификата открытого ключа в случае наступления событий,
трактуемых как компрометация ключевой информации;
требовать исполнения обязательств от других участников Системы по принятым ими электронным документам;
в случае возникновения конфликтной ситуации, связанной с установлением подлинности и/или авторства спорного
документа, требовать разрешения указанных вопросов Экспертной комиссией в соответствии с согласованным
порядком.
7. Действия Сторон при компрометации ключей
7.1. Организатор системы в момент генерации и сертификации ключей передает Пользователю пароль для экстренной связи в
случае компрометации закрытых ключей. Пользователь обеспечивает сохранение конфиденциальности пароля.
7.2. Пользователь в случае принятия решения о компрометации собственных криптографических ключей, обязан немедленно
информировать Организатора системы по телефонным каналам связи с использованием устного пароля или в виде
электронного сообщения, подписанного скомпрометированным ключом, о наступлении события, трактуемого как
компрометация.
7.3. При компрометации ключа, Пользователь должен прекратить обмен электронными документами с другими
пользователями.
7.4. Организатор системы, получивший сообщение о компрометации ключей Пользователя, должен убедиться в
достоверности сообщения о компрометации (запросить пароль или факсимильное сообщение, заверенное подписью и
печатью Пользователя) и после этого обязан немедленно аннулировать скомпрометированные ключи (занести их
сертификаты в СОС).
7.5. Пользователь, объявивший о компрометации собственных криптографических ключей, в течение одного рабочего дня
документально оформляет уведомление и направляет его Организатору системы.
7.6. Пользователь, допустивший компрометацию собственных криптографических ключей, несет все издержки, связанные с
генерацией новых ключей, их сертификацией и вводом в действие.
8. Конфиденциальность информации
8.1 Организатор системы и Пользователи в процессе работы в Системе обязаны обеспечить сохранность конфиденциальной
информации, полученной друг от друга в
соответствии с действующим законодательством Российской Федерации.
8.2. Организатор системы обязан не разглашать (публиковать) информацию полученную от Пользователей, за исключением
регистрационной информации включенной в изготовленные сертификаты Пользователей.
8.3. Порядок предоставления конфиденциальной информации налоговым, правоохранительным и судебным органам
осуществляется в соответствии с действующим законодательством Российской Федерации.
9. Ответственность участников Системы
9.1. Пользователь несет ответственность за достоверность сведений, указанных им в Заявке (Приложение б/н к настоящему
Договору), а также при внесении изменений в указанные сведения.
9.2. Пользователь несет ответственность за сохранность и правильность эксплуатации СКЗИ и своих закрытых ключей
шифрования и ЭЦП.
9.3. В случае несвоевременного сообщения о факте компрометации ключей Пользователь, допустивший компрометацию
ключей, несет ответственность в полном объеме за ущерб, причиненный им другим пользователям Системы.
9.4. Организатор Системы не несет ответственности в случае нарушения пользователями Системы положений настоящего
Регламента.
9.5. Организатор Системы не несёт ответственности перед владельцами сертификатов ключей подписи (ключей шифрования)
и лицами, использующими сертификаты ключей подписи (ключа шифрования) для проверки подписи и шифрования
сообщений, а также перед третьими лицами за любые убытки, потери, иной ущерб, связанный с использованием
сертификатов ключей подписи (ключа шифрования), независимо от суммы заключенных с использованием сертификатов
ключей подписи (ключа шифрования) сделок и совершения ими иных действий, за исключением случаев нарушения
Организатором Системы обязательств, предусмотренных Регламентом и/или действующим законодательством Российской
Федерации.
9.6. Претензии к Организатору Системы ограничиваются указанием на несоответствие его действий настоящему Регламенту.
9.7. 3а неисполнение или ненадлежащее исполнение обязательств по настоящему Регламенту участники Системы несут
ответственность в соответствии с Договором и действующим законодательством Российской Федерации.
10. Порядок взаимодействия Сторон при нештатных ситуациях, связанных с эксплуатацией СКЗИ
10.1. В случае нарушения правил использования СКЗИ и/или возникновения конфликтных ситуаций, связанных с
подтверждением авторства и/или подлинности электронных документов, заверенных ЭЦП, или иных конфликтных ситуаций,
связанных с использованием ЭЦП, Стороны руководствуются Порядком разрешения конфликтных ситуаций, изложенным в
Приложении №6 к настоящему Договору.
Приложение № 4
к Договору
Акт
Уничтожения криптографических ключей
к Договору №___ от «___» __________ 200__ года.
составлен «____» __________200__ года
_______________________________________________________________________
в
лице
__________________________________________________________________,
действующего
на
основании
_____________________________________, с одной стороны,
(Устава, Положения, Доверенности)
именуемый в дальнейшем Заказчик и ООО «Кордон» в лице генерального директора Гаврилова Михаила Васильевича,
действующего на основании Устава, именуемый в дальнейшем Исполнитель, а вместе именуемые Стороны, подписали
настоящий АКТ о нижеследующем:
1.Уничтожены физически ключевые носители, содержащие криптографические ключи ЭЦП:
№
номер ключа ЭЦП
Заказчик ключа ЭЦП
1.1. __________________________________________________________________________________________________
1.2. __________________________________________________________________________________________________
1.3. __________________________________________________________________________________________________
1.4. __________________________________________________________________________________________________
Копии ключевых носителей в количестве _____ экз. уничтожены.
Сертификаты ключей ЭЦП переданы на архивное хранение.
Заказчик: _______________________
Наименование
Гл. бухгалтер _________________________________ (_________________.)
__________________ _______________________________(________________.)
(должность руководителя)
М.П.
Исполнитель: ООО «Кордон»
Генеральный директор _____________________ М.В.Гаврилов
Приложение № 5
к Договору
Требования ФСБ по обеспечению безопасности информации
при ее защите по уровню “C” (на уровне потребителя)
Защита информации по уровню “С” означает применение процедур электронной цифровой подписи и хеширования,
сертифицированных ФСБ средств криптографической информации, реализующих алгоритмы ГОСТ Р34.11-94, ГОСТ Р34.1094 и ГОСТ 28147-89.
1.Требования по организационному обеспечению эксплуатации СКЗИ
1.1. На предприятии выделяются (определяются) должностные лица, ответственные за обеспечение безопасности информации
и эксплуатации СКЗИ.
1.2. На предприятии разрабатываются нормативные документы, регламентирующие вопросы безопасности информации и
эксплуатации СКЗИ.
1.3. К работе со СКЗИ допускаются сотрудники, имеющие навыки работы на персональном компьютере, ознакомленные с
правилами эксплуатации СКЗИ.
2.Требования по размещению СКЗИ и режиму охраны
2.1. Помещения, в которых размещаются программно-технические средства со встроенными СКЗИ, являются режимными и
должны обеспечивать конфиденциальность проводимых работ.
2.2. Размещение режимных помещений и их оборудование должны исключать возможность бесконтрольного проникновения
в них посторонних лиц и обеспечивать сохранность находящихся в этих помещениях конфиденциальных документов и
технических средств.
2.3. Размещение оборудования, технических средств, предназначенных для обработки конфиденциальной информации,
должно соответствовать требованиям техники безопасности, санитарным нормам и требованиям пожарной безопасности.
2.4. Входные двери режимных помещений должны быть оборудованы замками, обеспечивающими надежное закрытие
помещений в нерабочее время.
2.5. Окна и двери должны быть оборудованы охранной сигнализацией, связанной с пультом централизованного наблюдения
за сигнализацией.
2.6. Размещение технических средств в режимном помещении должно исключать возможность визуального просмотра
конфиденциальных документов и экранов мониторов, на которых она отражается, через окна.
2.7. В режимные помещения допускаются Руководство Пользователя, сотрудники подразделения безопасности и
исполнители, имеющие прямое отношение к обработке, передаче и приему конфиденциальных документов.
2.8. Системные блоки ЭВМ со СКЗИ оборудуются средствами контроля вскрытия.
2.9. Ремонт и/или последующее использование системных блоков осуществляется после удаления с них программного
обеспечения СКЗИ (возможно согласование с Организатором Системы).
3.Требования по обеспечению безопасности ключевой информации
3.1. Носители секретных ключей ЭЦП, шифрования и инсталляционные дискеты с ПО
СКЗИ на предприятии берутся на поэкземплярный учет в выделенных для этих целей
журналах.
3.2. Учет и хранение секретных ключей поручается руководством предприятия, специально выделенным сотрудникам.
3.3. Для хранения носителей секретных ключей ЭЦП и шифрования выделяется сейф или иное хранилище, обеспечивающее
сохранность ключевой информации.
3.4. Хранение ключей и инсталляционных дискет с ПО СКЗИ допускается в одном хранилище с другими документами при
условиях, исключающих их непреднамеренное уничтожение или иное, не предусмотренное правилами пользования СКЗИ,
применение.
3.5. Рабочие (актуальные) и резервные ключи хранятся раздельно, с обеспечением условия невозможности их одновременной
компрометации.
3.6. При транспортировке носителей секретной ключевой информации обеспечиваются условия, обеспечивающие защиту от
физических повреждений и внешнего воздействия на записанную ключевую информацию.
Примечание: требования по размещению СКЗИ определяются условиями лицензирования ФСБ, правилами эксплуатации
сертифицированных СКЗИ и могут уточняться при подготовке Пользователя к включению в Систему.
Приложение № 6
к Договору
ПОРЯДОК
разрешения конфликтных ситуаций,
возникающих в ходе осуществления электронного документооборота
В настоящем Порядке разрешения конфликтных ситуаций, возникающих в ходе осуществления электронного
документооборота под Пользователем, понимается Заказчик, а под Специализированным оператором связи понимается
Исполнитель по настоящему Договору.
1. Общие положения
1.1. Разрешая конфликтные ситуации при нарушении процедур криптографической защиты информации и/или установлении
авторства и/или подлинности электронных документов, заверенных ЭЦП, пользователи Системы исходят из того, что:
1.1.1 В соответствии с действующим законодательством, документ в электронном виде, заверенный ЭЦП, является
документом, имеющим юридическую силу, аналогичным бумажному, снабженному подписью и печатью;
1.1.2. Электронный документ порождает обязательства Пользователя перед другим пользователем Системы, если документ
оформлен надлежащим образом, заверен ЭЦП и доставлен другому Пользователю. При этом ЭЦП используется в
соответствии со сведениями, указанными в сертификате ключа подписи, а сертификат ЭЦП отправителя действует.
1.1.3. Подтверждением того, что электронный документ Пользователя принят пользователем-получателем, является
получение Пользователем или надлежащим образом оформленной электронной квитанции о принятии его документа,
или получение того же самого документа подписанного ЭЦП пользователя-получателя.
1.1.4. Пользователь признает, что используемая в соответствии с настоящим Регламентом, система защиты информации,
которая обеспечивает ЭЦП и шифрование, достаточна для защиты информации от несанкционированного доступа,
подтверждения целостности, подлинности и авторства электронных документов, а также разрешения конфликтных
ситуаций по ним;
1.1.5.Математические свойства алгоритма ЭЦП, реализованного в соответствии со стандартами Российской Федерации ГОСТ
Р34.10-94 (или ГОСТ Р34.10-2001) и ГОСТ Р34.11-94, свидетельствуют о невозможности подделки значения ЭЦП любым
лицом, не обладающим закрытым криптографическим ключом ЭЦП. Пользователь признает, что разбор конфликтной
ситуации в отношении авторства, целостности и подлинности электронного документа заключается в доказательстве
подписания конкретного электронного документа на конкретном ключе ЭЦП.
1.2. В соответствии с настоящим порядком подлежат разрешению конфликтные ситуации двух типов:
1.2.1. некорректность входящего электронного документа или ЭЦП (конфликтная ситуация типа 1);
1.2.2. для корректного электронного документа непризнание отправителем электронного документа факта отправки
документа, а также его целостности и подлинности (конфликтная ситуация 2).
2. Порядок разрешения конфликтных ситуаций типа 1
2.1. Действия пользователей в данной ситуации заключаются в следующем:
2.1.1 Принимающая Сторона по телефону (или иным образом) запрашивает у отправляющей Стороны информацию о
документе, подлинность которого вызывает сомнения. При получении подтверждения об отправке указанного документа,
запрашивает повторное оформление и отправку данного документа.
2.1.2. Результатом повторной обработки принимающей Стороной (проверка ЭЦП) полученного документа может быть:
2.1.2.1. Повторная проверка дала отрицательный результат. ЭЦП документа неверна.
В этом случае делается вывод о возможном нарушении действующего криптографического ключа, либо о неисправности
программно-аппаратных средств одной из Сторон.
При этом необходимо:
проверить сертификаты открытых ключей
штатными средствами в соответствии с эксплуатационной документацией проверить целостность и неизменность
программного обеспечения СКЗИ. И переустановить его в случае необходимости.
Если положительный результат не достигнут обратиться к Организатору Системы.
2.1.2.2. Повторная проверка дала положительный результат. ЭЦП документа верна.
3.Порядок разрешения конфликтных ситуаций типа 2
3.1. В случае, если один из Пользователей приходит к выводу, что другой пользователь ссылается на документ, исходящий от
него, который им не отправлялся и/или его содержание изменено, этот Пользователь немедленно извещает Организатора сети
о наличии конфликтной ситуации.
3.2. Организатор сети формирует Экспертную (согласительную) комиссию для разрешения конфликтной ситуации, в состав
которой входят представители Организатора сети и Пользователи, вовлеченные в конфликтную ситуацию. Дополнительно
могут привлекаться авторитетные, независимые специалисты в области криптографической защиты информации.
3.3. В ходе работы Экспертной комиссии рассматриваются документы, в том числе электронные, относящиеся к предмету
разногласий, и выполняется процедура проверки ЭЦП документа, являющегося предметом разбирательства, в соответствии с
Инструкцией, приведенной в Приложении 7 к настоящему Договору. При этом могут быть использованы следующие
эталонные данные:
данные архива оригиналов принятых/отправленных документов;
сертификаты ЭЦП с открытыми криптографическими ключами, выданные Удостоверяющим Центром;
дистрибутивы СКЗИ;
ключевые носители.
Приложение № 7
к Договору
Инструкция по доказательству
принадлежности ЭЦП при разборе конфликтных ситуаций
В настоящей Инструкции под Пользователем понимается Заказчик, а под Специализированным оператором связи понимается
Исполнитель по настоящему Договору.
Для проведения разбора конфликтной ситуации необходимы:
Заверенный Удостоверяющим Центром (УЦ) сертификат открытого ключа ЭЦП Пользователя, подписавшего документ,
подлинность или авторство которого оспаривается.
Файл, содержащий текст документа и ЭЦП его автора, в отношении которого возникает конфликтная ситуация.
Для разбора конфликтной ситуации необходимо выполнить следующие действия:
Произвести операцию проверки подписи электронного документа, авторство подписи которого оспаривается на рабочем
месте Администратора УЦ.
Распечатать протокол проверки подписи.
Распечатать сертификат открытого ключа ЭЦП из базы данных (реестра) Удостоверяющего Центра.
Сравнить сертификат открытого ключа ЭЦП представленного Стороной и распечатанный сертификат открытого ключа
ЭЦП из базы данных Удостоверяющего Центра.
Авторство подписи под документом считается установленным, если совпадают открытые ключи ЭЦП представленного
Стороной сертификата и сертификат открытого ключа ЭЦП из базы данных Удостоверяющего Центра, и в
протоколе проверки подписи Пользователя сформирована запись “Подпись верна”.