Российские законы

Приказ Министерства финансов Оренбургской области от 14.07.2008 N 37 “О документообороте с использованием электронно-цифровой подписи“ (вместе с “Положением об организации делопроизводства при использовании электронной почты и электронно-цифровой подписи“)

МИНИСТЕРСТВО ФИНАНСОВ ОРЕНБУРГСКОЙ ОБЛАСТИ

ПРИКАЗ

от 14 июля 2008 г. N 37

О документообороте с использованием

электронно-цифровой подписи

В целях обеспечения перехода к безбумажному документообороту в официальной переписке министерства финансов Оренбургской области с финансовыми органами администраций городов и районов

ПРИКАЗЫВАЮ:

1. Утвердить “Положение об организации делопроизводства при использовании электронной почты и электронно-цифровой подписи“ согласно приложению.

2. Назначить ответственным за официальный документооборот с использованием электронно-цифровой подписи ведущего специалиста отдела автоматизации и информационных технологий Василькова А.В., а в его отсутствие - главного специалиста выше названного отдела Деманова Д.А.

3. Установить дату внедрения в эксплуатацию - 01.09.2008.

4. Контроль за исполнением настоящего приказа возложить на первого заместителя министра финансов Оренбургской области Баганина Н.И.

Заместитель

председателя Правительства -

министр финансов

Оренбургской области

В.И.КУХАРЕВ


Приложение

к приказу

Министерства финансов

Оренбургской области

от 14 июля 2008 г. N 37

ПОЛОЖЕНИЕ

ОБ ОРГАНИЗАЦИИ ДЕЛОПРОИЗВОДСТВА ПРИ ИСПОЛЬЗОВАНИИ

ЭЛЕКТРОННОЙ ПОЧТЫ И ЭЛЕКТРОННО-ЦИФРОВОЙ ПОДПИСИ

1. Введение

1.1. Настоящее Положение определяет порядок обработки документов, передаваемых по электронной почте (далее в тексте - “ЭП“) с использованием электронно-цифровой подписи (далее в тексте - “ЭЦП“) между министерством финансов Оренбургской области и финансовыми органами администраций городов и районов Оренбургской области.


1.2. Не подлежат пересылке по ЭП документы, имеющие грифы ограничения доступа.

2. Применяемые термины и понятия

Электронная почта - передача информации с помощью программно-аппаратного комплекса (компьютер, телекоммуникационные средства, специализированное программное обеспечение) через локальные и глобальные телекоммуникационные сети.

Документ (документированная информация) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

Электронное письмо - сообщение и/или вложенный файл, передаваемые по ЭП через телекоммуникационные сети и узлы от отправителя к получателю.

Сообщение - текст, содержащий передаваемую информацию.

Вложенный файл - файл, передаваемый по ЭП, сопровождаемый кратким описанием в сообщении.

Авторство документа - принадлежность документа одному из участников электронного документооборота. Авторство документа определяется путем аутентификации содержащейся в нем информации.

Аутентификация информации - установление подлинности и целостности информации, содержащейся в документе.

Владелец сертификата ключа ЭЦП - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа ЭЦП и которое владеет соответствующим закрытым ключом ЭЦП, позволяющим с помощью средств ЭЦП создавать свою ЭЦП в электронных документах (подписывать электронные документы).

Закрытый ключ ЭЦП - уникальная последовательность символов, известная владельцу сертификата ключа ЭЦП и предназначенная для создания в электронных документах ЭЦП.

Информационная система общего пользования - информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано.

Ключ (криптографический ключ) - конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.

Компрометация ключа ЭЦП - утрата доверия к тому, что используемые закрытые ключи ЭЦП недоступны посторонним лицам.

Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с действующим законодательством Российской Федерации.

Некорректный электронный документ - электронный документ, не прошедший процедуры проверки ЭЦП, имеющий искажения в тексте сообщения, не позволяющие понять его смысл.

Открытый ключ шифрования - криптографический ключ, который связан с закрытым ключом с помощью особого математического соотношения. Открытый ключ известен другим пользователям системы и предназначен для проверки электронной цифровой подписи и шифрования. При этом открытый ключ не позволяет вычислить закрытый ключ.

Открытый ключ ЭЦП - уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств ЭЦП подлинности ЭЦП в электронном документе.

Подтверждение подлинности ЭЦП в электронном документе - положительный результат проверки соответствующим сертифицированным средством ЭЦП с использованием сертификата ключа ЭЦП принадлежности ЭЦП в электронном документе владельцу сертификата ключа ЭЦП и отсутствия искажений в подписанном данной ЭЦП электронном документе.

Пользователь сертификата ключа ЭЦП - физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа ЭЦП для проверки принадлежности ЭЦП владельцу сертификата ключа ЭЦП.

Средства ЭЦП - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций: создание ЭЦП в электронном документе с использованием закрытого ключа ЭЦП, подтверждение с использованием открытого ключа ЭЦП подлинности ЭЦП в электронном документе, создание закрытых и открытых ключей ЭЦП.

Сертификат средств ЭЦП - документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств ЭЦП установленным требованиям.

Сертификат ключа ЭЦП - документ на бумажном носителе или электронный документ с ЭЦП уполномоченного лица удостоверяющего центра, который включает в себя открытый ключ ЭЦП и выдается удостоверяющим центром участнику информационной системы для подтверждения подлинности ЭЦП и идентификации владельца сертификата ключа ЭЦП.

Список отозванных сертификатов (далее - СОС), Certificate revocation list, CRL - электронный документ с ЭЦП уполномоченного лица удостоверяющего центра, включающий в себя список серийных номеров сертификатов открытых ключей ЭЦП, которые на определенный момент времени были отозваны (аннулированы) или действие которых было приостановлено.

Электронный документ - документ, в котором информация представлена в электронно-цифровой форме.

Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа ЭЦП, а также установить отсутствие искажения информации в электронном документе.

3. Общие положения

3.1. Владелец сертификата ключа ЭЦП назначается приказом руководителя организации и наделяется полномочиями использовать ЭЦП в электронном документообороте. Владельцы сертификата ключа ЭЦП осуществляют обмен электронными документами с использованием ЭЦП.

3.2. ЭЦП в электронном документе равнозначна собственноручной подписи должностного лица, имеющего право подписания этого документа, при одновременном соблюдении следующих условий:

сертификат ключа ЭЦП, относящийся к этой ЭЦП, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

подтверждена подлинность ЭЦП в электронном документе;

ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа ЭЦП.

3.3. Пользователь электронного документооборота может быть одно временно владельцем нескольких сертификатов ключей ЭЦП.

3.4. К событиям, связанным с компрометацией ключей ЭЦП, относятся:

утрата ключевых носителей;

утрата ключевых носителей с последующим обнаружением;

увольнение сотрудников, имевших доступ к ключевым носителям;

возникновение подозрений на утечку информации или ее искажение в электронном документообороте;

нарушение целостности печатей на сейфах с ключевыми носителями, если используется процедура опечатывания;

утрата ключей от сейфов (помещений) в момент нахождения в них ключевых носителей;

утрата ключей от сейфов (помещений) в момент нахождения в них ключевых носителей с последующим обнаружением;

доступ посторонних лиц к ключевой информации;

случаи, когда нельзя достоверно установить причину выхода из строя ключевых носителей (в том числе, когда не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника);

другие причины появления сомнений в сохранении тайны закрытого ключа ЭЦП.

4. Порядок действий владельца сертификата ключа ЭЦП

при работе с документами и ЭЦП

4.1. Передача электронного документа.

4.1.1. Переданные владельцу сертификата ключа ЭЦП документы на бумажных носителях подлежат обязательной регистрации в специальном журнале. В журнал заносится информация о реквизитах письма (дата, номер, краткое содержание), инициаторе отправки (управление/отдел и исполнитель), адресате (список рассылки), его электронный адрес. Данная информация подтверждается росписью инициатора отправки. Одновременно с документом на бумажном носителе передается и его электронный вариант со всеми реквизитами, как и в бумажном варианте. После отправления документа адресату указывается дата и время отправки.

4.1.2. При рассылке электронных копий документов согласно списку рассылки владелец сертификата ключа ЭЦП подписывает электронное сообщение с вложенными файлами с помощью своей ЭЦП и отправляет электронное сообщение адресатам. Отправка документа по электронной почте должна быть осуществлена не позднее 2-х часов с момента его получения владельцем сертификата ключа ЭЦП.

4.2. Прием электронных документов, подписанных ЭЦП.

4.2.1. При получении электронного документа, подписанного ЭЦП, владелец сертификата ключа ЭЦП проверяет статус ЭЦП и целостность электронного сообщения.

4.2.2. Отправителю электронного документа направляется уведомление о принятии электронного сообщения, либо, в случае нарушения правильности адреса, подлинности электронного документа или ЭЦП, уведомление об отказе в приеме документа с указанием причины отказа.

4.2.3. Владелец сертификата ключа ЭЦП регистрирует электронный документ в журнале регистрации электронной почты с указанием информации о реквизитах письма, отправителе, его электронный адрес, дату и время получения, распечатывает полученный документ.

4.2.4. Документ на бумажном носителе передается адресатам, иным заинтересованным органам и должностным лицам согласно списку, изложенному в справке рассылки.

4.3. При работе с электронным документом должна обеспечиваться возможность его воспроизведения на бумажном носителе с сохранением всех реквизитов в соответствии с правилами оформления документов на бумажном носителе, кроме собственноручной подписи должностного лица, имеющего право подписания этого документа.

4.4. Обмен электронными документами осуществляется по открытым каналам связи средствами электронной почты между зарегистрированными участниками обмена электронными документами.

4.5. Документы справочно-информационного и технического характера, не имеющие исходящего регистрационного номера, не подлежат обязательной распечатке и регистрации при получении или отправке и не подлежат подписанию ЭЦП.

5. Особые случаи при использовании ЭП

5.1. На электронных письмах могут применяться специальные грифы, требующие особого порядка обработки документов при использовании ЭП:

- срочно;

- уведомление о вручении.

Возможно раздельное или совместное применение этих грифов.

5.2. Гриф “срочно“ требует для исходящих документов немедленной регистрации и отправки по ЭП, для входящих - первоочередной распечатки и передачи его адресату.

5.3. Гриф “уведомление о вручении“ требует для входящих документов передачи их адресату с регистрацией фамилии и должности сотрудника, получившего документ, а также времени вручения. Указанные сведения отправляются администратором ЭП отдельным ответным электронным письмом в адрес отправителя и являются подтверждением о вручении. Данная операция не связана с возможностью автоматического подтверждения о доставке, применяемого в системе ЭП.

6. Обязательные реквизиты и кодовые обозначения

6.1. Официальный документ, передаваемый по ЭП, должен иметь обязательные реквизиты, как и его оригинал, подготовленный в соответствии с требованиями Инструкции по делопроизводству. Документы справочно-информационного и технического характера могут не иметь оригинала.

6.2. В обязательные реквизиты электронного письма входят:

- адрес получателя, поле “Кому/From“;

- адрес ЭП получателя письма;

- заголовок, поле “Тема/Subj“;

- наименование (краткое содержание) передаваемой информации;

- реквизиты отправителя, наименование подразделения, номер телефона, ф.и.о. исполнителя.

7. Порядок хранения и уничтожения электронных документов,

подписанных ЭЦП

7.1. Входящие и исходящие электронные сообщения, подписанные ЭЦП, хранятся у владельца сертификата ключа ЭЦП в течение сроков, установленных Инструкцией по делопроизводству для хранения документов на бумажных носителях.

7.2. Электронные сообщения, подписанные ЭЦП, установленные сроки хранения которых истекли, могут быть уничтожены. Уничтожение электронных сообщений, подписанных ЭЦП, производится не ранее уничтожения копий этих электронных документов на бумажных носителях.

7.3. Архивы входящих и исходящих электронных сообщений, подписанных ЭЦП, ведутся в базе данных почтового клиента на жестком диске (на локальном компьютере с обязательным периодическим изготовлением архивных копий на внешних носителях).

8. Права и обязанности владельца сертификата ключа ЭЦП

8.1. Владелец сертификата ключа ЭЦП обязан:

не использовать для ЭЦП открытые и закрытые ключи ЭЦП, если ему известно, что эти ключи или ключи с такой же кодовой последовательностью используются или использовались ранее;

хранить в тайне закрытый ключ ЭЦП;

немедленно требовать приостановления действия сертификата ключа ЭЦП при наличии оснований полагать, что тайна закрытого ключа ЭЦП нарушена.

8.2. При несоблюдении требований, изложенных в настоящем разделе, и допущении компрометации собственных ключей ЭЦП возмещение причиненных вследствие этого убытков возлагается на владельца сертификата ключа ЭЦП.

8.3. Режим безопасности при работе с СКЗИ должен соответствовать требованиям нормативных документов.

9. Действия сторон при компрометации ключа ЭЦП

9.1. При компрометации ключа ЭЦП владелец сертификата ключа ЭЦП обязан немедленно информировать удостоверяющий центр о наступлении события, трактуемого как компрометация, и прекратить обмен электронными документами с другими участниками электронного документооборота.

9.2. Удостоверяющий центр обязан аннулировать скомпрометированные ключи ЭЦП (занести их сертификаты в СОС).

9.3. Изготовление новых ключей ЭЦП и их сертификация взамен скомпрометированных производится удостоверяющим центром после проведения расследования причин компрометации.

9.4. Замена ключей ЭЦП производится по инициативе владельца сертификата ключа ЭЦП, но не реже одного раза в год.

10. Ответственность участников электронного

документооборота

10.1. Владелец сертификата ключа ЭЦП несет ответственность за сохранность и правильность эксплуатации СКЗИ и своих закрытых ключей ЭЦП.

10.2. Ответственность за содержание и правильность оформления документа на бумажном носителе несет лицо, подписавшее его собственноручной подписью, а ответственность за точность копии этого документа в электронном виде несет владелец сертификата ключа ЭЦП, подписавший электронный документ своей ЭЦП.

10.3. В случае несвоевременного сообщения о факте компрометации ключей ЭЦП владелец сертификата ключа ЭЦП, допустивший компрометацию ключей ЭЦП, несет ответственность в полном объеме за ущерб, причиненный им другим участникам электронного документооборота.

10.4. За неисполнение или ненадлежащее исполнение обязательств по настоящему Положению участники электронного документооборота несут ответственность в соответствии с действующим законодательством Российской Федерации.