4 Aralık 2013 tarih ve 279 sayılı Federal Hazine Emri ile onaylanan Federal Hazine Sertifikasyon Merkezi Düzenlemelerine Ek No. 22

ONAYLADIĞIM _______________________ (Başvuru Sahibi Kuruluş) Başkanı M.P. ______________________ A.A. Ivanov "__" _______________ 20__ Kriptografik bilgi koruma araçlarının kurulumu, bunların devreye alınması ve sorumlu kişilere atanması 1 _________________________________ __________________ (isim) yerleşme ) (tarih, ay, yıl) Bu kanun, ________________________ çalışan (tarih) ___________________________________________________________________________ ______________________________________________________________________ ___________________________________________________________________________ ______________________________________________________________________ (kuruluşun adı, pozisyonu, soyadı, adı, soyadı, diğer bilgiler (örneğin, tarih, lisans numarası) ) (bundan böyle - Bilgi Güvenliği Yöneticisi olarak anılacaktır) kriptografik bilgi koruma aracı kuruldu ve yapılandırıldı ________________________________________ (isim) bundan sonra - PC'de CIPF (Başvuranın iş istasyonu): Seri N (Env. N) PC __________________________________________ Kurulum yeri _________________________________________________________________ ___________________________________________________________________________ (konum adresi, oda numarası) Tam ad HAKKINDA. Başvuru Sahibinin otomatik iş istasyonunun kullanıcısının sorumlu kişisi _________________ ________________________________________________________________________________ (pozisyon, soyadı, ad, soyadı) (bundan sonra CIPF kullanıcısı olarak anılacaktır) __________________________________________________ Reg. N CIPF (kopya numarası) _____________________________________ Başvuranın otomatik iş istasyonunun yerleştirilmesi, ana medyanın depolanması, tesisin güvenliği belirlenen prosedüre uygun olarak düzenlenir. CIPF ile çalışma kuralları konusunda eğitim ve düzenleyici yasal düzenlemeler ile bunlara ilişkin operasyonel ve teknik belgelere ilişkin bilgilerin test edilmesi gerçekleştirildi. CIPF'nin operasyonel ve teknik dokümantasyonunda belirlenen CIPF kullanım koşulları oluşturulmuştur. Kurulu ve yapılandırılmış CIPF çalışır durumda. ZHTYAI formu. __________________________ kağıda yazdırılır, Formun 11. bölümü belirlenen sıraya göre doldurulur, Form güvenli bir şekilde saklanmak üzere Başvuru Sahibinin otomatik iş istasyonunun kullanıcısına aktarılır. Başvuru Sahibinin otomatik iş istasyonunun kullanıcısı şunları taahhüt eder: - kripto anahtarlar ve anahtar bilgilere ilişkin bilgiler de dahil olmak üzere yetkili olduğu gizli bilgileri açıklamamayı; - CIPF'nin ve bununla ilgili temel belgelerin güvenliğinin sağlanmasına yönelik gerekliliklere uymak; - CIPF kurulum kitini, onlar için operasyonel ve teknik belgeleri, CIPF kullanımıyla ilgili görevlerden çıkarılma veya görevden alınma durumunda önemli belgeleri teslim edin; - yetkisiz kişilerin, kendileri için kullanılan CIPF veya anahtar belgeler hakkında bilgi edinme girişimleri hakkında yükleniciyi bilgilendirmek; - Yükleniciye CIPF'nin kaybı veya eksikliği ile ilgili gerçekleri ve onlar için önemli belgeleri derhal bildirin. Kanun iki nüsha halinde hazırlandı. ______________________________/___________//_____________________________ (Bilgi Güvenliği Yöneticisinin pozisyonu) (imza) (Ö.O.'nun Soyadı) _________________________/_____________/___________________________ (sorumlu kişinin pozisyonu (imza) (Ö.O.'nun Soyadı) başvuranın kullanıcısının otomatik iş istasyonu)

ONAYLADIM

________________________________________

(başvuru yapan kuruluşun başkanının konumu)

MP ______________________ _______________

"__" ____________ 20__

devreye alınması ve sorumlu kişilere devredilmesi

_________________________________ __________________

(yer adı) (tarih, ay, yıl)

İÇİNDE_________________________________________________________________________________

(kurumun adı nerede)

_________________________________________________________________________________

(kim tarafından - Bilgi Güvenliği Yöneticisinin pozisyonu, soyadı, adı, soyadı Tamam hala, Daha öte - Bilgi Güvenliği Yöneticisi)

kriptografik bilgi koruma araçları kuruldu ve yapılandırıldı (bundan sonra CIPF olarak anılacaktır):

PC'de: ________________________________________________________________________

(PC sistem ünitesinin seri veya envanter N'si)

(Nerede - PC konum adresi, oda numarası) __________________________________________________________________________________

(PC'yi çalıştırmaktan sorumlu kişinin pozisyonu, tam adı, bundan sonra kriptografik bilgi koruma sisteminin kullanıcısı olarak anılacaktır)

1. Bilgisayarların yerleştirilmesi, anahtar ortamların saklanması ve tesislerin güvenliği belirlenen prosedüre uygun olarak düzenlenir.

2. CIPF ile çalışma kuralları konusunda eğitim ve bunlara ilişkin düzenlemeler ile operasyonel ve teknik belgelere ilişkin bilgilerin test edilmesi gerçekleştirildi.

3. CIPF'nin operasyonel ve teknik dokümantasyonunda belirlenen CIPF kullanım koşulları oluşturulmuştur.

4. Kurulu ve yapılandırılmış CIPF çalışır durumdadır.

5. Crypto-Pro 3.6 ZhTYAI'yi oluşturun. 00050-02 30 01 kağıda basılır, Form'un 11. bölümü belirlenen sıraya göre doldurulur, Form, saklanmak üzere kriptografik bilgi güvenliği kullanıcısına teslim edilir.

6. Jinn Client RU.88338853.501430.008 30 formu kağıda basılır, Formun 7. bölümü öngörülen şekilde doldurulur, Form, saklanmak üzere kriptografik bilgi güvenliği kullanıcısına teslim edilir.

7. Continent_TLS_Client RU.88338853.501430.011 30 formu kağıda basılır, Formun 10. bölümü öngörülen şekilde doldurulur, Form, saklanmak üzere Başvuru Sahibinin otomatik iş istasyonunun kullanıcısına aktarılır.

CIPF kullanıcısı şunları taahhüt eder:

Kripto anahtarları ve anahtar bilgilere ilişkin bilgiler de dahil olmak üzere yetkili olduğu gizli bilgileri ifşa etmeyin;

CIPF'nin ve bununla ilgili önemli belgelerin güvenliğini sağlamaya yönelik gerekliliklere uymak;

CIPF kurulum kitini, operasyonel ve teknik belgelerini, CIPF kullanımıyla ilgili görevlerden çıkarılma veya görevden alınma durumunda önemli belgeleri teslim edin;

Yükleniciyi, yetkisiz kişilerin, kendileri için kullanılan CIPF veya anahtar belgeler hakkında bilgi edinme girişimleri konusunda bilgilendirmek;

Yükleniciye CIPF'nin kaybı veya eksikliği ile ilgili gerçekleri ve onlar için önemli belgeleri derhal bildirin.

Kanun iki nüsha halinde hazırlandı.

_______________________________/_____________/_____________________________

(BS Yöneticisi pozisyonu) (imza) (O.)

______________________________/_____________/______________________________

(CIPF kullanıcısının konumu (imza) (O.)

Elektronik dijital imza (EDS), bilgisayar belge akışı için zorunlu bir gerekliliktir. Bu sadece bir dosya veya mesaj üzerindeki bir işaret değil, aynı zamanda belgenin orijinalliğini ve bozulmasının imkansızlığını garanti eden bir yazılımdır. Resmi kuruluşlarda kuruludur yetkili uzmanlar, çoğu zaman - Sertifika Yetkilisinin temsilcileri. Gerçeğin kanıtı ve bu eylemin doğruluğunun garantisi, bir kurulum sertifikasının hazırlanmasıdır. Elektronik İmza.

DOSYALAR

Dijital imza araçlarının kurulumuna ilişkin yasal düzenlemeler

Elektronik imza kullanma prosedürünü belirleyen ana yasama kanunu federal yasa 04/06/2011 tarih ve 63 sayılı “Elektronik imzada”.

Bu belgeyi detaylandıran ek düzenlemeler:

• Rusya Federasyonu FSB'nin 27 Aralık 2011 tarih ve 795 sayılı Emri “Nitelikli elektronik imza doğrulama anahtarı sertifikası formuna ilişkin şartların onaylanması üzerine”;
• Rusya Federasyonu FSB'nin 27 Aralık 2011 tarih ve 796 sayılı Emri “Elektronik imza araçlarına ilişkin Gereksinimlerin ve sertifika merkezi araçlarına ilişkin Gereksinimlerin onaylanması üzerine.”

Elektronik dijital imza alma prosedürü ve doğrulama anahtarı sertifikası

Bunun hakkında zaten yazdık. Aşağıda özet elektronik almak için yapılacak işlemler dizisi elektronik imza ve anahtar:

1. Bir anlaşmanın imzalanması - Sertifikasyon Merkezi düzenlemelerine katılım konusunda bir anlaşma.
2. Belirli bir alan için anlaşmanın imzalı kopyalarının Federal Hazine Bakanlığı Bölgesel Kayıt Merkezine sağlanması.
3. Başvuru yazma - elektronik imza sağlama konusunda bir mektup.
4. Üzerine yazma özelliği olan boş bir depolama ortamı sağlamak (disk, flash sürücü vb.).
5. Elektronik imza almaya yetkili kişiye vekaletname verilmesi.
6. Kurulum yazılım Başvuru sahibinin otomatik iş istasyonunda.
7. Uzaktan Mali Belge Yönetim Sistemi portalına erişimin sağlanması ve bunun Bölge Kayıt Merkezine yazı ile teyit edilmesi.
8. Yaratılış elektronik anahtar. Bunun için iki seçenek var:
   • başvuru sahibi veya işyerindeki yetkili temsilcisi tarafından;
   • başvuru sahibi tarafından Federal Hazine bilgisayarındaki bir operatörün kontrolü altında.

Sertifikasyon Merkezi uzmanı tam olarak ne yapacak?

Bir bilgisayara dijital imza yükleme prosedürü, elektronik imzanın türüne bağlı olarak biraz değişebilir, ancak çoğu zaman aşağıdaki adımlardan oluşur.

1. Dijital imzaların kurulumu için özel bir programın kurulumu (program Sertifikasyon Merkezinden satın alınır veya ücretsiz olarak alınır).
2. Elektronik anahtar sertifikasının kurulumu.
3. Gerekirse bu anahtar bilgisayar kayıt defterine kaydedilir.
4. İşin tamamlanmasının ardından, kriptografik koruma araçları için bir kurulum sertifikasının kaydedilmesi ve verilmesi.

Sertifika almak için gerekli belgeler

Bireysel bir girişimciden:

• Tanılama;
• Vergi dairesine kayıt belgesi.

Bir kuruluştan – tüzel kişilikten:

• kuruluş adına hareket eden yetkili kişinin kimlik kartı;
• SNILS'i;
• organizasyonu kuran belge;
• Vergi kayıt belgesi.

ÖNEMLİ! Dijital imzanın kullanılması planlanıyorsa otomatik mod yani isimle tanımlama olmadan SNILS'e gerek yoktur.

Gerekli kişisel verilerin sağlanmaması durumunda Sertifikasyon Merkezi, elektronik imza ve bunun doğrulanması için bir sertifika vermeyi reddedecektir.

Dijital imza yükleme programları

Elektronik imzaların çalıştırılmasına yönelik yazılımlar farklılık gösterebilir. Bugün bu amaçla birkaç popüler program kullanılmaktadır:

• “Crypto-Pro” (en yaygın olanı ücretsiz olarak sağlanabilir);
• "Kıta Yukarı";
• “Kıta TLS-VPN İstemcisi”;
• "Cinler."

Kurulumun dış uzmanlar tarafından yapılması durumunda elektronik imza aracının adı ve numarasının kurulum sertifikasına dahil edilmesi gerekmektedir.

Bir kriptografik koruma aracı kurma eyleminin yapısı

Sertifika, elektronik dijital imzayı kullanacak yazılımı kurmak ve yapılandırmak üzere kiralanan harici bir taraf olan yükleniciler tarafından verilir. Uygun programı sağlayan kurulum merkezinin temsilcileri kurulumcu olarak davet edilebilir.

Belge, her taraf için bir tane olmak üzere iki nüsha halinde hazırlanmıştır.

Kopyalardan birinin elektronik anahtarın takıldığı tarihten itibaren on gün içerisinde Sertifikasyon Merkezine iade edilmesi gerekmektedir.

Herhangi bir resmi belge gibi, bu yasa da her özel durumda oraya girilen standart unsurları ve verileri içerir.

Bu tür bir imzayı kullanmaya artık gerek kalmadığı, çalışma koşullarının değiştiği veya elektronik imza sertifikasının kendisinin süresinin dolduğu vb. durumlarda, bir kuruluşta elektronik imza aracının imhası eylemi düzenlenir.

DOSYALAR

Nereye kayıt olunur

Bir anahtar alındığında, numarası ve alınma tarihi mutlaka anahtar sertifikası kayıt defterine girilir. Bu, 6 Nisan 2011 tarih ve 63-FZ sayılı Kanunun 14'üncü maddesinin beşinci paragrafında yansıtılmaktadır.

İmha edildiğinde sorumluların imzaları ile bu belgeye uygun bir not düşülür. Bu durumda elektronik imza cihazının imha işleminin numarası ve tarihi belirtilebilir.

Son teslim tarihleri

Sertifikasyon merkezleri kurum ve kişilere elektronik dijital mühür verir ve bunların geçerlilik sürelerini belirler. Çoğu durumda bu bir takvim yılıdır. Uygulama, kuruluşun gerekli tüm eylemleri elektronik imzayla tamamlamak için zamana sahip olacağı en uygun kullanım süresinin bu olduğunu göstermiştir.

Ayrıca muhasebe departmanı yılda en az bir kez elektronik imzanın geçerlilik süresini kontrol ederek özet bir rapor hazırlar. Kurumdaki işlerin düzgün organize edilmesi durumunda mühür zamanla yenisi ile değiştirilecektir. Önceki sürüm güncel değilse imha edilir.

Elektronik imza türleri

2011 yılında yasa tam olarak hangi elektronik imzaların geçerli olabileceğini tanımladı. Rusya Federasyonu. Yalnızca iki çeşidi vardır: normal ve gelişmiş elektronik baskı. İkincisi ise nitelikli ve niteliksiz örneklere ayrılır.

Tipik bir elektronik imza bir şifre olabilir.

Güçlendirilmiş olan, oluşumunda kriptografik yöntemlerin kullanılması nedeniyle normal olandan farklıdır. Mührün niteliği, özel nitelikli bir sertifikanın verilmesiyle elde edilir.

Tüzel kişilerin yalnızca nitelikli güçlendirilmiş mühür kullanmasına izin verilir. Elektronik imzanın imhası işlemi ise ancak bu tür elektronik imzanın imhası ile ilgili olarak düzenlenebilir.

Yasayı kim hazırlıyor

Bir belgenin yasal güce sahip olabilmesi için, taslağı hazırlayanlar olarak en az üç kişinin listelenmesi gerekir. Genel kabul görmüş gerekliliklere göre, yasa aşağıdakilerle ilgili bilgi içermelidir:

• Kuruluşun tam adı ( tüzel kişilik), elektronik baskı tesisinin sahibi.
• Kanunu hazırlayan komisyon üyelerinin tam adı ve görevleri.
• Belgenin imzalandığı tarih ve şehir. Bu veriler, elektronik imza aracının imha eyleminin adından hemen sonra, üst kısımda yer almaktadır.

• Elektronik imza aracının tam adı.
• İmha yöntemi.
• EDS lisans kayıt kartının aktarılacağı yer.

Üstelik son iki nokta zaten formda formüle edilmiştir. Geriye kalan tek şey yerel hazinenin adını ve işletmede yok edilen muhasebe biriminin adını girmek.

Elektronik imza artık geçerli olmadığında

63-FZ Kanununun 14. maddesinin 6. paragrafı, elektronik dijital baskının daha fazla kullanılmasının uygun olmadığı, kullanım sertifikasının geçersiz hale geldiği bu tür temel durumları öngörmektedir. Bu şu durumlarda gerçekleşir:

• Geçerlilik süresi dolmuştur ve uzatılması gerekmektedir. Tipik olarak, kendileri için elektronik imza ve sertifika düzenleyen CA'lar geçerlilik süresini bir yılla sınırlandırır.
• İmza hakkına sahip olan kişi, onu imha ettiğini ve bir daha kullanmayacağını belirten özel bir beyan yazar.
• Dijital imzayı kullanan kurum kapatılmıştır. Bu durumda bu gerçeği doğrulayan belgelere sahip olmak gerekir.
• Dijital imzayı veren sertifika merkezi kapandı ve haklarını başka bir kuruma devretmedi. Ayrıca elektronik mühür sahiplerini bilgilendirme sorumluluğu da sertifikasyon merkezinin kendisine aittir.
• Sertifikanın geçerli olmaya devam etmesi için sertifikada herhangi bir değişiklik yapmanız (örneğin, süreyi uzatmanız) gerekiyorsa.
• Fiziksel dijital imza taşıyıcısı (örneğin, flash sürücü) arızalanırsa ve hiçbir kopya kaydedilmemişse.

Ayrıca sertifikanın geçerlilik süresi dolmuşsa, sahibi en fazla 5 gün önceden uzatmaya ihtiyacı olduğuna dair bir beyanname yazmak zorundadır. Böyle bir beyanın sahibinin yazmaması durumunda, bu elektronik dijital mühür ile imzalanan tüm belgeler geçerliliğini kaybeder ve bu tür bir elektronik dijital imza yardımıyla onaylanan işlemlerdeki faaliyetler yasa dışı sayılır.

Çoğu sertifikasyon merkezi, mühürlerinin kullanım koşullarını sıkı bir şekilde izler ve bu gibi durumlarda, bunların geçerliliğini uzaktan sona erdirir.

Kim yok edebilir

Elektronik imza araçları, fiziksel mühürlerden daha az kontrol edilmez. Alınma başvurusunu yazan ve iş faaliyetlerinde kullanan sahipleri veya bu çalışanların yetkili temsilcileri tarafından imha edilebilirler.

Önemli! Sertifika sahibi adına hareket etme hakkının noter tasdikli vekaletname ile resmen teyit edilmesi gerekmektedir.

Kimin bilgilendirilmesi gerekiyor

Bunlara ilişkin tüm dijital imzalar ve sertifikalar en başından itibaren genel Sertifika Kaydına girilir. Elektronik imza olanağının tahrip olması durumunda bu bilgilerin 1 iş günü içerisinde bu kayıttan kaldırılması gerekmektedir.

Sertifikanın geçerliliği hem telefonla hem de şahsen sözlü olarak sonlandırılabilse de her şeyin yazılı olarak resmileştirilmesi hukuken daha yetkin olacaktır. Dolayısıyla, örneğin mahkemeye giderken, taraflardan birinin lehine güçlü delil teşkil edebilecek resmi bir belge elinizde kalır.

Ayrıca elektronik imzanın imhası ve sertifikanın iptali hakkında bilgi CAS'a gönderiliyor ve CAS da resmi iptal bildirimi yayınlıyor. Dolayısıyla, geçerli elektronik imzaların kayıt defterinden imha ve silinmesini başlatan kişi, imzanın sahibi veya onu düzenleyen sertifika merkezi olabilir. Ve bu süreçte formu ve örneği sitemizde yayınlanan elektronik imza araçlarının imha edilmesi işlemi oldukça faydalıdır.