ФЕДЕРАЛЬНАЯ НАЛОГОВАЯ СЛУЖБА

ПРИКАЗ

от 17 декабря 2008 года N ММ-3-6/665@

Об утверждении Порядка ведения единого пространства доверия сертификатам ключей ЭЦП

В целях унификации процесса информационного взаимодействия налоговых органов и хозяйствующих субъектов в электронном виде с использованием электронной цифровой подписи (ЭЦП)

приказываю:

1. Утвердить прилагаемый Порядок ведения единого пространства доверия сертификатам ключей ЭЦП (далее - Порядок).

2. Управлению информатизации (В.Г.Колесников), ФГУП "ГНИВЦ ФНС России" (И.Н.Задворнов) привести в соответствие с утвержденным Порядком имеющиеся нормативные документы ФНС России, ФГУП "ГНИВЦ ФНС России", регламентирующие деятельность удостоверяющих центров.

3. Административному управлению (И.В.Акунова) опубликовать на сайте ФНС России в сети Интернет настоящий приказ в недельный срок после утверждения.

4. Руководителям управлений ФНС России по субъектам Российской Федерации не позднее трех рабочих дней довести настоящий приказ до территориальных налоговых органов.

5. Руководителям управлений ФНС России по субъектам Российской Федерации, начальникам межрегиональных инспекций ФНС России по крупнейшим налогоплательщикам обеспечить исполнение Порядка.

6. Контроль исполнения настоящего приказа возложить на заместителя руководителя Федеральной налоговой службы Н.Е.Мельникова.

Руководитель Федеральной
налоговой службы
М.П.Мокрецов

УТВЕРЖДЕН
приказом ФНС России
от 17 декабря 2008 года N ММ-3-6/665@

     

ПОРЯДОК
ведения единого пространства доверия сертификатам ключей ЭЦП

1. Термины и определения

Владелец сертификата ключа подписи (владелец СКП) - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы).

Валидный СКП - сертификат, положительно прошедший все необходимые операции проверки валидности.

Доверенный удостоверяющий центр (ДУЦ) - удостоверяющий центр, аккредитованный в сети доверенных УЦ ФНС России.

Закрытый ключ ЭЦП - уникальная последовательность символов, известная владельцу СКП и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств ЭЦП.

Единое пространство доверия - структура, определяющая организационные границы, в пределах которых находятся только заслуживающие доверия удостоверяющие центры, а сертификаты ключей подписей, изготовленные ими, признаются всеми участниками информационного взаимодействия в границах структуры и на равных условиях.

Идентификация - действия по присвоению субъектам и объектам доступа идентификаторов и (или) по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Идентификатор пользователя - уникальный в рамках удостоверяющего центра (УЦ) код пользователя (последовательность символов), позволяющий провести авторизацию пользователя. В УЦ идентификаторы пользователя генерируются на основе данных, взятых из заявления пользователя на регистрацию.

Информационная безопасность (безопасность информации) - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п.

Информационный обмен - обмен сведениями о лицах, предметах, фактах, событиях и процессах, независимо от формы их представления.

Информационный ресурс Организатора сети ДУЦ ФНС России (ИРУЦ) - автоматизированная система, позволяющая проводить автоматическую регистрацию и актуализацию регистрационных данных (включая СКП) участников юридически значимого электронного документооборота.

Ключевой носитель - электронный носитель ключевой информации, содержащий один или несколько ключей.

Компрометация ключа - утрата доверия к тому, что используемые закрытые ключи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся, в том числе, следующие:

- утрата ключевых носителей;

- утрата ключевых носителей с последующим обнаружением;

- увольнение сотрудников, имевших доступ к ключевой информации;

- возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;

- нарушение целостности печатей на сейфах с ключевыми носителями, если используется процедура опечатывания сейфов;

- утрата ключей от сейфов в момент нахождения в них ключевых носителей;

- утрата ключей от сейфов в момент нахождения в них ключевых носителей с последующим обнаружением;

- доступ посторонних лиц к ключевой информации.

Конфликтная ситуация - противоречивые позиции сторон по какому-либо поводу; стремление к противоположным целям или использование различных средств для их достижения; несовпадение интересов, желаний сторон. В ходе обмена ЮЗЭД возможно возникновение спорных ситуаций, связанных с реализацией прав пользователей СКП.

Конфиденциальная информация - любая информация, доступ к которой ограничен законодательством Российской Федерации, не содержащая сведений, составляющих государственную тайну.

Кросс-сертификат - СКП уполномоченного лица Доверенного УЦ, подписанный ЭЦП уполномоченного лица Организатора сети ДУЦ.

Объект доступа - единица ресурса автоматизированной информационной системы, доступ к которой регламентируется правилами разграничения доступа.

Организатор сети доверенных УЦ ФНС России (Организатор сети ДУЦ) - удостоверяющий центр, приказом ФНС России назначенный головным УЦ в сети доверенных удостоверяющих центров ФНС России.

Открытый ключ ЭЦП - уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств ЭЦП подлинности ЭЦП в электронном документе.

Пользователь СКЗИ - физическое или юридическое лицо, обладающее правом пользования средством криптографической защиты информации. Право пользования подтверждается лицензией производителя СКЗИ, выданной пользователю.

Проверка валидности сертификата ключа подписи - это действия, производимые над проверяемым сертификатом ключа подписи для того, чтобы убедиться в возможности его использования, а именно:

- проверка целостности сертификата ключа подписи;

- проверка срока действия сертификата ключа подписи;

- проверка отсутствия сертификата ключа подписи в актуальном списке отозванных сертификатов ключей подписей;

- проверка области действия сертификата ключа подписи.

Сертификат ключа подписи (СКП) - (сертификат открытого ключа) - документ на бумажном носителе и электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.

Сеть доверенных УЦ - сеть доверенных удостоверяющих центров Федеральной налоговой службы Российской Федерации.

Система - система юридически значимого электронного документооборота Федеральной налоговой службы Российской Федерации (далее - ФНС России) при информационном взаимодействии с хозяйствующими субъектами.

Список отозванных сертификатов (СОС) - файл, подписанный УЦ, содержащий серийные номера СКП, прекративших свое действие (отозванных) раньше установленного срока, причину прекращения действия, информацию об УЦ, отозвавшем сертификаты, и другую служебную информацию.

Средства криптографической защиты информации (СКЗИ) - средства шифрования, средства имитозащиты, средства электронной цифровой подписи, средства кодирования, средства изготовления ключевых документов и ключевые документы (независимо от вида носителя ключевой информации).

Средства электронной цифровой подписи (средства ЭЦП) - аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи.

Удостоверяющий центр (УЦ) - организация (юридическое лицо), оказывающая услуги по управлению жизненным циклом СКП, в соответствии с законодательством Российской Федерации.

Уполномоченное лицо УЦ - сотрудник, назначенный приказом, либо распоряжением руководителя УЦ, на имя (псевдоним) которого выдан сертификат ключа подписи центра сертификации УЦ.

Участники Системы - налоговые органы и хозяйствующие субъекты, осуществляющие обмен электронными документами с электронной цифровой подписью, а также предоставляющие услуги по обеспечению и обслуживанию осуществляемого обмена в рамках Системы.

Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Электронный документ (ЭД) - документ, в котором информация представлена в электронно-цифровой форме.

Юридически значимый электронный документ (ЮЗЭД) - электронный документ, подписанный ЭЦП уполномоченного лица Участника Системы.

2. Общие положения

Настоящий Порядок ведения единого пространства доверия сертификатам ключей ЭЦП (далее - Порядок ведения ЕПД) определяет общие принципы взаимодействия УЦ в сети доверенных УЦ с целью организации единого пространства доверия сертификатам ключей подписей в рамках информационного взаимодействия ФНС России и хозяйствующих субъектов (далее - Участников Системы).

Сеть доверенных УЦ ФНС России создана в соответствии с приказом ФНС России от 13.06.2006 N САЭ-3-27/346@ "Об организации сети доверенных удостоверяющих центров".

Участниками Системы являются:

- налоговые органы (далее - НО);

- хозяйствующие субъекты, осуществляющие юридически значимый электронный документооборот с налоговыми органами;

- УЦ ФНС России;

- Организатор сети ДУЦ ФНС России;

- Доверенные УЦ ФНС России;

- специализированные операторы связи (далее - Спецоператоры).

Порядок ведения ЕПД описывает:

- порядок действий Участников Системы при обмене юридически значимыми электронными документами, в части применения сертификатов ключей ЭЦП;

- управление единым пространством доверия сертификатам ключей ЭЦП;

- поддержание данных единого пространства доверия сертификатам ключей ЭЦП в актуальном состоянии;

- разграничение сфер ответственности между Участниками Системы.

Целью создания Порядка ведения ЕПД является обеспечение юридически значимого электронного документооборота, а также предупреждение и разрешение конфликтных ситуаций, касающихся авторства и целостности юридически значимых электронных документов.

Применение Порядка ведения ЕПД позволяет унифицировать процесс взаимодействия всех участников обмена при информационном взаимодействии в части использования СКП, а также зафиксировать перечень возможных действий Участников Системы при работе с единым пространством доверия.

Исполнение данного документа является обязательным для всех Участников Системы.

3. Границы единого пространства доверия

Единое пространство доверия достигается совокупностью организационно-технических мероприятий по установлению доверия СКП при информационном взаимодействии хозяйствующих субъектов с информационными системами ФНС России.

Основными элементами единого пространства доверия являются:

- УЦ ФНС России;

- Организатор сети ДУЦ ФНС России;

- Доверенные УЦ ФНС России.

Назначение УЦ ФНС России - управление единым пространством доверия, выпуск СКП.