УТВЕРЖДЕНО
приказом от 07.09.2015 № 189-од
ПОЛОЖЕНИЕ
об удостоверяющем центре М-Банка1
1. Область применения
Настоящее Положение определяет основные задачи, статус Удостоверяющего центра М-Банка, отражает его место в составе М-Банка и описывает основные операции Удостоверяющего центра, а также регулирует его деятельность по изготовлению и управлению сертификатами открытых ключей, подтверждению подлинности электронной подписи в электронных документах.
2. Нормативные ссылки
При разработке настоящего Положения использовались следующие нормативные документы:
- Федеральный закон РФ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ в текущей редакции.
- Федеральный закон «Об электронной подписи» от 06.04.2011 № 63-ФЗ в текущей редакции.
3. Термины, определения и сокращения
Арбитражная процедура – подтверждение подлинности ЭП в электронных документах, циркулирующих в Информационной системе М-Банка.
Владелец сертификата открытого ключа – лицо, которому в установленном в УЦ порядке выдан сертификат открытого ключа.
ИС – Информационная система.
Пользователь УЦ (Пользователь) – сотрудник М-Банка, участник ИС Банка, подавший заявку на регистрацию в УЦ.
Удостоверяющий центр (УЦ) – Центр сертификации М-Банка, представленный в виде рабочей группы, состоящей из сотрудников М-Банка, осуществляющей выполнение целевых функций Центра сертификации в соответствии с Федеральным законом «Об электронной подписи» от 06.04.2011 № 63-ФЗ в текущей редакции.
Уполномоченное лицо удостоверяющего центра – физическое лицо, входящее в состав Удостоверяющего центра и наделенное полномочиями по заверению от имени Удостоверяющего центра сертификатов открытых ключей.
ЭП – электронная подпись.
4. Общие положения
УЦ является рабочей группой, действующей на постоянной основе, которая формируется из числа сотрудников М-Банка.
Создание, ликвидация и реорганизация УЦ осуществляется в соответствии с приказами Председателя Правления М-Банка.
Деятельность УЦ осуществляется в соответствии с общими принципами информационного обмена и информационной безопасности информационных систем, эксплуатирующихся в М-Банке, Федеральным законом «Об электронной подписи» от 06.04.2011 № 63-ФЗ в текущей редакции, иными законодательными и нормативными актами Российской Федерации и организационно-распорядительными документами М-Банка.
УЦ возглавляет руководитель УЦ, который непосредственно подчиняется Председателю Правления М-Банка. Назначение и освобождение от выполнения обязанностей руководителя УЦ осуществляет Председатель Правления М-Банка.
Положение вступает в силу после его утверждения Председателем Правления М-Банка.
В своей деятельности УЦ руководствуется:
- Федеральным законом РФ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ в текущей редакции;
- Федеральным законом «Об электронной подписи» от 06.04.2011 № 63-ФЗ в текущей редакции;
- Уставом М-Банка;
- Нормативными документами М-Банка;
- Приказами, распоряжениями и указаниями Председателя Правления М-Банка;
- Настоящим Положением.
5. Цели и задачи Удостоверяющего центра
Обеспечение участников информационных систем, обслуживающихся в УЦ, средствами применения Электронной подписи и шифрования путем реализации технологии инфраструктуры открытых ключей.
Изготовление сертификатов открытых ключей с обеспечением достоверности заносимой в сертификаты информации и гарантией уникальности открытых ключей изготовленных сертификатов, и управление ими на протяжении всего периода действия.
Выполнение процедур по разрешению конфликтных ситуаций, возникающих между участниками информационных систем при использовании средств ЭП и шифрования.
Предоставление консультаций по вопросам использования ЭП и шифрования в информационных системах.
Реализация в УЦ требований по обеспечению сохранности в тайне конфиденциальной информации и защиты информации, обрабатываемой в УЦ, от несанкционированного доступа.
Поддержание работоспособности программных и технических средств обеспечения деятельности УЦ, а также восстановление в установленные сроки работоспособности центра после аварийных сбоев.
Поддержка электронного документооборота корпоративной информационной системы М-Банка.
6. Состав Удостоверяющего центра
УЦ возглавляется руководителем, который несет персональную ответственность за выполнение поставленных перед УЦ задач.
Численность и состав УЦ устанавливается Председателем Правления М-Банка по представлению Руководителя УЦ.
Перечень ролей УЦ:
- руководитель Удостоверяющего центра,
- оператор Удостоверяющего центра.
Сопровождение программного обеспечения УЦ выполняется сотрудниками, назначенными на роль Администратора сервера.
7. Функции Удостоверяющего центра
Регистрация пользователей УЦ.
Изготовление сертификатов открытых ключей в электронной форме и их копий на бумажном носителе по заявлению пользователей.
Предоставление (выдача) сертификатов открытых ключей в электронной форме, находящихся в реестре изготовленных сертификатов, и сертификата уполномоченного лица УЦ по запросам пользователей.
Аннулирование (отзыв) сертификатов открытых ключей по заявлениям их владельцев и в иных случаях, предусмотренных утвержденным порядком предоставления услуг УЦ.
Предоставление участникам информационных систем, обслуживающихся в УЦ, сведений об аннулированных (отозванных) сертификатах и сертификатах, действие которых приостановлено.
Подтверждение подлинности ЭП в электронных документах, циркулирующих в информационных системах, по обращениям участников этих информационных систем, обслуживающихся в УЦ.
Подтверждение подлинности ЭП уполномоченного лица УЦ в изданных сертификатах открытых ключей по обращениям участников информационных систем, обслуживающихся в УЦ.
Ведение и поддержание в актуальном состоянии реестра УЦ, включающего:
- реестр зарегистрированных пользователей;
- реестр изготовленных сертификатов открытых ключей пользователей;
- реестр аннулированных сертификатов открытых ключей пользователей;
- реестр заявлений на изготовление сертификатов открытых ключей пользователей;
- реестр заявлений на аннулирование (отзыв) сертификатов открытых ключей пользователей;
- служебную информацию УЦ.
Установление порядка ведения реестра сертификатов и порядка доступа к нему, а также обеспечение доступа к информации, содержащейся в реестре сертификатов.
Проверка уникальности ключей проверки ЭП в реестре сертификатов.
Разработка и представление на утверждение в установленном порядке проектных, регламентирующих и инструктивных документов по сопровождению и развитию УЦ.
Осуществление периодических работ по резервному копированию баз данных, являющихся электронными составляющими реестра УЦ, обеспечение учета и надежного хранения созданных электронных копий.
Обеспечение работоспособности программных и технических средств УЦ во всех определенных порядком предоставления услуг УЦ режимах и в течение всего рабочего дня УЦ.
Обеспечение актуальности информации, содержащейся в реестре сертификатов, и ее защиты от неправомерного доступа, уничтожения, модификации, блокирования, иных неправомерных действий.
Предоставление пользователю по его обращению в соответствии с установленным порядком доступа к реестру сертификатов информации, содержащейся в реестре сертификатов, в том числе информации об аннулировании сертификата открытого ключа.
Восстановление работоспособности УЦ после аварийных сбоев в установленные сроки с минимальными информационными потерями.
Обеспечение сохранности в тайне конфиденциальной информации и защиты информации, обрабатываемой в УЦ, от несанкционированного доступа.
Предоставление средств криптографической защиты информации, а также иного необходимого для работы программного обеспечения пользователям УЦ.
Информирование в письменной форме пользователей и владельцев об условиях и о порядке использования ЭП и средств ЭП, о рисках, связанных с использованием ЭП, и о мерах, необходимых для обеспечения безопасности ЭП и их проверки.
8. Требования к порядку предоставления и пользования услугами
Удостоверяющего центра
8.1. Требования к процедуре первичной регистрации пользователей
и изготовлению первого сертификата открытого ключа
Регистрация Пользователя в Удостоверяющем центре должна осуществляться Оператором УЦ на основании заявки.
Заявка на регистрацию должна содержать:
- Ф.И.О. пользователя, подавшего заявку;
- подразделение, которому принадлежит пользователь в М-Банке;
- должность пользователя;
- внутренний телефон пользователя;
- адрес электронной почты пользователя;
- указание на проведение работ по регистрации сотрудниками УЦ и изготовлению сертификата открытого ключа;
- дату создания заявки.
Регистрирующееся лицо должно лично прибыть в УЦ.
Перед выполнением процедуры регистрации лицо, проходящее регистрацию, должно быть идентифицировано путем установления личности.
Процедура регистрации должна включать в себя изготовление пары ключей (закрытый ключ и открытый ключ) и сертификата открытого ключа, заверенного УЦ, а также ключевой носитель. Во всех случаях, где это возможно, закрытый ключ должен быть помещен на отчуждаемый ключевой носитель.
Для каждого изготовленного сертификата открытого ключа должны быть изготовлены две копии сертификата открытого ключа на бумажном носителе по форме определенной в Приложении 1 к настоящему Положению. Все копии сертификата открытого ключа на бумажном носителе должны быть заверены собственноручной подписью лица, проходящего процедуру регистрации, и собственноручной подписью ответственного сотрудника Удостоверяющего центра, изготовившего сертификат открытого ключа.
По окончании процедуры Пользователю УЦ должны быть выданы:
- а) ключевой носитель, содержащий:
- закрытый ключ пользователя;
- сертификат открытого ключа Пользователя УЦ, заверенный УЦ;
- б) дополнительно Пользователю УЦ предоставляется (на внешнем носителе):
- копия сертификата открытого ключа Пользователя УЦ на бумажном носителе.
8.2. Требования к повторному изготовлению и получению сертификата открытого ключа
для зарегистрированных пользователей
Изготовление ключей и сертификата открытого ключа Владельца должно осуществляться при плановой и внеплановой смене закрытого ключа Владельца или по истечении срока действия сертификата открытого ключа Владельца.
Формирование ключей и сертификата открытого ключа должно осуществляться Оператором УЦ на основании заявки.
Заявка должна содержать:
- Ф.И.О. владельца, подавшего заявку;
- подразделение, которому принадлежит владелец в М-Банке;
- должность владельца;
- внутренний телефон владельца;
- адрес электронной почты владельца;
- указание на проведение работ по изготовлению сертификата открытого ключа;
- дату создания заявки.
Для каждого изготовленного сертификата открытого ключа должны быть изготовлены две копии сертификата открытого ключа на бумажном носителе по форме, определенной в Приложении 1 к настоящему Положению. Все копии сертификата открытого ключа на бумажном носителе должны быть заверены собственноручной подписью лица, проходящего процедуру регистрации, собственноручной подписью ответственного сотрудника Удостоверяющего Центра, изготовившего сертификат открытого ключа.
По окончании процедуры пользователю УЦ должны быть выданы:
- а) ключевой носитель, содержащий:
- закрытый ключ пользователя;
- сертификат открытого ключа Пользователя УЦ, заверенный УЦ;
- б) дополнительно Пользователю УЦ предоставляются (на внешнем носителе):
- копия сертификата открытого ключа Пользователя УЦ на бумажном носителе.
8.3. Требования к аннулированию (отзыву) сертификата открытого ключа
Аннулирование (отзыв) сертификата открытого ключа Владельца должно осуществляться Оператором УЦ на основании заявки Владельца.
Заявка должна содержать:
- Ф.И.О. владельца, подавшего заявку;
- подразделение, которому принадлежит владелец в М-Банке;
- должность владельца;
- внутренний телефон владельца;
- адрес электронной почты владельца;
- указание на проведение работ по аннулированию (отзыву) сертификата ключа подписи;
- причину аннулирования сертификата ключа подписи;
- дату создания заявки.
Перед выполнением процедуры аннулирования лицо, направившее заявку, должно быть идентифицировано путем установления личности.
8.4. Требования к проведению Арбитражной процедуры
Арбитражная процедура должна осуществляться Оператором УЦ на основании заявки Пользователя, содержащей файл электронного документа.
Электронная подпись в предоставленном электронном документе должна считаться равнозначной собственноручной подписи при выполнении следующих условий:
- сертификат открытого ключа заверен Удостоверяющим центром и не утратил силу (действует) на момент формирования ЭП в электронном документе;
- электронная подпись, проверенная с использованием сертификата открытого ключа подписи, верна;
- формирование ЭП было осуществлено без нарушений условий настоящего Положения.
Арбитражную процедуру должна осуществлять комиссия, сформированная из числа сотрудников Удостоверяющего Центра (Арбитражная комиссия).
Результатом Арбитражной процедуры является заключение в письменной форме, подписанное всеми членами Арбитражной комиссии и заверенное печатью Удостоверяющего Центра.
Заключение должно содержать:
- результат проверки ЭП электронного документа;
- отчет по выполненной проверке.
Отчет по выполненной проверке должен содержать:
- время и место проведения проверки;
- состав Арбитражной комиссии, осуществлявшей проверку;
- основание для проведения проверки (заявка Пользователя);
- содержание и результаты проверки с указанием примененных методов;
- обоснование результатов проверки;
- данные, представленные Арбитражной комиссии для проведения проверки.
Отчет по выполненной проверке должен составляться в письменной форме и заверяться собственноручными подписями всех членов Арбитражной комиссии.
8.5. Требования к порядку действий при компрометации закрытого ключа
К событиям, связанным с компрометацией закрытого ключа, относятся следующие:
- утрата ключевых носителей информации;
- утрата ключевых носителей информации с последующим обнаружением;
- увольнение сотрудников, имевших доступ к закрытому ключу;
- нарушение правил уничтожения (после окончания срока действия) закрытого ключа;
- нарушение правил хранения ключевых носителей;
- изменение статуса Владельца;
- случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника).
При компрометации закрытого ключа должны быть проведены следующие мероприятия:
- а) Владелец должен:
- немедленно прекратить передачу информации с использованием скомпрометированных ключей во всех ИС Банка;
- сообщить Оператору УЦ по электронной почте и по телефону о факте компрометации (или о подозрении в происшедшей компрометации) ключевой информации с указанием времени компрометации и того, что конкретно было скомпрометировано;
- б) Оператор УЦ должен аннулировать (отозвать) сертификат открытого ключа.
Аннулирование (отзыв) сертификата может быть выполнено на основании:
- извещения Владельца;
- сообщения о компрометации ключевой информации от сотрудников Департамента информационной безопасности, Департамента технической безопасности или Департамента безопасности;
- сообщения о компрометации ключевой информации от руководителя Владельца, если Владельцем ключа является сотрудник М-Банка;
- других документов, на основании которых можно сделать вывод о компрометации (или подозрении в компрометации) ключевой информации.
Работа Владельца с ЭП должна быть прекращена до регистрации нового ключа ЭП во всех ИС М-Банка.
9. Технические требования
Длина закрытого ключа должна составлять не менее чем 1024 бит.
Срок действия сертификата открытого ключа должен составлять не более 3 (Трех) лет с момента выпуска сертификата.