Белов Е.Б., Лось В.П и др. Основы информационной безопасности

Подождите немного. Документ загружается.

2. Органы государственной власти и организации, ответственные за

формирование и использование информационных ресурсов, подлежащих

защите, а также органы и организации, разрабатывающие и применяю-

щие информационные системы и информационные технологии для фор-

мирования и использовани информационных ресурсов с ограниченным

доступом, руководствуются в своей деятельности законодательством РФ.

3. Контроль за соблюдением требований к защите информации и экс-

плуатацией специальных программно- технических средств защиты,

а также обеспечение организационных мер защиты информационных

систем, обрабатывающих информацию с ограниченным доступом в него-

сударственных структурах, осуществляются органами государственной

власти. Контроль осуществляется в порядке, определяемом Правительст-

вом РФ.

4. Организации, обрабатывающие информацию с ограниченным дос-

тупом, которая является собственностью государства, создают специаль-

ные службы, обеспечивающие защиту информации.

5. Собственник информационных ресурсов или уполномоченные им

лица имеют право осуществлять контроль за выполнением требований по

защите информации и запрещать или приостанавливать обработку ин-

формации в случае невыполнения этих требований.

6. Собственник или владелец документированной информации впра-

ве обращаться в органы государственной власти для оценки правильно-

сти выполнения норм и требований по защите его информации в инфор-

мационных системах. Соответствующие органы определяет Правитель-

ство РФ. Эти органы соблюдают условия конфиденциальности самой

информации и результатов проверки.

Статья 22. Права и обязанности субъектов в области

защиты информации

1. Собственник документов, массива документов, информационных

систем или уполномоченные им лица в соответствии с настоящим Феде-

ральным законом устанавливают порядок предоставления пользователю

информации с указанием места, времени, ответственных должностных

лиц, а также необходимых процедур и обеспечивают условия доступа

пользователей к информации.

2. Владелец документов, массива документов, информационных сис-

тем обеспечивает уровень защиты информации в соответствии с законо-

дательством РФ.

3. Риск, связанный с использованием несертифицированных инфор-

мационных систем и средств их обеспечения, лежит на собственнике

(владельце) этих систем и средств.

Риск, связанный с использованием информации, полученной из не-

сертифицированной системы, лежит на потребителе информации.

4. Собственник документов, массива документов, информационных

систем может обращаться в организации, осуществляющие сертифика-

цию средств защиты информационных систем и информационных ресур-

сов, для проведения анализа достаточности мер защиты его ресурсов

и систем и получения консультаций.

5. Владелец документов, массива документов, информационных сис-

тем обязан оповещать собственника информационных ресурсов и (или)

информационных систем о всех фактах нарушения режима защиты ин-

формации.

Статья 23. Защита прав субъектов в сфере

информационных процессов и информатизации

1. Защита прав субъектов в сфере формирования информационных

ресурсов, пользования информационными ресурсами, разработки, произ-

водства и применения информационных систем, технологий и средств их

обеспечения осуществляется в целях предупреждения правонарушений,

пресечения неправомерных действий, восстановления нарушенных прав

и возмещения причиненного ущерба.

2. Защита прав субъектов в указанной сфере осуществляется судом,

арбитражным судом, третейским судом с учетом специфики правонару-

шений и нанесенного ущерба.

3. За правонарушения при работе с документированной информацией

органы государственной власти, организации и их должностные лица не-

сут ответственность в соответствии с законодательством РФ и субъектов РФ.

Для рассмотрения конфликтных ситуаций и зашиты прав участников

в сфере формирования и использования информационных ресурсов, соз-

дания и использования информационных систем, технологий и средств их

обеспечения могут создаваться временные и постоянные третейские суды.

Третейский суд рассматривает конфликты и споры сторон в порядке,

установленном законодательством о третейских судах.

4. Ответственность за нарушения международных норм и правил

в области формирования и использования информационных ресурсов,

создания и использования информационных систем, технологий и

средств их обеспечения возлагается на органы государственной власти,

организации и граждан в соответствии с договорами, заключенными ими

с зарубежными фирмами и другими партнерами с учетом международ-

ных договоров, ратифицированных Российской Федерацией.

Статья 24. Защита права на доступ к информации

1. Отказ в доступе к открытой информации или предоставление поль-

зователям заведомо недостоверной информации могут быть обжалованы

в судебном порядке. Неисполнение или ненадлежащее исполнение обяза-

тельств по договору поставки, купли-продажи, по другим формам обмена

информационными ресурсами между организациями рассматриваются

арбитражным судом.

Во всех случаях лица, которым отказано в доступе к информации,

и лица, получившие недостоверную информацию, имеют право на воз-

мещение понесенного ими ущерба.

2. Суд рассматривает споры о необоснованном отнесении информа-

ции к категории информации с ограниченным доступом, иски о возмеще-

нии ущерба в случаях необоснованного отказа в предоставлении инфор-

мации пользователям или в результате других нарушений прав пользова-

телей.

3. Руководители, другие служащие органов государственной власти,

организаций, виновные в незаконном ограничении доступа к информации

и нарушении режима защиты информации, несут ответственность в соот-

ветствии с уголовным, гражданским законодательством и законодатель-

ством об административных правонарушениях.

Статья 25. Вступление в силу настоящего Федерального

закона

1. Настоящий Федеральный закон вступает в силу со дн его офици-

ального опубликования.

2. Предложить Президенту РФ привести в соответствие с настоящим

Федеральным законом изданные им правовые акты.

3. Поручить Правительству РФ:

• привести в соответствие с настоящим Федеральным законом издан-

ные им правовые акты;

• подготовить и внести в Государственную Думу в трехмесячный срок

в установленном порядке предложения о внесении изменений и до-

полнений в законодательство РФ в связи с принятием настоящего

Федерального закона;

• принять нормативные правовые акты, обеспечивающие реализацию

настоящего Федерального закона.

Президент РФ

Б.ЕЛЬЦИН

Москва, Дом Советов России

20 февраля 1995 г. № 24-ФЗ

Приложение 6

ФЕДЕРАЛЬНЫЙ ЗАКОН

РОССИЙСКОЙ ФЕДЕРАЦИИ

«ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»

от 10 января 2002 г. № 1-ФЗ

Принят Государственной Думой 13 декабря 2001 г.

Одобрен Советом Федераций 26 декабря 2001 г.

Глава 1. Общие положения

Статья 1. Цель и сфера применения настоящего

Федерального закона

1. Целью настоящего Федерального закона является обеспечение

правовых условий использования электронной цифровой подписи в элек-

тронных документах, при соблюдении которых электронная цифровая

подпись в электронном документе признается равнозначной собственно-

ручной подписи в документе на бумажном носителе.

2. Действие настоящего Федерального закона распространяется на

отношения, возникающие при совершении гражданско-правовых сделок

и в других предусмотренных законодательством РФ случаях. Действие

настоящего Федерального закона не распространяется на отношения,

возникающие при использовании иных аналогов собственноручной под-

писи.

Статья 2. Правовое регулирование отношений в области

использования электронной цифровой подписи

Правовое регулирование отношений в области использования элек-

тронной цифровой подписи осуществляется в соответствии с настоящим

Федеральным законом, Гражданским кодексом РФ, Федеральным зако-

ном «Об информации, информатизации и защите информации», Феде-

ральным законом «О связи», другими федеральными законами и прини-

маемыми в соответствии с ними иными нормативными правовыми акта-

ми РФ, а также осуществляется соглашением сторон.

Статья 3. Основные понятия, используемые в настоящем

Федеральном законе

Для целей настоящего Федерального закона используются следую-

щие основные понятия:

• электронный документ - документ, в котором информация пред-

ставлена в электронно-цифровой форме;

• электронная цифровая подпись - реквизит электронного докумен-

та, предназначенный для защиты данного электронного документа от

подделки, полученный в результате криптографического преобразо-

вания информации с использованием закрытого ключа электронной

цифровой подписи и позволяющий идентифицировать владельца

сертификата ключа подписи, а также установить отсутствие искаже-

ния информации в электронном документе;

• владелец сертификата ключа подписи - физическое лицо, на имя

которого удостоверяющим центром выдан сертификат ключа под-

писи и которое владеет соответствующим закрытым ключом элек-

тронной цифровой подписи, позволяющим с помощью средств элек-

тронной цифровой подписи создавать свою электронную цифровую

подпись в электронных документах (подписывать электронные до-

кументы);

• средства электронной цифровой подписи - аппаратные и (или)

программные средства, обеспечивающие реализацию хотя бы одной

из следующих функций - создание электронной цифровой подписи

в электронном документе с использованием закрытого ключа элек-

тронной цифровой подписи, подтверждение с использованием от-

крытого ключа электронной цифровой подписи подлинности элек-

тронной цифровой подписи в электронном документе, создание за-

крытых и открытых ключей электронных цифровых подписей;

• сертификат средств электронной цифровой подписи - документ

на бумажном носителе, выданный в соответствии с правилами сис-

темы сертификации для подтверждения соответствия средств элек-

тронной цифровой подписи установленным требованиям;

• закрытый ключ электронной цифровой подписи - уникальная по-

следовательность символов, известная владельцу сертификата ключа

подписи и предназначенная для создания в электронных документах

электронной цифровой подписи с использованием средств электрон-

ной цифровой подписи;

• открытый ключ электронной цифровой подписи - уникальная по-

следовательность символов, соответствующая закрытому ключу

электронной цифровой подписи, доступная любому пользователю

информационной системы и предназначенная для подтверждения

с использованием средств электронной цифровой подписи подлинно-

сти электронной цифровой подписи в электронном документе;

• сертификат ключа подписи - документ на бумажном носителе или

электронный документ с электронной цифровой подписью уполно-

моченного лица удостоверяющего центра, которые включают в себя

открытый ключ электронной цифровой подписи и которые выдаются

удостоверяющим центром участнику информационной системы для

подтверждения подлинности электронной цифровой подписи и

идентификации владельца сертификата ключа подписи;

• подтверждение подлинности электронной цифровой подписи

в электронном документе - положительный результат проверки со-

ответствующим сертифицированным средством электронной цифро-

вой подписи с использованием сертификата ключа подписи принад-

лежности электронной цифровой подписи в электронном документе

владельцу сертификата ключа подписи и отсутствия искажений

в подписанном данной электронной цифровой подписью электрон-

ном документе;

• пользователь сертификата ключа подписи - физическое лицо, ис-

пользующее полученные в удостоверяющем центре сведения о сер-

тификате ключа подписи для проверки принадлежности электронной

цифровой подписи владельцу сертификата ключа подписи;

• информационная система общего пользования - информационная

система, которая открыта для использования всеми физическими

и юридическими лицами и в услугах которой этим лицам не может

быть отказано;

• корпоративная информационная система - информационная сис-

тема, участниками которой может быть ограниченный круг лиц, оп-

ределенный ее владельцем или соглашением участников этой ин-

формационной системы.

Глава 2. Условия использования электронной

цифровой подписи

Статья 4. Условия признания равнозначности электронной

цифровой подписи и собственноручной подписи

1. Электронная цифровая подпись в электронном документе равно-

значна собственноручной подписи в документе на бумажном носителе

при одновременном соблюдении следующих условий:

• сертификат ключа подписи, относящийся к этой электронной цифро-

вой подписи, не утратил силу (действует) на момент проверки или

на момент подписания электронного документа при наличии доказа-

тельств, определяющих момент подписания;

• подтверждена подлинность электронной цифровой подписи в элек-

тронном документе;

• электронная цифровая подпись используется в соответствии со све-

дениями, указанными в сертификате ключа подписи.

2. Участник информационной системы может быть одновременно

владельцем любого количества сертификатов ключей подписей. При

этом электронный документ с электронной цифровой подписью имеет

юридическое значение при осуществлении отношений, указанных в сер-

тификате ключа подписи.

Статья 5. Использование средств электронной цифровой

подписи

1. Создание ключей электронных цифровых подписей осуществляет-

ся для использования в:

• информационной системе общего пользования ее участником или

по его обращению удостоверяющим центром;

• корпоративной информационной системе в порядке, установленном

в этой системе.

2. При создании ключей электронных цифровых подписей для ис-

пользования в информационной системе общего пользования должны

применяться только сертифицированные средства электронной цифровой

подписи. Возмещение убытков, причиненных в связи с созданием ключей

электронных цифровых подписей несертифицированными средствами

электронной цифровой подписи, может быть возложено на создателей и

распространителей этих средств в соответствии с законодательством РФ.

3. Использование несертифицированных средств электронной циф-

ровой подписи и созданных ими ключей электронных цифровых подпи-

сей в корпоративных информационных системах федеральных органов

государственной власти, органов государственной власти субъектов РФ

и органов местного самоуправления не допускается.

4. Сертификация средств электронной цифровой подписи осуществ-

ляется в соответствии с законодательством РФ о сертификации продук-

ции и услуг.

Статья 6. Сертификат ключа подписи

1. Сертификат ключа подписи должен содержать следующие сведения:

• уникальный регистрационный номер сертификата ключа подписи,

даты начала и окончания срока действия сертификата ключа подпи-

си, находящегося в реестре удостоверяющего центра;

• фамилия, имя и отчество владельца сертификата ключа подписи или

псевдоним владельца. В случае использования псевдонима удостове-

ряющим центром вносится запись об этом в сертификат ключа подписи;

• открытый ключ электронной цифровой подписи;

• наименование средств электронной цифровой подписи, с которыми

используется данный открытый ключ электронной цифровой подписи;

• наименование и место нахождения удостоверяющего центра, выдав-

шего сертификат ключа подписи;

• сведения об отношениях, при осуществлении которых электронный

документ с электронной цифровой подписью будет иметь юридиче-

ское значение.

2. В случае необходимости в сертификате ключа подписи на основа-

нии подтверждающих документов указываются должность (с указанием

наименования и места нахождения организации, в которой установлена

эта должность) и квалификация владельца сертификата ключа подписи,

а по его заявлению в письменной форме - иные сведения, подтверждае-

мые соответствующими документами.

3. Сертификат ключа подписи должен быть внесен удостоверяющим

центром в реестр сертификатов ключей подписей не позднее даты начала

действия сертификата ключа подписи.

4. Для проверки принадлежности электронной цифровой подписи со-

ответствующему владельцу сертификат ключа подписи выдается пользо-

вателям с указанием даты и времени его выдачи, сведений о действии

сертификата ключа подписи (действует, действие приостановлено, сроки

приостановления его действия, аннулирован, дата и время аннулирования

сертификата ключа подписи) и сведений о реестре сертификатов ключей

подписей. В случае выдачи сертификата ключа подписи в форме доку-

мента на бумажном носителе этот сертификат оформляется на бланке

удостоверяющего центра и заверяется собственноручной подписью

уполномоченного лица и печатью удостоверяющего центра. В случае вы-

дачи сертификата ключа подписи и указанных дополнительных данных

в форме электронного документа этот сертификат должен быть подписан

электронной цифровой подписью уполномоченного лица удостоверяю-

щего центра.

Статья 7. Срок и порядок хранения сертификата ключа

подписи в удостоверяющем центре

1. Срок хранения сертификата ключа подписи в форме электронного

документа в удостоверяющем центре определяется договором между

удостоверяющим центром и владельцем сертификата ключа подписи.

При этом обеспечивается доступ участников информационной системы

в удостоверяющий центр для получения сертификата ключа подписи.

2. Срок хранения сертификата ключа подписи в форме электронного

документа в удостоверяющем центре после аннулирования сертификата

ключа подписи должен быть не менее установленного федеральным за-

коном срока исковой давности для отношений, указанных в сертификате

ключа подписи.

По истечении указанного срока хранения сертификат ключа подписи

исключается из реестра сертификатов ключей подписей и переводится

в режим архивного хранения. Срок архивного хранения составляет

не менее чем пять лет. Порядок выдачи копий сертификатов ключей под-

писей в этот период устанавливается в соответствии с законодательством

РФ.

3. Сертификат ключа подписи в форме документа на бумажном носи-

теле хранится в порядке, установленном законодательством РФ об архи-

вах и архивном деле.

Глава 3. Удостоверяющие центры

Статья 8. Статус удостоверяющего центра

1. Удостоверяющим центром, выдающим сертификаты ключей под-

писей для использования в информационных системах общего пользования,

должно быть юридическое лицо, выполняющее функции, предусмотрен-

ные настоящим Федеральным законом. При этом удостоверяющий центр

должен обладать необходимыми материальными и финансовыми воз-

можностями, позволяющими ему нести гражданскую ответственность

перед пользователями сертификатов ключей подписей за убытки, кото-

рые могут быть понесены ими вследствие недостоверности сведений, со-

держащихся в сертификатах ключей подписей.

Требования, предъявляемые к материальным и финансовым возмож-

ностям удостоверяющих центров, определяются Правительством РФ

по представлению уполномоченного федерального органа исполнитель-

ной власти.