Войти

6.5. Электронные подписи субъектов взаимодействия - информационных систем

6.5.1. Общие требования электронной подписи, формируемой от имени органа власти при межведомственном информационном обмене

Сертификаты и ключи электронной подписи (п. 3 ст. 14 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи»), используемые для формирования электронных подписей органа власти выдаются на имя органа власти и применяются в информационных системах при оказании государственных и муниципальных услуг/исполнении государственных и муниципальных функций с использованием СМЭВ для формирования ЭП.

ЭП-ОВ аналогичны гербовой печати организации и подтверждают:

  • факт формирования межведомственного сообщения-запроса в информационной системе ОВ, подписавшего межведомственный запрос (далее – запрос);
  • факт наличия у лица, сформировавшего в ИС ОВ электронный документ (запрос, рассылку либо ответ), соответствующих полномочий по подписанию/проверке ЭП на момент формирования электронного документа.

Орган власти, отправляющий электронный документ с использованием СМЭВ другому участнику взаимодействия, гарантирует наличие соответствующих полномочий у своего должностного лица на обращение к информационному ресурсу другого ведомства либо на подготовку ответа на поступивший запрос (в случае если ответ формируется не автоматически в ИС).

Количество формируемых на ОВ сертификатов ЭП-ОВ не может быть меньше количества информационных систем данного ОВ, непосредственно подключённых к СМЭВ.

Ответственность за хранение и использование ключа подписи ЭП-ОВ несёт должностное лицо. Порядок хранения и использования ключа подписи ЭП-ОВ контролируется представителями органов власти.

6.5.2. Общие требования к электронной подписи, формируемой узлами СМЭВ

Сертификаты и ключи электронной подписи (п. 3 ст. 14 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи»), используемые для формирования электронных подписей в сообщениях, проходящих через федеральный и региональные узлы СМЭВ, выдаются на имя оператора соответствующей системы межведомственного электронного взаимодействия и применяются для формирования ЭП.

Общие требования к электронной подписи, формируемой узлами СМЭВ, представлены в таблице 6.

ЭП-СМЭВ подтверждает:

  • факт прохождения электронного сообщения через СМЭВ;
  • факт аутентификации и авторизации в соответствии с правилами, указанными в реестре прав доступа к электронным сервисам (матрице доступа);
  • неизменность сведений, внесённых в электронное сообщение СМЭВ.

Ответственность за хранение и использование ключа подписи ЭП-СМЭВ обеспечивается организационно-техническими мероприятиями оператора СМЭВ.

Общие требования к электронной подписи приведены в таблице 6.

Таблица 6 – Общие требования к электронной подписи, формируемой узлами СМЭВ

Формат подписи

XMLDSig detached

Трансформация, дополнительно к канонизации[1]


urn://smev-gov-ru/xmldsig/transform

Требования к форматированию

В XML-структуре подписи, между элементами не допускается наличие текстовых узлов, в том числе переводов строки.

Подписываемый элемент

  • Для запросов или рассылок – элемент //SendRequestResponse;
  • Для ответов – элемент //MessageMetadata;
  • При выборке сообщения из очереди – элемент //Request;
  • При подтверждении получения сообщения – ЭП СМЭВ отсутствует.

Размещение во входящем сообщении

Тело SOAP конверта, элемент //CallerInformationSystemSignature

[1] Описание алгоритма трансформации приведено в приложении Приложение А к настоящему документу. Образцовая реализация алгоритма трансформации приведена в приложении Приложение Г к настоящему документу.

6.5.3. Правила формирования электронной подписи ИС

Общие требования к электронной подписи, формируемой ИС представлены в таблице 7.

Таблица 7 – Правила формирования электронной подписи ИС

Формат подписи

XMLDSig detached

Трансформация, дополнительно к канонизации

urn://smev-gov-ru/xmldsig/transform

Требования к форматированию

В XML-структуре подписи, между элементами не допускается наличие текстовых узлов, в том числе переводов строки.

Подписываемый элемент

Для простых протоколов обмена:
  • Для запросов и рассылок – элемент //SenderProvidedRequestData;
  • Для ответов – элемент //SenderProvidedResponseData;
  • При выборке сообщения из очереди – элемент //MessageTypeSelector;
  • При подтверждении получения сообщения – элемент //AckTargetMessage.

Для директивных протоколов обмена:

  • Для запросов и рассылок – элемент //SenderProvidedRequestData и /Record каждой записи реестра;
  • Для ответов – элемент //SenderProvidedResponseData и /Record каждой записи реестра;
  • При выборке сообщения из очереди – элемент //MessageTypeSelector;
  • При подтверждении получения сообщения – элемент //AckTargetMessage.
Размещение в исходящем сообщении Для простых протоколов обмена:
  • Элемент //CallerInformationSystemSignature

Для директивных протоколов обмена:

  • Элемент //CallerInformationSystemSignature и RecordSignature в каждой записи реестра.
Размещение во входящем сообщении ЭП-ОВ отправителя попадает к получателю только при вызове методов GetRequest, GetResponse (выборка сообщения из очереди).
Она находится в теле SOAP-конверта, элемент //SenderInformationSystemSignature.
В случаях, когда одна из сторон сеанса обмена использует схему Единого сервиса версии 1.1, а другая схему версии 1.2 (раздел 5.2.8.1), или более позднюю, передача элемента //SenderInformationSystemSignature не осуществляется.
Для сообщения, направленного в адрес системы - ответчика по маршрутизациям, описанным в пп.4.6.2.3 и пп.4.6.3.3 , содержание блока SenderInformationSystemSignature соответствует аналогичному блоку в инициирующем сообщении, полученном от системы - отправителя.
В связи с особенностями маршрутизации блок SenderProvidedRequestData в инициирующем сообщении и в сообщении, фактически направленном в адрес системы - ответчика, могут отличаться.
При взаимодействии по данным видам маршрутизаций системе - ответчику необходимо отключить проверку ЭЦП отправителя сообщения.

6.5.4. Подписание вложений электронной подписью информационной системы

В случае если сообщение содержит вложения и какие-либо из них не подписаны ЭП-СП, ИС должна перед отправкой сообщения подписать такие вложения ЭП-ОВ. Это необходимо для защиты от подмены вложений.

Подпись формируется по тем же правилам, что и ЭП-СП (таблица 8).

Таблица 8 – Правила формирования ЭП-ОВ

Формат подписи

PKCS#7

Ограничения на использование формата

Описаны в разделе «Подписи в формате PKCS#7»

Способ помещения подписи в сообщение

Передаётся клиентом веб-сервиса в структуре параметров методов SendRequest, SendResponse.

Способ извлечения подписи для проверки

Подписи находятся в элементах //AttachmentHeaderList/AttachmentHeader/SignaturePKCS7 входящих сообщений, в том числе в записях реестра

Авторизуйтесь, чтобы оставить комментарий к статье