6.5.1. Общие требования электронной подписи, формируемой от имени органа власти при межведомственном информационном обмене
Сертификаты и ключи электронной подписи (п. 3 ст. 14 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи»), используемые для формирования электронных подписей органа власти выдаются на имя органа власти и применяются в информационных системах при оказании государственных и муниципальных услуг/исполнении государственных и муниципальных функций с использованием СМЭВ для формирования ЭП.
ЭП-ОВ аналогичны гербовой печати организации и подтверждают:
- факт формирования межведомственного сообщения-запроса в информационной системе ОВ, подписавшего межведомственный запрос (далее – запрос);
- факт наличия у лица, сформировавшего в ИС ОВ электронный документ (запрос, рассылку либо ответ), соответствующих полномочий по подписанию/проверке ЭП на момент формирования электронного документа.
Орган власти, отправляющий электронный документ с использованием СМЭВ другому участнику взаимодействия, гарантирует наличие соответствующих полномочий у своего должностного лица на обращение к информационному ресурсу другого ведомства либо на подготовку ответа на поступивший запрос (в случае если ответ формируется не автоматически в ИС).
Количество формируемых на ОВ сертификатов ЭП-ОВ не может быть меньше количества информационных систем данного ОВ, непосредственно подключённых к СМЭВ.
Ответственность за хранение и использование ключа подписи ЭП-ОВ несёт должностное лицо. Порядок хранения и использования ключа подписи ЭП-ОВ контролируется представителями органов власти.
6.5.2. Общие требования к электронной подписи, формируемой узлами СМЭВ
Сертификаты и ключи электронной подписи (п. 3 ст. 14 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи»), используемые для формирования электронных подписей в сообщениях, проходящих через федеральный и региональные узлы СМЭВ, выдаются на имя оператора соответствующей системы межведомственного электронного взаимодействия и применяются для формирования ЭП.
Общие требования к электронной подписи, формируемой узлами СМЭВ, представлены в таблице 6.
ЭП-СМЭВ подтверждает:
- факт прохождения электронного сообщения через СМЭВ;
- факт аутентификации и авторизации в соответствии с правилами, указанными в реестре прав доступа к электронным сервисам (матрице доступа);
- неизменность сведений, внесённых в электронное сообщение СМЭВ.
Ответственность за хранение и использование ключа подписи ЭП-СМЭВ обеспечивается организационно-техническими мероприятиями оператора СМЭВ.
Общие требования к электронной подписи приведены в таблице 6.
Таблица 6 – Общие требования к электронной подписи, формируемой узлами СМЭВ
Формат подписи |
XMLDSig detached |
Трансформация, дополнительно к канонизации[1] |
|
Требования к форматированию |
В XML-структуре подписи, между элементами не допускается наличие текстовых узлов, в том числе переводов строки. |
Подписываемый элемент |
|
Размещение во входящем сообщении |
Тело SOAP конверта, элемент //CallerInformationSystemSignature |
[1] Описание алгоритма трансформации приведено в приложении Приложение А к настоящему документу. Образцовая реализация алгоритма трансформации приведена в приложении Приложение Г к настоящему документу.
6.5.3. Правила формирования электронной подписи ИС
Общие требования к электронной подписи, формируемой ИС представлены в таблице 7.
Таблица 7 – Правила формирования электронной подписи ИС
Формат подписи |
XMLDSig detached |
Трансформация, дополнительно к канонизации |
|
Требования к форматированию |
В XML-структуре подписи, между элементами не допускается наличие текстовых узлов, в том числе переводов строки. |
Подписываемый элемент |
Для простых протоколов обмена:
Для директивных протоколов обмена:
|
Размещение в исходящем сообщении |
Для простых протоколов обмена:
Для директивных протоколов обмена:
|
Размещение во входящем сообщении |
ЭП-ОВ отправителя попадает к получателю только при вызове методов GetRequest, GetResponse (выборка сообщения из очереди). Она находится в теле SOAP-конверта, элемент //SenderInformationSystemSignature. В случаях, когда одна из сторон сеанса обмена использует схему Единого сервиса версии 1.1, а другая схему версии 1.2 (раздел 5.2.8.1), или более позднюю, передача элемента //SenderInformationSystemSignature не осуществляется. Для сообщения, направленного в адрес системы - ответчика по маршрутизациям, описанным в пп.4.6.2.3 и пп.4.6.3.3 , содержание блока SenderInformationSystemSignature соответствует аналогичному блоку в инициирующем сообщении, полученном от системы - отправителя. В связи с особенностями маршрутизации блок SenderProvidedRequestData в инициирующем сообщении и в сообщении, фактически направленном в адрес системы - ответчика, могут отличаться. При взаимодействии по данным видам маршрутизаций системе - ответчику необходимо отключить проверку ЭЦП отправителя сообщения. |
6.5.4. Подписание вложений электронной подписью информационной системы
В случае если сообщение содержит вложения и какие-либо из них не подписаны ЭП-СП, ИС должна перед отправкой сообщения подписать такие вложения ЭП-ОВ. Это необходимо для защиты от подмены вложений.
Подпись формируется по тем же правилам, что и ЭП-СП (таблица 8).
Таблица 8 – Правила формирования ЭП-ОВ
Формат подписи |
PKCS#7 |
Ограничения на использование формата |
Описаны в разделе «Подписи в формате PKCS#7» |
Способ помещения подписи в сообщение |
Передаётся клиентом веб-сервиса в структуре параметров методов SendRequest, SendResponse. |
Способ извлечения подписи для проверки |
Подписи находятся в элементах //AttachmentHeaderList/AttachmentHeader/SignaturePKCS7 входящих сообщений, в том числе в записях реестра |