Приложение 5. Карта рисков электронного документооборота. Приказ Министерства финансов Пермского края от 30.07.2012 N СЭД-39-01-22-126 "Об утверждении документов, применяемых при юридически значимом электронном документообороте в системе "АЦК-Финансы" (с изменениями и дополнениями)

Приложение 5
к приказу Министерства финансов
Пермского края
от 30 июля 2012 г.
N СЭД-39-01-22-126

Карта
рисков электронного документооборота

1. Термины и определения

Термины и определения, используемые в документе:

Аккредитованный удостоверяющий центр (УЦ) - юридическое лицо, осуществляющее функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон 63-ФЗ), и получившее аккредитацию.

Аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона 63-ФЗ.

Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов (Журнал поэкземплярного учета СКЗИ) - документ, содержащий данные о выданных уполномоченным сотрудникам ключевых документах.

Квалифицированный сертификат ключа проверки электронной подписи (Сертификат) - сертификат ключа проверки электронной подписи, выданный УЦ или доверенным лицом УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.

Ключ электронной подписи (закрытый ключ, ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи.

Ключ проверки электронной подписи (открытый ключ) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.

Ключевой документ - ключевой носитель, содержащий ключ электронной подписи, а при необходимости - контрольную, служебную и технологическую информацию.

Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключа электронной подписи.

Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся ее владельцем.

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Роль - совокупность прав сотрудников при работе в Системе, с использованием которых они подписывают электронные документы электронной подписью.

Система - Система автоматизации финансово-казначейских органов - Автоматизированный Центр Контроля исполнения бюджета ("АЦК - Финансы"), установленная в Министерстве финансов Пермского края.

Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Сотрудник - пользователь, имеющий имя и пароль для входа в Систему и наделенный полномочиями для работы в Системе.

Средства криптографической защиты информации (СКЗИ) - аппаратные и (или) программные средства, обеспечивающие применение электронной подписи (создание, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи), и (или) шифрование при осуществлении электронного документооборота, а также обеспечивающие защиту информации по утвержденным стандартам и сертифицированные в соответствии с действующим законодательством.

Уполномоченный сотрудник - сотрудник, наделенный полномочиями по подписанию электронной подписью электронных документов в соответствии с утвержденным регламентом, для которого УЦ выпущен сертификат ключа проверки электронной подписи, отмеченный в Журнале поэкземплярного учета СКЗИ как получивший ключевой носитель. Уполномоченный сотрудник назначается приказом Участника.

Участник - юридическое лицо, принимающее участие в юридически значимом электронном документообороте.

Усиленная квалифицированная электронная подпись (ЭП) - вид электронной подписи, которая соответствует следующим признакам:

электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

электронная подпись позволяет определить лицо, подписавшее электронный документ;

электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

электронная подпись создается с использованием средств электронной подписи;

ключ проверки электронной подписи указан в Сертификате;

для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ.

Цепочка доверия - последовательность взаимосвязанных (доверенных) сертификатов, возникающая при проверке ключа ЭП.

Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию.

Электронный документ - документ, в котором информация представлена в электронной форме. Юридическая значимость электронного документа подтверждается ЭП.

Юридически значимый электронный документооборот (ЮЗЭД) - документооборот на базе Системы, в котором участники ЮЗЭД совершают действия по обмену и принятию к исполнению документов в электронной форме, удостоверенных ЭП, и несут ответственность за совершение либо не совершение этих действий.

2. Общие сведения

Настоящий документ предназначен для описания вероятности возникновения рисков и мероприятий по их снижению, а также возможной степени причиненного ущерба.

3. Классификация рисков

Риски, связанные с ведением электронного документооборота в Системе, можно разделить по типу: организационные и технические, а также по источнику возникновения: внешние и внутренние.

Классификация рисков представлена в таблицах 3 и 4.

4. Вероятность реализации рисков, подверженность информационных активов воздействию рисков

С целью выделения групп близких по значимости рисков и подготовки полученных материалов для дальнейшего (например, количественного) анализа для каждого риска, выявленного в процессе анализа, оцениваются следующие показатели (значения атрибутов):

вероятность реализации риска;

уровень подверженности актива воздействию (существенность ущерба для Министерства финансов Пермского края).

Текстовые описания значений атрибутов приведены в таблицах 1 и 2.

Таблица 1

Значения
атрибута "Вероятность реализации риска"

Вероятность	Описание
Высокая	Вероятна реализация риска один или несколько раз в течение года
Средняя	Риск может быть реализован хотя бы один раз в течение двух - трёх лет
Низкая	Реализация риска в течение трех лет маловероятна

Таблица 2

Значения
атрибута "Уровень подверженности актива воздействию"

Уровень подверженности воздействию	Существенность ущерба (конфиденциальность/целостность актива)
5	Серьезные повреждения или полный выход актива из строя (например, видимые снаружи и существенно влияющие на ход производственных процессов, существенно увеличивающие затраты)
4	Серьезные повреждения, не приводящие к полному выходу актива из строя (например, не видимые снаружи, но существенно влияющие на ход производственных процессов, увеличивающие затраты)
3	Средние повреждения или ущерб (например, влияющие на внутренние регламенты, увеличивающие затраты)
2	Незначительные повреждения или ущерб
1	Небольшие изменения актива

Таблица 3

Организационные риски

N	Тип риска (Внутренний/внешний)	Описание	Вероятность реализации	Существенность ущерба	Меры по снижению
1.	Внутренний/Внешний	Компрометация ключа ЭП путем хищения носителей/копирования данных	Высокая	4	Организация хранения ключевых носителей и документов, журналов поэкземплярного учета СКЗИ
2.	Внутренний	Нарушение сотрудником правил использования СКЗИ	Высокая	3	Ознакомление сотрудника под роспись с пакетом документации по ЮЗЭД
3.	Внутренний	Увольнение сотрудника, имевшего доступ к ключам ЭП	Высокая	3	Подача заявления в УЦ на отзыв Сертификата
4.	Внутренний	Отказ от выполнения должностных обязанностей со ссылкой на нормы Федерального закона 63-ФЗ по части защиты ключа ЭП	Средняя	4	Проведение обучения персонала, с показом, что работа в web-интерфейсе при ЮЗЭД соответствует по защищенности локальному рабочему месту, т.е. риска компрометации ключа ЭП нет
5.	Внутренний	Несоответствие Системы требованиям Федеральной службы по техническому и экспортному контролю по части защиты информации	Низкая	5	Проведение аттестации Системы на 1Г. Обеспечение доступности информации об аттестате соответствия для всех заинтересованных лиц
6.	Внутренний	Выгрузка в архивное хранение произведена не полностью и (или) с нарушением целостности информации о цепочках доверия или с нарушением целостности документарных томов. Утрата документов или их реквизитов в процессе выгрузки.	Высокая	4	Исполнение регламента выгрузки документов на архивное хранение и хранения документов в архиве
7.	Внутренний	Низкая степень значимости (важности) Сертификата как документа для уполномоченных сотрудников.	Высокая	4	Выдавать бумажный оригинал Сертификата
8.	Внутренний/Внешний	Несанкционированный доступ к техническим средствам Системы (серверам, рабочим станциям пользователей и т.д.)	Средняя	5	Организация пропускного режима в помещения, размещающие технические средства системы, кабинеты, в которых расположены рабочие станции пользователей
9.	Внутренний	Отказ от признания результатов экспертизы электронного документа одним из представителей конфликтующих сторон.	Высокая	3	Разработка порядка разбора конфликтных ситуаций, описывающего действия, находящиеся за пределами установления авторства подписи
10.	Внутренний	Разрешение конфликтов в суде	Средняя	5	Описание досудебного разбора конфликтов
11.	Внутренний	Длительная остановка производственного процесса по причине невозможности проведения изъятия (выемки) документов контролирующими органами (ситуация рассматривается как экстренная для организации)	Средняя	5	Описать порядок предоставления документов по запросу контролирующих органов
12.	Внутренний	Доступ пользователей к не принадлежащим им объектам Системы	Высокая	3	Использование системы разграничения прав доступа, настройка ролей пользователей
13.	Внутренний	Утечка персональных данных из Системы	Средняя	3	Заключение соглашения о неразглашении персональных данных с физическими лицами, данные которых заносятся в Систему, заключение соглашения о неразглашении персональных данных с каждым пользователем Системы
14.	Внутренний	Сопротивление персонала внедрению и использованию ЮЗЭД, неприятие новых методов работы	Высокая	4	Каждый этап внедрения сопровождается письменными распоряжениями руководства Министерства финансов Пермского края Организация обучения сотрудников
15.	Внутренний	Утечка конфиденциальной информации	Высокая	5	Назначение персональной ответственности сотрудников

Таблица 4

Технические риски

N	Тип риска	Описание	Вероятность реализации	Существенность ущерба	Меры по снижению
1.	Внешний	Перехват информации, передаваемой по каналам связи	Средняя	4	Защита протокола передачи данных между клиентами и веб-серверами путем организации https-доступа к web-серверу, SSL-шифрование траффика между клиентами и веб-серверами
2.	Внешний	Несанкционированный доступ к серверам Системы	Средняя	5	Организация VPN сети; Расположение серверов в DMZ; Ограничение по портам доступа к серверам приложений Системы; Использование аппаратного брандмауэра
3.	Внутренний	Нарушение целостности данных баз данных	Высокая	5	Резервное копирование средствами используемых СУБД (средств управления базами данных)
4.	Внутренний/Внешний	Утечка ключей ЭП с рабочих станций пользователей	Средняя	4	Применение к рабочим станциям единой политики безопасности
5.	Внешний	Заражение компьютерными вирусами	Средняя	4	Организация антивирусной защиты
6.	Внутренний	Нехватка производственных мощностей серверов Системы	Низкая	3	Анализ планируемой нагрузки и наращивание мощностей в случае необходимости