Приложение 6. Карта рисков электронного документооборота. Приказ Министерства финансов Пермского края от 22.11.2012 N СЭД-39-01-22-219 "Об утверждении документов, применяемых при юридически значимом документообороте в программном комплексе "СКИФ" (с изменениями и дополнениями)

Приложение 6

Карта
рисков электронного документооборота
(утв. приказом Министерства финансов Пермского края от 22 ноября 2012 г. N СЭД-39-01-22-219)

1. Термины и определения

Термины и определения, используемые в документе:

Аккредитованный удостоверяющий центр (УЦ) - юридическое лицо, осуществляющее функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 06 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон 63-ФЗ), и получившее аккредитацию.

Аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона 63-ФЗ.

Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов (журнал поэкземплярного учета СКЗИ) - документ, содержащий данные о выданных уполномоченным сотрудникам ключевых документах.

Квалифицированный сертификат ключа проверки электронной подписи (Сертификат) - сертификат ключа проверки электронной подписи, выданный УЦ или доверенным лицом УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.

Ключ электронной подписи (закрытый ключ, ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи.

Ключ проверки электронной подписи (открытый ключ) - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.

Ключевой документ - ключевой носитель, содержащий ключ электронной подписи, а при необходимости - контрольную, служебную и технологическую информацию.

Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключа электронной подписи.

Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, и представляет собой коммерческую, служебную или личную тайны, охраняющиеся ее владельцем.

Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Роль - совокупность прав сотрудников при работе в Комплексе, с использованием которых они подписывают электронные документы электронной подписью.

Комплекс - программный комплекс "СКИФ", разработанный ОАО "Финтех" (далее - разработчик), предназначенный для автоматизации формирования, приема, передачи, обработки и хранения форм отчетности.

Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Сотрудник - пользователь, имеющий имя и пароль для входа в Комплекс и наделенный полномочиями для работы в Комплексе.

Средства криптографической защиты информации (СКЗИ) - аппаратные и (или) программные средства, обеспечивающие применение электронной подписи (создание, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи) и (или) шифрование при осуществлении электронного документооборота, а также обеспечивающие защиту информации по утвержденным стандартам и сертифицированные в соответствии с действующим законодательством.

Уполномоченный сотрудник - сотрудник, наделенный полномочиями по подписанию электронной подписью электронных документов в соответствии с утвержденным Регламентом, для которого УЦ выпущен сертификат ключа проверки электронной подписи, отмеченный в журнале поэкземплярного учета СКЗИ как получивший ключевой носитель. Уполномоченный сотрудник назначается приказом Участника.

Участник - юридическое лицо, принимающее участие в юридически значимом электронном документообороте.

Усиленная квалифицированная электронная подпись (ЭП) - вид электронной подписи, который соответствует следующим признакам:

электронная подпись получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

электронная подпись позволяет определить лицо, подписавшее электронный документ;

электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

электронная подпись создается с использованием средств электронной подписи;

ключ проверки электронной подписи указан в Сертификате;

для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ.

Цепочка доверия - последовательность взаимосвязанных (доверенных) сертификатов, возникающая при проверке ключа ЭП.

Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию.

Электронный документ - отчет, в котором информация представлена в электронной форме в формате Комплекса. Юридическая значимость электронного документа подтверждается ЭП.

Юридически значимый электронный документооборот (ЮЗЭД) - документооборот на базе Комплекса, в котором участники ЮЗЭД совершают действия по обмену и принятию к исполнению документов в электронной форме, удостоверенных ЭП, и несут ответственность за совершение либо несовершение этих действий.

2. Общие сведения

Настоящий документ предназначен для описания вероятности возникновения рисков и мероприятий по их снижению, а также возможной степени причиненного ущерба.

3. Классификация рисков

Риски, связанные с ведением электронного документооборота в Комплексе, можно разделить по типу: организационные и технические, а также по источнику возникновения: внешние и внутренние.

Классификация рисков представлена в таблицах 3 и 4.

4. Вероятность реализации рисков, подверженность информационных активов воздействию рисков

С целью выделения групп, близких по значимости рисков, и подготовки полученных материалов для дальнейшего (например, количественного) анализа для каждого риска, выявленного в процессе анализа, оцениваются следующие показатели (значения атрибутов):

вероятность реализации риска;

уровень подверженности информационного актива воздействию (существенность ущерба для Министерства финансов Пермского края).

Текстовые описания значений атрибутов приведены в таблицах 1 и 2.

Таблица 1. Значения атрибута "Вероятность реализации риска"

Вероятность	Описание
Высокая	Вероятна реализация риска один или несколько раз в течение года
Средняя	Риск может быть реализован хотя бы один раз в течение двух-трех лет
Низкая	Реализация риска в течение трех лет маловероятна

Таблица 2. Значения атрибута "Уровень подверженности информационного актива воздействию"

Уровень подверженности воздействию	Существенность ущерба (конфиденциальность/целостность информационного актива)
5	Серьезные повреждения или полный выход информационного актива из строя (например, видимые снаружи и существенно влияющие на ход производственных процессов, существенно увеличивающие затраты)
4	Серьезные повреждения, не приводящие к полному выходу информационного актива из строя (например, не видимые снаружи, но существенно влияющие на ход производственных процессов, увеличивающие затраты)
3	Средние повреждения или ущерб (например, влияющие на внутренние регламенты, увеличивающие затраты)
2	Незначительные повреждения или ущерб
1	Небольшие изменения информационного актива

Таблица 3. Организационные риски

N	Тип риска (внутренний/внешний)	Описание	Вероятность реализации	Существенность ущерба	Меры по снижению
1	2	3	4	5	6
1	Внутренний/внешний	Компрометация ключа ЭП путем хищения носителей/копирования данных	Высокая	4	Организация хранения ключевых носителей и документов, журналов поэкземплярного учета СКЗИ
2	Внутренний	Нарушение сотрудником правил использования СКЗИ	Высокая	3	Ознакомление сотрудника под роспись с пакетом документации по ЮЗЭД
3	Внутренний	Увольнение сотрудника, имевшего доступ к ключам ЭП	Высокая	3	Подача заявления в УЦ на отзыв Сертификата
4	Внутренний	Отказ от выполнения должностных обязанностей со ссылкой на нормы Федерального закона 63-ФЗ по части защиты ключа ЭП	Средняя	4	Проведение обучения персонала с показом, что работа в Комплексе при ЮЗЭД соответствует по защищенности локальному рабочему месту, т.е. риска компрометации ключа ЭП нет
5	Внутренний	Несоответствие Комплекса требованиям Федеральной службы по техническому и экспортному контролю по части защиты информации	Низкая	5	Обеспечение доступности информации об аттестате соответствия для всех заинтересованных лиц
6	Внутренний	Выгрузка в архивное хранение произведена не полностью и (или) с нарушением целостности информации о цепочках доверия или с нарушением целостности документарных томов. Утрата документов или их реквизитов в процессе выгрузки	Высокая	4	Исполнение регламента выгрузки документов на архивное хранение и хранения документов в архиве
7	Внутренний	Низкая степень значимости (важности) Сертификата как документа для уполномоченных сотрудников	Высокая	4	Выдавать бумажный оригинал Сертификата
8	Внутренний/внешний	Несанкционированный доступ к техническим средствам Комплекса (серверам, рабочим станциям пользователей и т.д.)	Средняя	5	Организация пропускного режима в помещения, размещающие технические средства системы, кабинеты, в которых расположены рабочие станции пользователей
9	Внутренний	Отказ от признания результатов экспертизы электронного документа одним из представителей конфликтующих сторон	Высокая	3	Разработка порядка разбора конфликтных ситуаций, описывающего действия, находящиеся за пределами установления авторства подписи
10	Внутренний	Разрешение конфликтов в суде	Средняя	5	Описание досудебного разбора конфликтов
11	Внутренний	Длительная остановка производственного процесса по причине невозможности проведения изъятия (выемки) документов контролирующими органами (ситуация рассматривается как экстренная для организации)	Средняя	5	Описать порядок предоставления документов по запросу контролирующих органов
12	Внутренний	Доступ пользователей к не принадлежащим им объектам Комплекса	Высокая	3	Использование системы разграничения прав доступа, настройка ролей пользователей
13	Внутренний	Сопротивление персонала внедрению и использованию ЮЗЭД, неприятие новых методов работы	Высокая	4	Каждый этап внедрения сопровождается письменными распоряжениями руководства Министерства финансов Пермского края. Организация обучения сотрудников
14	Внутренний	Утечка конфиденциальной информации	Высокая	5	Назначение персональной ответственности сотрудников

Таблица 4. Технические риски

N	Тип риска	Описание	Вероятность реализации	Существенность ущерба	Меры по снижению
1	Внешний	Перехват информации, передаваемой по каналам связи	Средняя	4	Защита протокола передачи данных между клиентами и веб-серверами путем организации https-доступа к web-серверу, SSL-шифрование трафика между клиентами и вебсерверами
2	Внешний	Несанкционированный доступ к серверам Комплекса	Средняя	5	Организация VPN-сети; расположение серверов в DMZ; ограничение по портам доступа к серверам приложений Комплекса; использование аппаратного брандмауэра
3	Внутренний	Нарушение целостности данных баз данных	Высокая	5	Резервное копирование средствами используемых СУБД (средств управления базами данных)
4	Внутренний/внешний	Утечка ключей ЭП с рабочих станций пользователей	Средняя	4	Применение к рабочим станциям единой политики безопасности
5	Внешний	Заражение компьютерными вирусами	Средняя	4	Организация антивирусной защиты
6	Внутренний	Нехватка производственных мощностей серверов Комплекса	Низкая	3	Анализ планируемой нагрузки и наращивание мощностей в случае необходимости