Приложение N 1. Инструкция по защите информации при обмене электронными документами. Постановление Кабинета Министров Чувашской Республики от 31.01.2006 N 22 "Об удостоверяющем центре органов исполнительной власти Чувашской Республики в области использования электронной цифровой подписи" (с изменениями и дополнениями) (утратило силу)

Приложение N 1

к Примерному договору о защищенном

обмене электронными документами

Инструкция по защите информации при обмене электронными документами

I. Общие положения

1.1. Инструкция по защите информации при обмене электронными документами (далее - Инструкция) определяет организационно-технические мероприятия по защите информации при обмене электронными документами между органами исполнительной власти Чувашской Республики.

Настоящая Инструкция может применяться территориальными органами федеральных органов исполнительной власти, органами местного самоуправления и организациями, заинтересованными в организации обмена электронными документами с использованием средств криптографической защиты информации.

1.2. Организационно-технические мероприятия по защите информации выполняются абонентами системы при осуществлении обмена электронными документами, заверенными электронной цифровой подписью, эксплуатации средств защиты информации, в том числе средств ЭЦП, а также при обращении с ключевой информацией, используемой для криптографической защиты ЭД.

1.3. Термины и определения, используемые в настоящей Инструкции, приведены в Регламенте регистрации и подключения к системе электронного документооборота, утвержденном постановлением Кабинета Министров Чувашской Республики от 31 января 2006 г. N 22 "Об удостоверяющем центре органов исполнительной власти Чувашской Республики в области использования электронной цифровой подписи".

1.4. Организационно-технические мероприятия по обеспечению защиты информации при обмене ЭД обеспечивают:

1.4.1. Конфиденциальность ЭД.

1.4.2. Подлинность ЭД - подтверждение авторства и целостности ЭД.

1.4.3. Разграничение и контроль доступа к средствам обмена ЭД.

1.4.4. Сохранность в тайне содержания закрытых ключей ЭЦП и иных ключевых документов.

1.5. Настоящая Инструкция обязательна для выполнения всеми должностными и иными лицами абонентов системы, осуществляющими подготовку, обработку, отправку/получение, хранение и учет ЭД, заверенных ЭЦП.

II. Управление ключевой системой

2.1. Ключевая система обмена ЭД состоит из ключей шифрования (в зависимости от принятой технологии - симметричных ключей шифрования либо пары закрытых/открытых ключей шифрования/аутентификации) и ключей (пары закрытых/открытых ключей) ЭЦП уполномоченных лиц. Для каждого типа ключей формируются рабочие и резервные комплекты.

2.2. Удостоверяющий центр изготавливает для абонентов системы комплект ключей электронной цифровой подписи и направляет их в установленном порядке на ключевых носителях абонентам системы.

2.3. Администраторы информационной безопасности абонентов системы изготавливают резервный комплект ключей электронной цифровой подписи и обеспечивают порядок хранения, передачи, использования, уничтожения, учета ключевой информации и ее носителей в соответствии с требованиями Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13 июня 2001 г. N 152 (далее - Инструкция N 152), а также технической и эксплутационной# документации на используемые средства криптографической защиты информации.

2.4. Операторы и администраторы АРМ обмена ЭД и другие лица, осуществляющие использование ключей электронной цифровой подписи, несут персональную ответственность за безопасность доверенной им ключевой информации и обязаны обеспечивать ее сохранность, неразглашение и нераспространение. Указанным должностным лицам доводятся под роспись соответствующие положения Инструкции N 152, Правила обмена электронными документами и использования электронной цифровой подписи, утвержденные постановлением Кабинета Министров Чувашской Республики от 31 января 2006 г. N 22 "Об удостоверяющем центре органов исполнительной власти Чувашской Республики в области использования электронной цифровой подписи", настоящая Инструкция, а также техническая и эксплутационная# документация на средства криптографической защиты информации.

2.5. Срок действия ключей электронной цифровой подписи - не более 1 года 3 месяцев.

2.6. За две недели до окончания срока действия ключей ЭЦП Клиент обязан уведомить об этом уполномоченное лицо УЦ.

2.7. По наступлении установленного срока удостоверяющий центр проводит плановую смену ключей электронной цифровой подписи. Выведенные из обращения ключи электронной цифровой подписи уничтожаются в установленном порядке.

2.8. Ключи ЭЦП (рабочий и резервный комплекты) и заявки на изготовление сертификатов ключей подписи формируются непосредственно лицами, уполномоченными правом ЭЦП, на специально оборудованных рабочих местах. Администратор информационной безопасности обеспечивает контроль за оформлением заявок на изготовление сертификатов ключей подписи и внесение в них дополнительных служебных реквизитов.

2.9. Заявки, оформленные и подписанные в установленном порядке, передаются администратором информационной безопасности в удостоверяющий центр. Удостоверяющий центр в срок, не превышающий трех рабочих дней, изготавливает сертификаты ключей подписи.

2.10. Удостоверяющий центр, изготовивший сертификат ключа подписи, несет ответственность за соответствие сведений, указанных в сертификате ключа подписи, сведениям, указанным в заявке на изготовление сертификата ключа подписи и представленных удостоверяющих документах.

2.11. Администраторы информационной безопасности получают изготовленные сертификаты ключей подписи и заносят информацию о них в регистрационные карточки. В регистрационных карточках отражаются информация об уполномоченных лицах, наделенных правом ЭЦП, о типах ЭД, на которые распространяется право ЭЦП уполномоченных лиц абонентов системы, информация о сертификатах ключей подписи, основаниях их изготовления, дате начала действия ключа ЭЦП, датах его приостановления и отзыва. Регистрационные карточки заверяются администраторами информационной безопасности и уполномоченными лицами абонентов системы. Заверенные копии регистрационных карточек, изменения и дополнения к ним могут быть направлены другим абонентам системы, обратившимся с запросом о данной информации. Изготовленные сертификаты ЭЦП после заполнения регистрационной информации о них доводятся администраторами информационной безопасности до владельцев сертификатов ЭЦП.

2.12. Удостоверяющий центр обеспечивает формирование реестров изготовленных сертификатов ключей подписи и списков отозванных сертификатов. Администраторы информационной безопасности обеспечивают своевременную выборку изготовленных списков отозванных сертификатов, их регистрацию и последующее доведение до пользователей сертификатов ключей подписи.

2.13. Владельцы сертификатов ключей подписи несут персональную ответственность за безопасность собственных закрытых ключей ЭЦП и обязаны обеспечивать их сохранность, неразглашение и нераспространение во время использования и хранения.

2.14. Рабочий и резервный комплекты ключей ЭЦП хранятся отдельно. В случае хранения закрытых ключей ЭЦП в шкафах (хранилищах, сейфах), доступ к которым имеют иные лица, закрытые ключи ЭЦП хранятся (сдаются на хранение) в отдельных упаковках, опечатанных владельцем сертификата ключа подписи.

2.15. Дата ввода сертификата ключа подписи в обращение указывается в заявке на изготовление сертификата ключа подписи. Дата в заявке определяется администратором информационной безопасности абонента системы с учетом даты вывода из обращения ранее использованного сертификата ключа подписи и иных влияющих на дату начала использования сертификата ключа подписи обстоятельств.

2.16. Владелец сертификата ключа подписи получает право использования соответствующего закрытого ключа ЭЦП для заверения ЭД с момента регистрации сертификата администратором информационной безопасности, но не ранее даты начала действия ключа ЭЦП, указанной в сертификате ключа подписи.

2.17. После окончания срока действия сертификата ключа подписи удостоверяющий центр обеспечивает занесение вышеуказанного сертификата в список отозванных сертификатов.

2.18. Не позднее двух недель до окончания срока действия сертификата ключа подписи его владелец обязан уведомить об этом администратора информационной безопасности, который далее производит процедуру заявки на изготовление нового сертификата ключа подписи.

2.19. После окончания срока действия сертификата ключа подписи его владелец прекращает использование соответствующих закрытых ключей ЭЦП и в трехдневный срок сдает их администратору информационной безопасности. Администратор информационной безопасности в установленном порядке производит их уничтожение.

2.20. Администратор информационной безопасности организует и обеспечивает хранение сертификатов ключей подписи в течение срока хранения ЭД, заверенных соответствующей ЭЦП.

2.21. Администратор информационной безопасности организует и контролирует порядок обращения с ключами ЭЦП операторов и администратора АРМ обмена ЭД, а также владельцев сертификатов ключей подписи.

III. Компрометация ключевой информации

3.1. При подозрении на компрометацию рабочего комплекта закрытых ключей ЭЦП владелец соответствующего сертификата ключа подписи немедленно прекраща