Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ Департамента финансов Администрации Волгограда от 3 августа 2015 г. N 96-ОД "Об организации юридически значимого электронного документооборота с применением электронной подписи в автоматизированной информационной системе "АЦК-Финансы" департамента финансов администрации Волгограда"
- Приложение N 4. Положение о порядке работы со средствами криптографической защиты информации в автоматизированной информационной системе "АЦК-Финансы" департамента финансов администрации Волгограда
Приложение N 4. Положение о порядке работы со средствами криптографической защиты информации в автоматизированной информационной системе "АЦК-Финансы" департамента финансов администрации Волгограда
Приложение N 4
к приказу департамента финансов
администрации Волгограда
от 03.08.2015 N 96-ОД
Положение
о порядке работы со средствами криптографической защиты информации в автоматизированной информационной системе "АЦК-Финансы" департамента финансов администрации Волгограда
1. Термины и определения, используемые в настоящем положении
АИС - автоматизированная информационная система автоматизации исполнения бюджета "АЦК-Финансы", включая подсистему обеспечения доступа пользователей с использованием интернет-браузера.
Автоматизированное рабочее место (далее - АРМ) - установленные у Организатора и Участника программное обеспечение и технические средства, включая СКЗИ, предназначенные для работы в АИС.
Администратор безопасности информации Организатора (далее - администратор безопасности информации) - администратор АИС, организующий, обеспечивающий и контролирующий выполнение требований безопасности информации при осуществлении обмена ЭД с Участником.
Аккредитованный удостоверяющий центр (далее УЦ) - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче квалифицированных сертификатов ключей проверки электронных подписей, а также иные функции в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи", получившие аккредитацию уполномоченного федерального органа.
Усиленная квалифицированная электронная подпись (далее - ЭП) - это электронная подпись, которая:
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) ключ проверки электронной подписи указан в квалифицированном сертификате;
5) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи".
Квалифицированный сертификат ключа проверки электронной подписи (далее - сертификат) - сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи.
Ключ электронной подписи (далее ключ ЭП) - уникальная последовательность символов, предназначенная для создания электронной подписи.
Компрометация ключа электронной подписи - нарушение конфиденциальности ключа ЭП.
Материальный носитель ключевой информации (далее - материальный носитель) - материальный объект, используемый для записи и хранения информации, необходимой для подписания электронных документов ЭП.
Организатор - департамент финансов администрации Волгограда, являющийся организатором, а также Участником, юридически значимого электронного документооборота на базе АИС и осуществляющий администрирование АИС.
Реестр АИС - справочник АИС, в котором хранится перечень сертификатов Уполномоченных лиц Участников.
Средства криптографической защиты информации (далее - СКЗИ) - аппаратно-программный комплекс, выполняющий функцию создания ЭП, а также обеспечивающий защиту информации по утвержденным стандартам и сертифицированный в соответствии с действующим законодательством РФ.
Участник - юридическое лицо, заключившее договор "Об обмене юридически значимыми электронными документами" с Организатором.
Уполномоченное лицо - должностное лицо Участника, имеющее право подписи ЭД, а также право на отправку, получение ЭД и выполнение других действий от лица Участника или Организатора.
Электронный документ (далее - ЭД) - документ, в котором информация представлена в электронной форме и подписана электронной подписью.
Юридически значимый электронный документооборот (далее - ЮЗЭД) - документооборот на базе АИС, в котором Участники совершают действия по принятию к исполнению документов в электронной форме, подписанных ЭП, и при этом несут ответственность за совершение, либо не совершение этих действий.
2. Общие положения
Настоящее положение регламентирует порядок работы со СКЗИ.
3. Работа с СКЗИ
3.1. При работе с материальными носителями должны соблюдаться требования Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом Федерального агентства правительственной связи и информации (ФАПСИ) от 13.06.2001 N 152, приказов департамента финансов администрации Волгограда и настоящего Положения.
3.2. Для работы со СКЗИ в ЮЗЭД допускаются только Уполномоченные лица. Уполномоченные лица несут персональную ответственность за сохранность СКЗИ (в том числе хранение в тайне ключей ЭП, неразглашение и нераспространение).
3.3. Внесение сертификатов Уполномоченных лиц в Реестр АИС осуществляется Администратором безопасности информации Организатора в соответствии с регламентом, определяющим порядок предоставления и прекращения (блокировки) Уполномоченным лицам доступа к АИС, правила подписания электронной подписью электронных документов в АИС.
3.4. Ответственность за корректность ввода сертификатов Уполномоченных лиц в реестр АИС несет Организатор.
3.5. Организатор обеспечивает хранение сертификатов Уполномоченных лиц в течение срока хранения электронного документа.
3.6. Срок действия ключей ЭП и соответствующих сертификатов определяется УЦ. После окончания срока действия сертификата Уполномоченное лицо теряет право использования ключей ЭП, соответствующих данному сертификату. Для получения новых ключей Уполномоченное лицо должно руководствоваться порядком получения новых ключей, установленным УЦ.
3.7. Уполномоченное лицо несет ответственность за отсутствие на АРМ, на котором осуществляется эксплуатация ЮЗЭД, посторонних программ (вирусов и т.д.), способствующих нарушению функционирования ЮЗЭД.
3.8. При обнаружении на АРМ, на котором осуществляется эксплуатация ЮЗЭД, посторонних программ (вирусов и т.д.), эксплуатация ЮЗЭД на этом АРМ должна быть прекращена, и организован комплекс мероприятий по анализу и ликвидации посторонних программ и возможных последствий.
3.9. Хранение инсталлирующих СКЗИ носителей, эксплуатационной и технической документации к СКЗИ, и материальных носителей в запираемых шкафах (ящиках, хранилищах) должно производиться в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
3.10. Категорически запрещается:
- разглашать содержимое материальных носителей, содержащих ключи ЭП, или передавать сами материальные носители лицам, к ним не допущенным, выводить данные, содержащиеся на материальном носителе, на дисплей и принтер;
- производить несанкционированное копирование носителей ключевой информации;
- вставлять материальный носитель, содержащий ключи ЭП, в дисковод, USB-порт или соответствующий считыватель АРМ Уполномоченного лица или других лиц при проведении работ, не связанных с эксплуатацией ЮЗЭД;
- записывать на материальный носитель, содержащий ключи ЭП, постороннюю информацию;
- оставлять материальный носитель, содержащий ключи ЭП без присмотра на рабочем месте;
- вносить какие-либо изменения в программное обеспечение СКЗИ;
- использовать бывшие в работе материальные носители, за исключением носителей типа RuToken и eToken.
3.11. Уполномоченное лицо несет ответственность за проведение в полном объеме организационных и технических мероприятий, обеспечивающих соблюдение указанных выше правил.
4. Действия в случае компрометации ключей
4.1. К событиям, связанным с компрометацией ключей, относят следующие:
- утрата материальных носителей, содержащих ключи ЭП;
- потеря материальных носителей, содержащих ключи ЭП, с их последующим обнаружением;
- хищение материальных носителей, содержащих ключи ЭП;
- разглашение содержимого материальных носителей, содержащих ключи ЭП;
- несанкционированное копирование содержимого материальных носителей, содержащих ключи ЭП;
- увольнение сотрудников, имевших доступ к материальным носителям, содержащим ключи ЭП;
- нарушение правил хранения и уничтожения (после окончания срока действия материальных носителей, содержащих ключи ЭП);
- возникновение подозрений на утечку содержимого материальных носителей, содержащих ключи ЭП, или ее искажение в Системе;
- нарушение печати на сейфе или замка сейфа, в котором хранятся материальные носители, содержащие ключи ЭП;
- невозможность достоверного установления того, что произошло с материальными носителями (в том числе случаи, когда материальный носитель вышел из строя и доказательно не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленников);
- любые другие виды разглашения содержимого материальных носителей, содержащих ключи ЭП, в результате которых ключи могут стать доступными посторонним лицам и (или) процессам.
4.2. Уполномоченное лицо самостоятельно определяет факт компрометации ключа и оценивает значение этого события. Мероприятия по розыску и локализации последствий компрометации ключа организует и осуществляет Организатор с участием Уполномоченного лица (владельца скомпрометированного ключа).
В случае установления факта компрометации ключа Уполномоченное лицо обязано незамедлительно прекратить эксплуатацию ЮЗЭД в АИС и уведомить Организатора, а так же УЦ по телекоммуникационным каналам связи.
4.3. Дата и время, с которой Сертификат считается недействительным в АИС, устанавливается равной дате и времени прекращения использования в ЮЗЭД соответствующего Сертификата.
4.4. При получении электронного документа, подписанного скомпрометированным ключом ЭП, данный электронный документ считается недействительным.
4.5. Возобновление работы Уполномоченного лица в ЮЗЭД происходит только после замены скомпрометированного ключа.
Для получения новых ключей Уполномоченное лицо должно руководствоваться порядком получения новых ключей, установленным УЦ.