Раздел 6. Действия при компрометации криптоключей. Приказ Ставропольского краевого фонда обязательного медицинского страхования от 18.04.2011 N 113 "Об утверждении регламента работы удостоверяющего центра Ставропольского краевого фонда обязательного медицинского страхования"

6. Действия при компрометации криптоключей

6.1. Администратор СКЗИ при выдаче Сертификата передает Пользователю УЦ пароль для авторизации в системе ViPNet. Этот пароль может использоваться для экстренной связи в случае компрометации закрытых ключей. Конфиденциальность пароля обеспечивает Пользователь УЦ.

6.2. К обстоятельствам, указывающим на возможную компрометацию криптоключей, но не ограничиваясь ниже указанными, относятся:

потеря ключевых носителей с рабочими или резервными криптоключами, в том числе с их последующим обнаружением;

прекращение трудового или иного договора с работниками, имевшими доступ к рабочим или резервным криптоключам;

возникновение подозрений относительно утечки информации или ее искажения;

нарушение целостности печатей на сейфах (металлических шкафах),в которых хранятся ключевые носители с рабочими или резервными криптоключами, если используется процедура опечатывания сейфов;

утрата ключей от сейфов (их дубликатов) в момент нахождения в них ключевых носителей с рабочими или резервными криптоключами;

временный доступ посторонних лиц к ключевым носителям, а также другие события, при которых достоверно не подтверждено отсутствие доступа к ключевым носителям посторонних лиц.

6.3. В случае возникновения обстоятельств, указанных в п. 6.2 настоящего Регламента, и иных обстоятельств, указывающих на возможную компрометацию криптоключей, Пользователь УЦ обязан незамедлительно информировать Администратора СКЗИ об известных ему обстоятельствах, указывающих на возможную компрометацию криптоключей, посредством телефонной связи с использованием соответствующего пароля или иным возможным способом и прекратить обмен электронными документами с использованием скомпрометированных закрытых криптоключей.

6.4. В случае факта компрометации криптоключей ответственный за эксплуатацию СКЗИ абонента в течение рабочего дня оформляет заявку об отзыве Сертификата по форме приложению 5 к настоящему Регламенту, которая удостоверяется подписью руководителя абонента с приложением оттиска печати, и направляет его в СКФОМС. Заявка об отзыве Сертификата содержит следующую информацию:

идентификационные параметры скомпрометированного криптоключа;

фамилию, имя, отчество Пользователя УЦ;

сведения об обстоятельствах компрометации криптоключа;

время и дата выявления факта компрометации криптоключа.

6.5. Администратор СКЗИ незамедлительно по получению информации о компрометации криптоключа Пользователя УЦ выводит из действия Сертификат, соответствующий скомпрометированному закрытому криптоключу (прекращает обмен электронными документами с использованием Сертификата, соответствующего скомпрометированному закрытому криптоключу). Отозванный Сертификат, помещается в СОС.

6.6. Датой, начиная с которой Сертификат признается недействительным, является день поступления в СКФОМС Заявки об отзыве Сертификата.

6.7. Сертификат, соответствующий скомпрометированному закрытому криптоключу, хранится СКФОМС в течение установленного срока хранения электронных документов, в том числе для проведения разбора конфликтных ситуаций, связанных с применением ЭЦП.

6.8. Пользователь УЦ может одновременно иметь несколько закрытых криптоключей и соответствующих им Сертификатов, часть из которых Пользователь УЦ вправе использовать в качестве рабочих, а часть - в качестве резервных на случай компрометации рабочих закрытых криптоключей.

6.9. Использование СКЗИ возобновляется после ввода в действие закрытого криптоключа взамен скомпрометированного.