Приложение N 6. Инструкция по защите информации при обмене электронными документами. Приказ Минфина РФ и МНС РФ от 03.09.2003 N 81н/БГ-3-28/487 "Об утверждении документов, регламентирующих обмен информацией между управлениями федерального казначейства Минфина России и управлениями МНС России по субъектам Российской Федерации"

Приложение N 6

Инструкция
по защите информации при обмене электронными документами
(утв. приказом Минфина РФ и МНС РФ от 3 сентября 2003 г. N 81н/БГ-3-28/487)

1. Общие положения

1.1. Настоящая Инструкция определяет организационно-технические мероприятия по защите информации при обмене электронными документами между управлениями федерального казначейства Министерства финансов Российской Федерации и управлениями Министерства Российской Федерации по налогам и сборам по субъектам Российской Федерации (далее - Стороны, либо УФК Минфина России и Управление МНС России соответственно).

1.2. Организационно-технические мероприятия по защите информации выполняются Сторонами при осуществлении обмена электронными документами (далее - ЭД) заверенными электронной цифровой подписью (далее - ЭЦП), эксплуатации средств защиты информации, в том числе средств ЭЦП, а также обращении ключевой информации, используемой для криптографической защиты ЭД.

1.3. Организационно-технические мероприятия по обеспечению защиты информации при обмене ЭД обеспечивают:

1.3.1. конфиденциальность ЭД;

1.3.2. подлинность ЭД - подтверждение авторства и целостности ЭД;

1.3.3. разграничение и контроль доступа к средствам обмена ЭД;

1.3.4. сохранность в тайне содержания закрытых ключей ЭЦП и иных ключевых документов.

1.4. Настоящая Инструкция обязательна для выполнения всеми должностными и иными лицами Сторон, осуществляющими подготовку, обработку, отправку/получение, хранение и учет ЭД заверенных ЭЦП.

2. Управление ключевой системой

2.1. Ключевая система обмена ЭД состоит из ключей шифрования (в зависимости от принятой технологии - симметричных ключей шифрования либо пары закрытых/открытых ключей шифрования/аутентификации), и ключей (пары закрытых/открытых ключей) ЭЦП уполномоченных лиц. Для каждого типа ключей формируются рабочие и резервные комплекты.

2.2. В случае использования симметричных ключей шифрования Администратор безопасности УФК Минфина России изготавливает для Управления МНС России два комплекта ключей шифрования - рабочий и резервный, и направляет их с сопроводительным письмом в установленном порядке на магнитных носителях (дискетах) в Управление МНС России.

2.3. В случае использования закрытых/открытых ключей шифрования, рабочие и резервные комплекты ключей шифрования, а также заявки на изготовление сертификатов ключей шифрования изготавливаются Администраторами безопасности соответствующих Сторон самостоятельно. Администратор безопасности Управления МНС России передает заявку на изготовление сертификатов ключей шифрования с сопроводительным письмом Администратору безопасности УФК Минфина России. Администратор безопасности УФК Минфина России изготавливает сертификаты ключей шифрования Сторон и предает их Администратору безопасности Управления МНС России.

2.4. Администраторы безопасности Сторон обеспечивают порядок изготовления, хранения, передачи, использования, уничтожения, а также учета ключевой информации и ее носителей в соответствии с требованиями Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13.06.2001 N 152 (зарегистрировано в Минюсте России 06.08.2001 N 2848) (далее Инструкция - N 152), а также технической и эксплуатационной документации на используемые средства криптографической защиты информации.

2.5. Рабочий и резервный комплекты ключей шифрования хранятся отдельно.

2.6. Операторы и Администраторы автоматизированного рабочего места обмена ЭД, далее АРМ ЭД, осуществляющие использование ключей шифрования, несут персональную ответственность за безопасность доверенной им ключевой информации и обязаны обеспечивать ее сохранность, неразглашение и нераспространение. Указанным должностным лицам доводятся под роспись соответствующие положения Инструкции N 152, а также технической и эксплуатационной документации на средства криптографической защиты информации.

2.7. Срок действия ключей шифрования устанавливается не более 1 года.

2.8. За две недели до окончания срока действия ключей шифрования Администраторами безопасности Сторон проводиться процедура изготовления и передачи новых комплектов ключей шифрования.

2.9. По наступлению установленного срока Администраторы безопасности Сторон проводят плановую смену ключей шифрования. Выведенные из обращения ключи шифрования уничтожаются установленным образом.

2.10. Ключи ЭЦП (рабочий и резервный комплекты) и заявки на изготовление сертификатов ключей подписи формируются непосредственно лицами, уполномоченными правом ЭЦП, на специально оборудованных рабочих местах. Администратор безопасности обеспечивает контроль оформления заявок на изготовление сертификатов ключей подписи и внесение в них дополнительных служебных реквизитов.

2.11. Заявки, оформленные и подписанные в установленном порядке, передаются Администратором безопасности в Удостоверяющий центр УФК Минфина России. Удостоверяющий центр УФК Минфина России в срок, не превышающий 3 рабочих дней, изготавливает сертификаты ключей подписи.

2.12. Удостоверяющий центр, изготовивший сертификат ключа подписи, несет ответственность за соответствие сведений, указанных в сертификате ключа подписи, сведениям, указанным в заявке на изготовление сертификата ключа подписи и в представленных удостоверяющих документах.

2.13. Администраторы безопасности получают изготовленные сертификаты ключей подписи и заносят информацию о них в регистрационные карточки. В регистрационных карточках отражается информации о соответствующих уполномоченных лицах Сторон, о типах ЭД на которые распространяется их право ЭЦП уполномоченных лиц Сторон, об их сертификатах ключей подписи, основаниях их изготовления, приостановления действия и отзыва. Заверенные копии регистрационных карточек и/или изменений и дополнений к ним направляются Администратору безопасности другой Стороны. После регистрации изготовленные сертификаты доводятся Администраторами безопасности до их владельцев и пользователей сертификатов ключей подписи.

2.14. Удостоверяющий центр УФК Минфина России обеспечивает формирование реестров изготовленных сертификатов ключей подписи и списков отозванных сертификатов. Администраторы безопасности обеспечивают своевременную выборку изготовленных списков отозванных сертификатов, их регистрацию и последующее доведение до пользователей сертификатов ключей подписи.

2.15. Владельцы сертификатов ключей подписи несут персональную ответственность за безопасность собственных закрытых ключей ЭЦП и обязаны обеспечивать их сохранность, неразглашение и нераспространение во время использования. Владельцам сертификатов ключей доводятся под роспись соответствующие положения Инструкции N 152, а также технической и эксплуатационной документации на средства ЭЦП.

2.16. Рабочий и резервный комплекты ключей ЭЦП хранятся отдельно (в отдельных упаковках). В случае хранения закрытых ключей ЭЦП в шкафах (хранилищах, сейфах), доступ к которым имеют иные лица, закрытые ключи ЭЦП хранятся (сдаются на хранение) в отдельных упаковках, опечатанных владельцем сертификата ключа подписи.

2.17. Дата ввода сертификата ключа подписи в обращение указывается в заявке на изготовление сертификата ключа подписи. Дата в заявке определяется Администратором безопасности соответствующей Стороны с учетом даты вывода из обращения ранее использованного сертификата ключа подписи и иных, влияющих на дату начала использования сертификата, обстоятельств.

2.18. Владелец сертификата ключа подписи получает право использования соответствующего закрытого ключа ЭЦП для заверения ЭД с момента регистрации сертификата Администратором безопасности, но не ранее даты, указанной в сертификате, как дата ввода в обращение.

2.19. Срок действия сертификатов ключей подписи и соответствующих ключей подписи устанавливается не более 1 года.

2.20. Удостоверяющий центр УФК Минфина России обеспечивает на следующий рабочий день после окончания срока действия сертификата ключа подписи его занесение в список отозванных сертификатов.

2.21. За две недели до окончания срока действия сертификата ключа подписи его владелец обязан уведомить об этом Администратора безопасности и провести процедуру формирования новых ключей подписи и заявки на изготовление нового сертификата ключа подписи.

2.22. После окончания срока действия сертификата ключа подписи его владелец прекращает использование соответствующих закрытых ключей ЭЦП, в трехдневный срок сдает их Администратору безопасности, Администратор безопасности в установленном порядке производит их уничтожение.

2.23. Администратор безопасности организует и обеспечивает хранение сертификатов ключей подписи в течение срока хранения ЭД, заверенных соответствующей ЭЦП.

2.24. Администратор безопасности организует и контролирует порядок обращения с ключами шифрования и ключами ЭЦП Операторами и Администратором АРМ ЭД, а также владельцами сертификатов ключей подписи.

3. Компрометация ключевой информации

3.1. Под компрометацией (раскрытием) ключей шифрования или ключей ЭЦП понимаются: утрата носителей ключевой информации, утрата их с последующим обнаружением, хищение, несанкционированное копирование, передача их по линии связи в открытом виде, любые другие виды разглашения ключевой информации, а также случаи, когда нельзя достоверно установить, что произошло с ключевой информацией и/или ее носителем (в том числе при выходе носителя из строя и отсутствии возможности опровергнуть наличие несанкционированных действий злоумышленника).

Действия персонала при компрометации ключей ЭЦП

3.2. При подозрении о компрометации рабочего комплекта закрытых ключей ЭЦП владелец соответствующего сертификата ключа немедленно прекращает использование соответствующего закрытого ключа ЭЦП и незамедлительно сообщает об этом Администратору безопасности.

3.3. При обнаружении обстоятельств, свидетельствующих о факте компрометации, Администратор безопасности соответствующей Стороны незамедлительно извещает о компрометации другую Сторону и Удостоверяющий центр УФК Минфина России с их последующим письменным уведомлением не позднее 2 следующих рабочих дней.

3.4. Удостоверяющий центр УФК Минфина России обеспечивает немедленное занесение соответствующего сертификата ключа подписи в список отозванных сертификатов.

3.5. Администратор безопасности Стороны, получившей извещение о компрометации, информирует пользователей сертификатов соответствующего ключа подписи и совместно с ними обеспечивает приостановку обработки ЭД, полученных после извещения и заверенных ЭЦП, соответствующей скомпрометированному ключу ЭЦП.

3.6. После подтверждения факта компрометации заверение ЭД ЭЦП владельцем соответствующего сертификата ключа подписи производится с помощью закрытых ключей резервного комплекта. Также владельцем сертификата ключа подписи осуществляется формирование дополнительного комплекта к