Приложение 5. Положение о порядке работы со средствами криптографической защиты информации в автоматизированной системе "ПАРУС Бюджет". Приказ Департамента финансов и налоговой политики Администрации города Тюмени от 19.12.2016 N 888-о "О переходе на юридически значимый электронный документооборот в автоматизированной информационной системе "ПАРУС Бюджет" (с изменениями и дополнениями)

Информация об изменениях:

Приказ дополнен приложением 5. - Приказ Департамента финансов и налоговой политики Администрации города Тюмени от 15 июня 2017 г. N 396-о

Приложение 5
к приказу
от 19 декабря 2016 г. N 888-о

Положение
о порядке работы со средствами криптографической защиты информации в автоматизированной системе "ПАРУС Бюджет"

1. Термины и определения

Система - автоматизированная информационная система "ПАРУС Бюджет", разработанная ООО "Корпорация "Парус" (далее - разработчик), предназначенная для автоматизации процесса формирования, приема, передачи, обработки и хранения форм бюджетной отчётности главных администраторов доходов бюджета города Тюмени, главных распорядителей средств бюджета города Тюмени, главных администраторов источников финансирования дефицита бюджета города Тюмени, форм бухгалтерской отчетности муниципальных бюджетных и автономных учреждений города Тюмени и дополнительных форм бюджетной и бухгалтерской отчетности, установленных правовыми актами Министерства финансов Российской Федерации и муниципальными правовыми актами директора департамента финансов и налоговой политики Администрации города Тюмени, для департамента финансов и налоговой политики Администрации города Тюмени.

Юридически значимый электронный документооборот (ЮЗЭД) - документооборот на базе Системы, в котором Участники ЮЗЭД совершают действия по принятию к исполнению документов в электронной форме, удостоверенных электронной подписью, и при этом несут ответственность за совершение, либо не совершение этих действий.

Организатор - департамент финансов и налоговой политики Администрации города Тюмени, Участник и координатор ЮЗЭД на базе Системы. Организатор привлекает для осуществления своих функций стороннюю организацию на основе муниципального контракта, заключенного по результатам осуществления закупки.

Регламент применения электронной подписи участниками юридически значимого электронного документооборота (Регламент) - утвержденный Организатором документ, фиксирующий техническую сторону организации юридически значимого электронного документооборота.

Телекоммуникационные каналы связи - это совокупность технических и программных средств, посредством которых осуществляется передача и прием информации между объектами. Используемые каналы связи определяются Организатором.

Квалифицированная электронная подпись (ЭП) - электронная подпись, соответствующая следующим признакам:

получена в результате криптографического преобразования информации с использованием ключа электронной подписи и средств (средства) электронной подписи, получивших (получившего) подтверждения соответствия требованиям, установленным Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи";

позволяет определить лицо, подписавшее электронный документ;

позволяет обнаружить факт внесения изменений в электронный документ после его подписания;

ключ проверки электронной подписи указан в квалифицированном сертификате ключа проверки электронной подписи.

Электронный документ - документ, в котором информация представлена в электронной форме в формате Системы. Юридическая значимость электронного документа подтверждается электронной подписью.

Ключ электронной подписи (ключ ЭП) - уникальная последовательность символов, предназначенная для создания ЭП.

Ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП.

Средства криптографической защиты информации (СКЗИ) - аппаратные и (или) программные средства, обеспечивающие применение ЭП (создание, проверка ЭП, создание ключа ЭП и ключа проверки ЭП), и (или) шифрование при осуществлении электронного документооборота, а также обеспечивающие защиту информации по утвержденным стандартам и сертифицированные в соответствии с действующим законодательством.

Нарушение конфиденциальности ключа ЭП - утрата доверия к тому, что Ключ используется только конкретным Уполномоченным сотрудником и только по назначению.

Материальный носитель - материальный объект, используемый для записи и хранения информации, необходимой для подписания Электронных документов ЭП.

Удостоверяющий центр (УЦ) - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронной подписи, а также иные функции, предусмотренные Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи", и получившие аккредитацию.

Аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия Удостоверяющего центра требованиям Федерального закона от 06.04.2011 N 63-ФЗ.

Квалифицированный сертификат ключа проверки электронной подписи (сертификат) - сертификат ключа проверки электронной подписи, выданный аккредитованным Удостоверяющим центром либо Доверенным лицом аккредитованного Удостоверяющего центра в форме, требования к которой утверждены Приказом ФСБ России от 27 декабря 2011 года N 795 "Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи".

Владелец сертификата - лицо, которому в установленном Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи" порядке выдан сертификат ключа проверки ЭП.

Реестр Сертификатов - справочник Системы, который содержит перечень сертификатов Уполномоченных сотрудников Участников.

ГРБС - главный распорядитель средств бюджета города Тюмени, осуществляющий в отношении муниципальных бюджетных и автономных учреждений города Тюмени полномочия и функции учредителя.

Учреждение - муниципальное казенное, бюджетное или автономное учреждение города Тюмени, участник юридически значимого электронного документооборота (в лице уполномоченных сотрудников) на базе Системы, присоединившееся к Соглашению об обмене электронными документами, и осуществляющее формирование и передачу форм отчетности ГРБС.

Участник - Учреждение или ГРБС (вместе - Участники).

Сотрудник - пользователь, имеющий имя и пароль для входа в Систему и наделенный полномочиями для работы в Системе.

Уполномоченный сотрудник - Руководитель Учреждения (либо лицо, его замещающее), главный бухгалтер Учреждения (либо лицо, его замещающее), наделенные полномочиями по подписанию электронной подписью электронных документов в Системе.

В случае передачи полномочий по ведению бюджетного учета иному учреждению (органу муниципальной власти) отчетность, подписывается руководителем субъекта отчетности, передавшего полномочия по ведению учета, и главным бухгалтером учреждения (органа власти), осуществляющего ведение бюджетного учета.

Уполномоченный сотрудник назначается приказом Учреждения.

Экспертная комиссия - комиссия, разрешающая конфликтные ситуации, связанные с использованием юридически значимого электронного документооборота.

2. Общие положения

Настоящий документ регламентирует порядок работы с СКЗИ в Системе.

При работе с материальными носителями СКЗИ должны соблюдаться требования "Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", утвержденной приказом Федерального агентства правительственной связи и информации (ФАПСИ) при Президенте Российской Федерации от 13 июня 2001 N 152, Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденного Приказом Федеральной Службы Безопасности Российской Федерации от 09 февраля 2005 г. N 66, Федерального закона Российской Федерации от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи", а также настоящего Положения.

3. Обеспечение информационной безопасности при работе со средствами криптографической защиты информации

3.1. Для использования в работе СКЗИ в системе ЮЗЭД допускаются только Уполномоченные сотрудники.

Уполномоченные сотрудники должны быть ознакомлены под роспись с настоящим Регламентом, а также другими документами, регулирующими использование СКЗИ в системе ЮЗЭД.

3.2. Уполномоченный сотрудник обязан:

- обеспечить сохранность персональных СКЗИ (в том числе хранить в тайне ключи ЭП);

- не допускать в пределах своих полномочий появления на персональном компьютере, задействованном в ЮЗЭД, появления постороннего, в том числе вредоносного программного обеспечения;

- при обнаружении постороннего, в том числе вредоносного программного обеспечения, немедленно прекратить эксплуатацию СКЗИ в системе ЮЗЭД, сообщить ГРБС о случившемся факте и принять незамедлительные меры для ликвидации вредоносного программного обеспечения и устранения возможных последствий его деятельности;

- не разглашать содержимое материальных носителей, содержащих Ключи;

- не передавать материальные носители иным лицам;

- не выводить данные, содержащиеся на материальном носителе, на монитор и печатающее устройство;

- при осуществлении деятельности, не связанной с использованием СКЗИ при работе в системе ЮЗЭД, не помещать материальный носитель, содержащий Ключи, в считывающие устройства персонального компьютера;

- не записывать на материальный носитель, содержащий Ключи, постороннюю информацию;

- не вносить изменения в программное обеспечение СКЗИ;

- не использовать в работе бывшие в употреблении материальные носители (за исключением носителей типа RuToken и eToken).

3.3. Уполномоченный сотрудник несет персональную ответственность за ненадлежащее исполнение указанных выше обязанностей в пределах своих полномочий.

4. Действия в случае нарушения конфиденциальности ключей

4.1. К событиям, связанным с нарушением конфиденциальности Ключей, относят следующие:

- утрата материальных носителей, содержащих Ключи;

- потеря материальных носителей, содержащих Ключи, с их последующим обнаружением;

- хищение материальных носителей, содержащих Ключи;

- разглашение содержимого материальных носителей, содержащих Ключи;

- несанкционированное копирование содержимого материальных носителей, содержащих Ключи;

- увольнение сотрудников, имевших доступ к материальным носителям, содержащим Ключи;

- нарушение правил хранения и уничтожения (после окончания срока действия) материальных носителей, содержащих Ключи;

- возникновение подозрений на утечку содержимого материальных носителей, содержащих Ключи, или её искажение в Системе;

- нарушение печати на сейфе или замка сейфа, в котором хранятся материальные носители, содержащие Ключи;

- невозможность достоверного установления того, что произошло с материальными носителями (в том числе случаи, когда материальный носитель вышел из строя и доказательно не опровергнута возможность того, что данный факт произошёл в результате несанкционированных действий злоумышленников);

- любые другие виды разглашения содержимого материальных носителей, содержащих Ключи, в результате которых Ключи могут стать доступными посторонним лицам и (или) воздействию вредоносного программного обеспечения.

4.2. Уполномоченный сотрудник самостоятельно определяет факт нарушения конфиденциальности Ключа и оценивает значение этого события. Мероприятия по розыску и локализации последствий нарушения конфиденциальности Ключа осуществляются Учреждением совместно с ГРБС с участием Уполномоченного сотрудника (владельца утратившего конфиденциальность Ключа).

В случае установления факта нарушения конфиденциальности Ключа Уполномоченный сотрудник обязан незамедлительно прекратить эксплуатацию ЮЗЭД в Системе и в срок не более одного рабочего дня уведомить о факте нарушения ГРБС, а также УЦ по телекоммуникационным каналам связи.

В течение 30 (тридцати) рабочих минут после поступления сообщения о нарушения конфиденциальности Ключа ГРБС информирует о данном факте Организатора, который обеспечивает прекращение использования в ЮЗЭД соответствующего Сертификата Уполномоченного сотрудника.

Возобновление работы Уполномоченного сотрудника в ЮЗЭД происходит только после замены утратившего конфиденциальность Ключа.

Получение Ключей (при выпуске новых и замене старых, отозванных и скомпрометированных Ключей) Уполномоченными сотрудниками производится в порядке, установленном УЦ.