Приложение N 2. Положение о порядке работы со средствами криптографической защиты информации в корпоративной информационной системе министерства финансов Амурской области. Приказ Министерства финансов Амурской области от 25.12.2012 N 310 "О внедрении юридически значимого электронного документооборота в корпоративной информационной системе министерства финансов Амурской области" (с изменениями и дополнениями)

Информация об изменениях:

Приложение 2 изменено с 28 июня 2013 г. - Приказ Министерства финансов Амурской области от 28 июня 2013 г. N 171

См. предыдущую редакцию

Приложение N 2
к Регламенту взаимодействия
министерства финансов Амурской области
и Участников юридически значимого
электронного документооборота

Положение
о порядке работы со средствами криптографической защиты информации в корпоративной информационной системе министерства финансов Амурской области

С изменениями и дополнениями от:

28 июня 2013 г.

1. Общие положения

Настоящее положение регламентирует порядок работы с СКЗИ.

2. Работа с СКЗИ

2.1. При работе с СКЗИ должны соблюдаться требования "Инструкции об организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащих сведений, составляющих государственную тайну", утвержденную приказом Федерального агентства правительственной связи и информации (ФАСПИ) при Президенте Российской Федерации от 13.06.2001 г. N 152, иных нормативно-правовых документов министерства финансов Амурской области и настоящего Положения.

2.2. Используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, материальные носители подлежат регистрации в соответствующих журналах поэкземплярного учета.

2.3. Все полученные экземпляры СКЗИ, эксплуатационной и технической документации к ним, материальные носители, должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность.

2.4. Хранение инсталлирующих СКЗИ носителей, эксплуатационной и технической документации к СКЗИ, и материальных носителей в запираемых шкафах (ящиках, хранилищах) должно производиться в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.

2.5. Для работы с СКЗИ в ЮЗЭД допускаются только Уполномоченные сотрудники Участников. Уполномоченные сотрудники Участников несут персональную ответственность за сохранность СКЗИ (в том числе хранение в тайне ключей ЭП, неразглашение и нераспространение).

2.6. Внесение Сертификатов Уполномоченных сотрудников Участников в реестр Системы осуществляется Администратором технической защиты информации Оператора на основании Заявки на регистрацию пользователя ЦИТП (1).

2.7. Ответственность за корректность ввода сертификатов Уполномоченных сотрудников Участника в реестр Системы несет Оператор.

2.8. Оператор обеспечивает хранение Сертификатов Уполномоченных сотрудников Участника в течение срока хранения электронного документа.

2.9. Срок действия ключей ЭП и соответствующих Сертификатов определяется УЦ. После окончания срока действия Сертификата Уполномоченный сотрудник Участника теряет право использования ключей ЭП, соответствующих данному Сертификату. Для получения новых ключей Уполномоченный сотрудник Участника должен руководствоваться порядком получения новых ключей, установленным УЦ.

2.10. Уполномоченный сотрудник Участника несёт ответственность за отсутствие на компьютере, на котором осуществляется эксплуатация ЮЗЭД, посторонних программ (вирусов и т.д.), способствующих нарушению функционирования ЮЗЭД.

2.11. При обнаружении на компьютере, на котором осуществляется эксплуатация ЮЗЭД, посторонних программ (вирусов и т.д.), эксплуатация ЮЗЭД на этом компьютере должна прекратиться с дальнейшей организацией мероприятий по анализу и ликвидации посторонних программ и возможных последствий.

2.12. Категорически запрещается:

- разглашать содержимое материальных носителей, содержащих ключи ЭП, или передавать сами материальные носители лицам, к ним не допущенным, выводить данные, содержащиеся на материальном носителе, на дисплей и принтер;

- производить несанкционированное копирование носителей ключевой информации;

- вставлять материальный носитель, содержащий ключи ЭП, в дисковод или USB-считыватель компьютера Уполномоченного сотрудника и других лиц при проведении работ, не связанных с эксплуатацией ЮЗЭД;

- записывать на материальный носитель, содержащий ключи ЭП, постороннюю информацию;

- оставлять материальный носитель, содержащий ключи ЭП без присмотра на рабочем месте;

- вносить какие-либо изменения в программное обеспечение СКЗИ;

- использовать бывшие в работе материальные носители (правило не распространяется на носитель типа RuToken и eToken).

Уполномоченный сотрудник Участника несёт ответственность за проведение в полном объёме организационных и технических мероприятий, обеспечивающих соблюдение указанных выше правил.

3. Действия в случае компрометации ключей

3.1. К событиям, связанным с компрометацией ключей, относят следующие:

- утрата материальных носителей, содержащих ключи ЭП;

- потеря материальных носителей, содержащих ключи ЭП, с их последующим обнаружением;

- хищение материальных носителей, содержащих ключи ЭП;

- разглашение содержимого материальных носителей, содержащих ключи ЭП;

- несанкционированное копирование содержимого материальных носителей, содержащих ключи ЭП;

- увольнение сотрудников, имевших доступ к материальным носителям, содержащим ключи ЭП;

- нарушение правил хранения и уничтожения (после окончания срока действия материальных носителей, содержащих ключи ЭП);

- возникновение подозрений на утечку содержимого материальных носителей, содержащих ключи ЭП, или её искажение в Системе;

- нарушение печати на сейфе или замка сейфа, в котором хранятся материальные носители, содержащие ключи ЭП;

- невозможность достоверного установления того, что произошло с материальными носителями(в том числе случаи, когда материальный носитель вышел из строя и доказательно не опровергнута возможность того, что данный факт произошёл в результате несанкционированных действий злоумышленников);

- любые другие виды разглашения содержимого материальных носителей, содержащих ключи ЭП, в результате которых ключи могут стать доступными посторонним лицам и (или) процессам.

3.2. Уполномоченный сотрудник Участника самостоятельно определяет факт компрометации Ключа и оценивает значение этого события. Мероприятия по розыску и локализации последствий компрометации Ключа организует и осуществляет Оператор с участием Уполномоченного сотрудника Участника (владельца скомпрометированного Ключа).

В случае установления факта компрометации Ключа Уполномоченный сотрудник Участника обязан незамедлительно прекратить эксплуатацию ЮЗЭД в Системе и в течение 3-х часов уведомить об этом Оператора, а так же УЦ по телекоммуникационным каналам связи.

В течение 60 (шестидесяти) рабочих минут после поступления сообщения о компрометации Ключа Оператор обеспечивает прекращение использования в ЮЗЭД соответствующего Сертификата Уполномоченного сотрудника.

3.3. Дата и время, с которой Сертификат считается недействительным в Системе, устанавливается равной дате и времени прекращения использования в ЮЗЭД соответствующего Сертификата.

3.4. При получении электронного документа, подписанного скомпрометированным ключом ЭП, данный электронный документ считается недействительным.

3.5. Возобновление работы уполномоченного сотрудника участника в ЮЗЭД происходит только после замены скомпрометированного ключа.

Для получения новых ключей Уполномоченный сотрудник Участника должен руководствоваться порядком получения новых ключей, установленным УЦ.

1 форма заявки на регистрацию пользователя ЦИТП приведена в Приложении N 5 к Регламенту взаимодействия министерства финансов Амурской области и Участников юридически значимого электронного документооборота.