Приложение N 7. Карта рисков электронного документооборота. Распоряжение заместителя Главы Администрации города Перми - начальника Департамента финансов Администрации города Перми от 30.12.2014 N СЭД-06-01-03-р-169 "О запуске в эксплуатацию юридически значимого электронного документооборота в системе автоматизации на платформе "1С: Предприятие 8" конфигурации "Свод отчетов ПРОФ"

Приложение N 7
к распоряжению
начальника департамента
финансов администрации города Перми
от 30 декабря 2014 г. N СЭД-06-01-03-р-169

Карта
рисков электронного документооборота

1. Термины и определения

Термины и определения, используемые в документе:

Аккредитованный удостоверяющий центр (далее - УЦ) - это организация, прошедшая аккредитацию в соответствии с действующим законодательством, выпускающая сертификаты.

Владелец сертификата ключа проверки ЭП - физическое лицо, на имя которого УЦ выдан сертификат и которое владеет соответствующим ключом ЭП, позволяющим с помощью средств ЭП создавать свою ЭП в электронных документах (подписывать ЭП).

Информационный актив - оборудование, используемое для обработки, передачи или хранения информации, или программные средства обработки информации организации.

Квалифицированный сертификат ключа проверки ЭП (далее - сертификат) - электронный документ или документ на бумажном носителе, выданный УЦ либо федеральным органом исполнительной власти (уполномоченными в сфере использования ЭП) и подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата ключа.

Ключ электронной подписи (далее - ключ) - уникальная последовательность символов, предназначенная для создания ЭП.

Ключ проверки ЭП - уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП.

Организатор - департамент финансов. Сторона, являющаяся участником ЮЗЭД (в лице Уполномоченных сотрудников) на базе Системы, которая также является организатором юридически значимого электронного документооборота на базе Системы. Функции, выполняемые Организатором: хранение на своем аппаратном обеспечении базы данных и конфигурации серверной части Системы; настройка Системы на серверных станциях.

Серверная часть Системы - аппаратно-программный комплекс, предназначенный для хранения, обработки и передачи данных по телекоммуникационным каналам связи на рабочие машины сотрудников.

Клиентская часть Системы - аппаратно-программный комплекс, предназначенный для хранения, обработки и передачи данных по телекоммуникационным каналам связи с рабочих машин сотрудников на сервер приложений Системы.

Система - система автоматизации на платформе "1С: Предприятие 8" конфигурации "Свод отчетов ПРОФ", разработанная ЗАО "1С" (далее - Разработчиком), предназначенная для автоматизации процессов формирования, приема, передачи, обработки и хранения форм отчетности.

Средства криптографической защиты информации (далее - СКЗИ) - аппаратно-программный комплекс, выполняющий функцию создания ЭП, а также обеспечивающий защиту информации по утвержденным стандартам и сертифицированный в соответствии с действующим законодательством.

Статус электронного документа - атрибут электронного документа, идентифицирующий его состояние по определенному признаку.

Сторона - юридическое лицо, участник ЮЗЭД (в лице Уполномоченных сотрудников), заключившее договор об обмене электронными документами между Участниками ЮЗЭД с департаментом финансов администрации города Перми.

Уполномоченный сотрудник - сотрудник, наделенный полномочиями по подписанию ЭП электронных документов в соответствии с утвержденным Регламентом.

Участник - юридическое лицо, принимающее участие в ЮЗЭД.

Усиленная квалифицированная электронная подпись (далее - ЭП) - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

ЭП имеет следующие характеристики:

1. получена в результате криптографического преобразования информации с использованием ключа;

2. позволяет определить лицо, подписавшее электронный документ;

3. позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

4. создается с использованием средств ЭП;

5. ключ проверки ЭП указан в квалифицированном сертификате;

6. для создания и проверки ЭП используются средства ЭП, получившие подтверждения соответствия требованиям, установленным в соответствии с Федеральным законом "Об электронной подписи" (N 63-ФЗ).

Электронный документ - документ, в котором информация представлена в электронной форме.

Юридически значимый электронный документооборот (далее - ЮЗЭД) - документооборот на базе Системы, в котором участники ЮЗЭД совершают действия по принятию к исполнению документов в электронной форме, удостоверенных ЭП, и при этом несут ответственность за совершение либо несовершение этих действий.

2. Общие сведения

Настоящий документ предназначен для описания вероятности возникновения рисков и мероприятий по их снижению, а также описания возможной степени причиненного ущерба.

3. Классификация рисков

Для целей настоящего документа, для приведения к единой классификации, необходимой для последующего анализа, рискам присваиваются следующие значения атрибутов:

1. вероятность реализации риска;

2. уровень подверженности информационного актива воздействию (существенность ущерба для департамента финансов администрации города Перми).

Текстовые описания значений атрибутов приведены в таблицах 1 и 2.

Таблица 1. Значения атрибута "Вероятность реализации риска"

Вероятность	Описание
Высокая	Вероятна реализация риска один или несколько раз в течение года
Средняя	Риск может быть реализован хотя бы один раз в течение двух-трех лет
Низкая	Реализация риска в течение трех лет маловероятна

Таблица 2. Значения атрибута "Уровень подверженности информационного актива воздействию"

Уровень подверженности воздействию	Существенность ущерба (конфиденциальность/целостность информационного актива)
5	Серьезные повреждения или полный выход информационного актива из строя (например, видимые снаружи и существенно влияющие на ход производственных процессов, существенно увеличивающие затраты)
4	Серьезные повреждения, не приводящие к полному выходу информационного актива из строя (например, не видимые снаружи, но существенно влияющие на ход производственных процессов, увеличивающие затраты)
3	Средние повреждения или ущерб (например, влияющие на внутренние регламенты, увеличивающие затраты)
2	Незначительные повреждения или ущерб
1	Небольшие изменения информационного актива

Риски, связанные с ведением электронного документооборота в системе автоматизации на платформе "1С: Предприятие 8" конфигурации "Свод отчетов ПРОФ", классифицируются по типу - организационные и технические.

А также по источнику возникновения: внешние и внутренние.

Классификация рисков по типу:

1) Организационные риски - риски необеспечения (ненадлежащего обеспечения) Системы методической документацией, а также возникновения конфликтных ситуаций, вызванных правовой неурегулированностью вопросов применения ЭП и отношений Участников.

2) Технические риски - риски необеспечения (ненадлежащего обеспечения) порядка осуществления ЮЗЭД вследствие неэффективности и/или неадекватности технологий, порядка и способов осуществления ЮЗЭД.

Классификация рисков по источнику возникновения:

1) Внешние риски - риски, не связанные непосредственно с деятельностью персонала Организатора.

2) Внутренние риски - риски, непосредственно зависящие от деятельности персонала Организатора.

4. Общие меры снижения организационных рисков

Общие меры снижения организационных рисков представлены в таблице N 3.

Таблица 3. Организационные риски

N	Тип риска (Внутренний/внешний)	Описание	Вероятность реализации	Существенность ущерба	Меры по снижению
1	Внутренний/Внешний	Компрометация ключа ЭП путем хищения носителей/копирования данных	Высокая	4	Организация хранения материальных носителей, журналов выдачи, использование не копируемых материальных носителей
2	Внутренний	Нарушение сотрудником правил использования СКЗИ	Высокая	3	Ознакомление сотрудника под роспись в журнале ознакомления с пакетом документации по ЮЗЭД
3	Внутренний	Увольнение сотрудника, имевшего доступ к ключам ЭП	Высокая	3	Подача заявления в УЦ на отзыв сертификата ЭП
4	Внутренний	Отказ от выполнения должностных обязанностей со ссылкой на нормы 1-ФЗ по части защиты ключа подписи	Средняя	4	Провести обучение персонала, показав, что веб-клиент с подписью в терминале соответствует по защищенности локальному рабочему месту, т.е. риска компрометации ключа нет
5	Внутренний	Выгрузка в архивное хранение произведена не полностью с нарушением целостности информации о цепочках доверия или с нарушением целостности документарных томов. Утрата документов или их реквизитов в процессе выгрузки	Высокая	4	Описать регламент выгрузки документов на архивное хранение. Приказ о вводе в действие регламента и регламент хранения документов в архиве
6	Внутренний	Низкая степень значимости (важности) сертификата ключа подписи как документа для должностных лиц (сотрудников)	Высокая	4	Выдавать бумажный оригинал сертификата, изготовленный на типографском бланке
7	Внутренний/Внешний	НСД к техническим средствам Системы (серверам, рабочим станциям пользователей и т.д.)	Средняя	5	Организация пропускного режима в помещения, размещающие технические средства системы, кабинеты, в которых расположены рабочие станции пользователей
8	Внутренний	Отказ от признания результатов экспертизы ЭД одним из представителей конфликтующих сторон	Высокая	3	Разработка порядка разбора конфликтных ситуаций, описывающего действия, находящиеся за пределами установления авторства подписи
9	Внутренний	Разрешение конфликтов в суде	Средняя	5	Описание досудебного разбора конфликтов
10	Внутренний	Длительная остановка производственного процесса по причине невозможности проведения изъятия (выемки) документов контролирующими органами (ситуация рассматривается как экстренная для предприятия)	Средняя	5	Описать порядок предоставления документов по запросу контролирующих органов
11	Внутренний	Доступ пользователей к не принадлежащим им объектам Системы	Высокая	3	Использование системы разграничения прав доступа, настройка ролей пользователей
12	Внутренний	Сопротивление персонала внедрению и использованию ЮЗЭД, неприятие новых методов работы	Высокая	4	Каждый этап внедрения сопровождается письменными распоряжениями руководства департамента финансов администрации города Перми. Организация обучения сотрудников
13	Внутренний	Утечка конфиденциальной информации	Высокая	5	Назначение персональной ответственности сотрудников

5. Общие меры снижения технических рисков

Общие меры снижения технических рисков представлены в таблице 4.

Таблица 4. Технические риски

N	Тип риска	Описание	Вероятность реализации	Существенность ущерба	Меры по снижению
1	Внешний	Перехват информации, передаваемой по каналам связи	Средняя	4	Защита протокола передачи данных между клиентами и веб-серверами путем организации https-доступа к веб-серверу, SSL-шифрование трафика между клиентами и веб-серверами
2	Внутренний	Нарушение целостности данных БД	Высокая	5	Резервное копирование средствами используемых СУБД (средств управления базами данных)
3	Внутренний/Внешний	Утечка ключей ЭП с рабочих станций пользователей	Средняя	4	Применение к рабочим станциям единой политики безопасности
4	Внешний	Заражение компьютерными вирусами	Средняя	4	Организация антивирусной защиты
5	Внутренний	Нехватка производственных мощностей серверов	Низкая	3	Анализ планируемой нагрузки и наращивание мощностей в случае необходимости

6. Управление рисками электронного документооборота

1. Подразделением, ответственным за управление рисками электронного документооборота, является отдел информационных систем департамента финансов администрации города Перми.

2. Основными функциями отдела информационных систем департамента финансов администрации города Перми в области управления рисками электронного документооборота являются:

- анализ текущей и планируемой деятельности Организатора с целью выявления новых рисков электронного документооборота, установление источников и причин их реализации, оценка последствий реализации выявленных рисков;

- контроль за практическим применением Организатором мер, препятствующих реализации рисков электронного документооборота;

- мониторинг событий, способных привести к реализации рисков электронного документооборота, анализ эффективности применяемых Организатором способов снижения рисков;

- расследование случаев реализации рисков электронного документооборота, установление причин несрабатывания, применяемых Организатором способов снижения рисков;

- оценка эффективности сформированных Организатором компенсационных инструментов, применяемых при покрытии убытков, в случае реализации рисков электронного документооборота;

- разработка предложений по повышению эффективности системы мер снижения рисков электронного документооборота.