Приложение N 3. Порядок работы со средствами криптографической защиты информации. Распоряжение заместителя Главы Администрации города Перми - начальника Департамента финансов Администрации города Перми от 30.12.2014 N СЭД-06-01-03-р-169 "О запуске в эксплуатацию юридически значимого электронного документооборота в системе автоматизации на платформе "1С: Предприятие 8" конфигурации "Свод отчетов ПРОФ"

Приложение N 3
к распоряжению
начальника департамента
финансов администрации города Перми
от 30 декабря 2014 г. N СЭД-06-01-03-р-169

Порядок
работы со средствами криптографической защиты информации

1. Термины и определения

Администратор безопасности - сторонняя организация, осуществляющая техническое обслуживание, сопровождение и администрирование Системы.

Аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям Федерального закона 63-ФЗ.

Аккредитованный удостоверяющий центр (далее - УЦ) - это организация (или подразделение организации), прошедшая аккредитацию в соответствии с действующим законодательством, выпускающая сертификаты.

Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, сертификатов - документ, предназначенный для учета СКЗИ, эксплуатационной и технической документации к ним, сертификатов. Типовая форма данного документа представлена в приложении N 1 к Порядку работы со средствами криптографической защиты информации.

Квалифицированный сертификат ключа проверки ЭП (далее - сертификат) - электронный документ или документ на бумажном носителе, выданный УЦ либо федеральным органом исполнительной власти (уполномоченными в сфере использования ЭП) и подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата ключа.

Ключ электронной подписи (далее - ключ ЭП) - уникальная последовательность символов, предназначенная для создания ЭП.

Ключ проверки ЭП - уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП.

Компрометация ключа - утрата доверия к тому, что используемые ключи ЭП обеспечивают безопасность информации.

Материальный носитель - материальный объект, используемый для записи и хранения информации, необходимой для подписания электронных документов ЭП.

Регламент применения электронной подписи (далее - Регламент) - документ, определяющий статусы электронных документов, на которых происходит наложение ЭП в электронном документе на определенном статусе.

Система - система автоматизации на платформе "1С: Предприятие 8" конфигурации "Свод отчетов ПРОФ", разработанная ЗАО "1С" (далее - Разработчиком), предназначенная для автоматизации процессов формирования, приема, передачи, обработки и хранения форм отчетности.

Средства криптографической защиты информации (далее - СКЗИ) - аппаратно-программный комплекс, выполняющий функцию создания ЭП, а также обеспечивающий защиту информации по утвержденным стандартам и сертифицированный в соответствии с действующим законодательством.

Статус электронного документа - атрибут электронного документа, идентифицирующий его состояние по определенному признаку.

Уполномоченный сотрудник - сотрудник, наделенный полномочиями по подписанию ЭП электронных документов в соответствии с утвержденным Регламентом.

Участник - юридическое лицо, принимающее участие в ЮЗЭД.

Усиленная квалифицированная электронная подпись (далее - ЭП) - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

ЭП имеет следующие характеристики:

1. получена в результате криптографического преобразования информации с использованием ключа;

2. позволяет определить лицо, подписавшее электронный документ;

3. позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

4. создается с использованием средств ЭП;

5. информация для проверки ЭП указана в сертификате;

6. для создания и проверки ЭП используются средства ЭП, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом "Об электронной подписи" (N 63-ФЗ).

Электронный документ (далее - ЭД) - документ, в котором информация представлена в электронной форме.

Юридически значимый электронный документооборот (далее - ЮЗЭД) - документооборот на базе Системы, в котором участники ЮЗЭД совершают действия по принятию и передаче документов в электронной форме, удостоверенных ЭП, и при этом несут ответственность за совершение либо несовершение этих действий.

2. Общие положения

Настоящий документ регламентирует порядок работы с СКЗИ в соответствии с Приказом ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", а также утвержденным Приказом ФСБ РФ от 9 февраля 2005 г. N 66 Положением ПКЗ-2005 "О разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации" в ред. Приказа ФСБ РФ от 12.04.2010 N 173.

3. Организация и обеспечение безопасности хранения и применения СКЗИ

Ключи ЭП изготавливаются УЦ или ответственным за эксплуатацию СКЗИ сотрудником Участника.

Пользователи СКЗИ обязаны:

- не разглашать сведения о ключах ЭП;

- соблюдать требования и рекомендации, указанные производителем СКЗИ в сопроводительной документации;

- сообщать в ответственному за эксплуатацию СКЗИ сотруднику Участника, а также Организатору о ставших им известными попытках посторонних лиц получить сведения об используемых ключах ЭП;

- сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключи ЭП при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;

- при получении в пользование материального носителя изменить PIN-код Пользователя. Изменение PIN-кода Администратора производит ответственный за эксплуатацию СКЗИ сотрудник Участника;

- немедленно уведомлять ответственного за эксплуатацию СКЗИ сотрудника Участника, а также Организатора о фактах утраты или недостачи СКЗИ, ключей ЭП, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых сведений конфиденциального характера, а также о причинах и условиях возможной утечки таких сведений.

Категорически запрещается:

1. Разглашать содержимое материальных носителей, содержащих ключи ЭП или передавать сами материальные носители лицам (коллегам, знакомым), к ним не допущенным, выводить данные, содержащиеся на материальном носителе, на дисплей и принтер.

2. Вставлять материальный носитель, содержащий ключи ЭП, в дисковод или USB-считыватель своего и чужих компьютеров при проведении работ, не связанных с эксплуатацией ЮЗЭД.

3. Записывать на материальный носитель, содержащий ключи ЭП, постороннюю информацию.

4. Вносить какие-либо изменения в программное обеспечение СКЗИ.

5. Использовать бывшие в работе материальные носители (правило не распространяется на носитель типа RuToken).

Уполномоченный сотрудник несет ответственность за проведение в полном объеме организационных и технических мероприятий, обеспечивающих соблюдение данных правил.

Непосредственно к работе с СКЗИ пользователи допускаются только соответствующего инструктажа. Инструктаж включает в себя ознакомление с Руководством пользователя СКЗИ, Инструкцией по установке, настройке и эксплуатации СКЗИ, Регламентом УЦ. Инструктаж проводит ответственный за эксплуатацию СКЗИ сотрудник Участника и (или) УЦ.

4. Порядок обращения с СКЗИ и ключами ЭП

Для организации и обеспечения безопасности хранения и применения ЭП следует использовать СКЗИ, предусматривающие запись ключей ЭП на материальные носители (дискеты, компакт-диски (CD-ROM), Data Key, Smart Card, eToken, RuToken и т.п.).

Используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, ключи ЭП подлежат поэкземплярному учету по установленной форме в соответствии с требованиями Положения ПКЗ-2005. При этом программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование.

Единицей поэкземплярного учета ключей ЭП считается материальный носитель. Если один и тот же материальный носитель многократно используют для записи ключей ЭП, то его каждый раз следует регистрировать отдельно.

Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним (приложение 1) ведет ответственный за эксплуатацию СКЗИ сотрудник Участника.

Все полученные ответственным за эксплуатацию СКЗИ сотрудником Участника экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключей ЭП должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность.

Передача СКЗИ, эксплуатационной и технической документации к ним, ключей ЭП допускается только между пользователями СКЗИ и (или) ответственными за эксплуатацию СКЗИ сотрудниками Участника под расписку в соответствующих журналах поэкземплярного учета.

Пользователи СКЗИ хранят носители СКЗИ, эксплуатационную и техническую документацию к СКЗИ, ключи ЭП в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.

СКЗИ и ключи ЭП могут доставляться фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа ответственных за эксплуатацию СКЗИ сотрудников Участника или пользователей СКЗИ, для которых они предназначены, при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки.

Эксплуатационную и техническую документацию к СКЗИ можно пересылать заказными или ценными почтовыми отправлениями.

Для пересылки СКЗИ должны быть помещены в прочную упаковку, исключающую возможность их физического повреждения и внешнего воздействия. СКЗИ пересылают отдельно от ключей. На упаковках указывают ответственного за эксплуатацию СКЗИ сотрудника Участника или пользователя СКЗИ, для которых эти упаковки предназначены. На упаковках делают пометку "Лично". Упаковки опечатывают таким образом, чтобы исключалась возможность извлечения из них содержимого без нарушения упаковок и оттисков печати.

Оформленную таким образом упаковку, при предъявлении фельдсвязью дополнительных требований, помещают во внешнюю упаковку, оформленную согласно предъявляемым требованиям. До первоначальной высылки (или возвращения) адресату сообщают отдельным письмом описание высылаемых ему упаковок и печатей, которыми они могут быть опечатаны.

Для пересылки СКЗИ, эксплуатационной и технической документации к ним, ключей ЭП следует подготовить сопроводительное письмо, в котором необходимо указать, что посылается и в каком количестве, учетные номера изделий, а также, при необходимости, назначение и порядок использования высылаемого отправления. Сопроводительное письмо вкладывают в одну из упаковок.

Полученные упаковки вскрывают только ответственный за эксплуатацию СКЗИ сотрудник Участника или пользователи СКЗИ, для которых они предназначены. Если содержимое полученной упаковки не соответствует указанному в сопроводительном письме или сама упаковка и печать - их описанию (оттиску), а также если упаковка повреждена, в результате чего образовался свободный доступ к ее содержимому, то получатель составляет акт, который высылает отправителю. Полученные с такими отправлениями СКЗИ до получения указаний от отправителя применять не разрешается.

Получение СКЗИ, эксплуатационной и технической документации к ним должно быть подтверждено отправителю в соответствии с порядком, указанным в сопроводительном письме. Отправитель обязан контролировать доставку своих отправлений адресатам. Если от адресата своевременно не поступило соответствующего подтверждения, то отправитель должен направить ему запрос и принять меры к уточнению местонахождения отправлений.

Неиспользованные или выведенные из действия ключи ЭП подлежат уничтожению на месте эксплуатации.

Уничтожение ключей ЭП может производиться путем физического уничтожения материального носителя, на котором они расположены, или путем стирания (разрушения) ключей ЭП без повреждения материального носителя (для обеспечения возможности его многократного использования).

Ключи ЭП стирают по технологии, принятой для соответствующих материальных носителей многократного использования (дискет, компакт-дисков (CD-ROM), Data Key, Smart Card, eToken, RuToken и т.п.). Непосредственные действия по стиранию ключей ЭП, а также возможные ограничения на дальнейшее применение соответствующих ключевых носителей многократного использования регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись ключей ЭП.

Ключевые носители уничтожают путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления ключей ЭП. Непосредственные действия по уничтожению конкретного типа материального носителя регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись ключей ЭП.

Бумажные и прочие сгораемые материальные носители, а также эксплуатационная и техническая документация к СКЗИ уничтожаются путем сжигания или с помощью любых бумагорезательных машин.

Ключи ЭП должны быть уничтожены в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключи ЭП должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется в журнале поэкземплярного учета.

Ключи ЭП уничтожаются либо пользователями СКЗИ, либо ответственным за эксплуатацию СКЗИ сотрудником Участника под расписку в журнале поэкземплярного учета, а уничтожение большого объема ключей ЭП оформляется актом. При этом пользователям СКЗИ разрешается уничтожать только использованные непосредственно ими (предназначенные для них) ключи ЭП.

Уничтожение по акту производит комиссия в составе не менее двух человек из числа сотрудников Участника, в том числе ответственного за эксплуатацию СКЗИ сотрудника. В акте указывается, что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых ключей ЭП, инсталлирующих СКЗИ носителей, эксплуатационной и технической документации. Исправления в тексте акта должны быть оговорены и заверены подписями всех членов комиссии, принимавших участие в уничтожении. О проведенном уничтожении делается отметка в журнале поэкземплярного учета.

5. Действия в случае компрометации ключей ЭП

К событиям, связанным с компрометацией ключей ЭП, относят следующее:

1. Потеря материальных носителей, содержащих ключи ЭП;

2. Потеря материальных носителей, содержащих ключи ЭП, с их последующим обнаружением;

3. Хищение материальных носителей, содержащих ключи ЭП;

4. Разглашение содержимого материальных носителей, содержащих ключи ЭП;

5. Несанкционированное копирование содержимого материальных носителей, содержащих ключи ЭП;

6. Увольнение сотрудников, имевших доступ к материальным носителям, содержащим ключи ЭП;

7. Нарушение правил хранения и уничтожения (после окончания срока действия материальных носителей, содержащих ключи ЭП);

8. Возникновение подозрений на утечку содержимого материальных носителей, содержащих ключи ЭП, или ее искажение в Системе;

9. Нарушение печати на сейфе (при использовании), в котором хранятся материальные носители, содержащие ключи ЭП;

10. Случаи, когда нельзя достоверно установить, что произошло с материальными носителями (в том числе случаи, когда материальный носитель вышел из строя и доказательно не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленников);

11. Любые другие виды разглашения содержимого материальных носителей, в результате которых ключи ЭП могут стать доступными посторонним лицам и (или) процессам.

Уполномоченный сотрудник Участника самостоятельно определяет факт компрометации ключа и оценивает значение этого события. Мероприятия по розыску и локализации последствий компрометации ключа ЭП организует и осуществляет администратор безопасности с участием уполномоченного сотрудника Участника (владельца скомпрометированного ключа ЭП).

В случае установки факта компрометации ключа ЭП уполномоченный сотрудник Участника обязан незамедлительно прекратить использование ЮЗЭД в Системе и уведомить администратора безопасности, а также доверенный УЦ по телекоммуникационным каналам связи.

В течение 30 (тридцати) рабочих минут после поступления сообщения о компрометации ключа ЭП сертификат уполномоченного сотрудника должен быть не доступен для использования в ЮЗЭД (с помощью действий администратора безопасности по настройке Системы). Возобновление работы уполномоченного сотрудника Участника в ЮЗЭД происходит только после замены скомпрометированных ключей ЭП. В случае необходимости в срочной отправке документа документ подписывает уполномоченный сотрудник Участника, замещающий уполномоченного сотрудника Участника, ключ ЭП которого был скомпрометирован.

Для получения новых ключей ЭП уполномоченный сотрудник Участника должен руководствоваться порядком получения новых ключей ЭП, установленным доверенным УЦ.

6. Контроль за организацией и обеспечением безопасности хранения и применения СКЗИ

Контроль за организацией и обеспечением безопасности хранения, эксплуатации, обработки и передачи по каналам связи информации с использованием СКЗИ - государственный контроль осуществляют уполномоченные федеральные органы. В ходе государственного контроля изучаются и оцениваются:

- организация безопасности хранения, эксплуатации СКЗИ;

- достигнутый уровень криптографической защиты информации;

- условия использования СКЗИ.