Приложение N 8. Карта рисков электронного документооборота. Распоряжение начальника Департамента финансов Администрации города Перми от 18.12.2013 N СЭД-06-01-03-р-93 "О запуске в эксплуатацию ЮЗЭД в сфере финансового планирования бюджета города Перми" (с изменениями и дополнениями)

Приложение N 8
к распоряжению начальника Департамента
финансов администрации города Перми
от 18 декабря 2013 г. N СЭД-06-01-03-р-93

Карта рисков электронного документооборота

1. Термины и определения

Термины и определения, используемые в документе:

Аккредитованный удостоверяющий центр (далее - УЦ) - это организация, прошедшая аккредитацию в соответствии с действующим законодательством, выпускающая сертификаты.

Владелец сертификата ключа проверки ЭП - физическое лицо, на имя которого УЦ выдан сертификат и которое владеет соответствующим ключом ЭП, позволяющим с помощью средств ЭП создавать свою ЭП в электронных документах (подписывать ЭП).

Информационный актив - оборудование, используемое для обработки, передачи или хранения информации или программные средства обработки информации организации.

Квалифицированный сертификат ключа проверки ЭП (далее - сертификат) - электронный документ или документ на бумажном носителе, выданный УЦ либо Федеральным органом исполнительной власти (уполномоченными в сфере использования ЭП) и подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата ключа.

Ключ электронной подписи (далее - ключ) - уникальная последовательность символов, предназначенная для создания ЭП.

Ключ проверки ЭП - уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП.

Организатор - Департамент финансов. Сторона, являющаяся участником ЮЗЭД (в лице Уполномоченных сотрудников) на базе Системы, которая также является организатором юридически значимого электронного документооборота на базе Системы. Функции, выполняемые Организатором: хранение на своем аппаратном обеспечении базы данных и конфигурации серверной части Системы; настройка Системы на серверных станциях.

Серверная часть Системы - аппаратно-программный комплекс, предназначенный для хранения, обработки и передачи данных по телекоммуникационным каналам связи на рабочие машины сотрудников.

Клиентская часть Системы - аппаратно-программный комплекс, предназначенный для хранения, обработки и передачи данных по телекоммуникационным каналам связи с рабочих машин сотрудников на сервер приложений Системы.

Система - система автоматизации финансового органа - автоматизированный центр контроля исполнения и планирования бюджета ("АЦК-Финансы", "АЦК-Планирование").

Средства криптографической защиты информации (далее - СКЗИ) - аппаратно-программный комплекс, выполняющий функцию создания ЭП, а также обеспечивающий защиту информации по утвержденным стандартам и сертифицированный в соответствии с действующим законодательством.

Статус электронного документа - атрибут электронного документа, идентифицирующий его состояние по определенному признаку.

Сторона - юридическое лицо, участник ЮЗЭД (в лице Уполномоченных сотрудников), заключившее договор об обмене электронными документами между Участниками ЮЗЭД с Департаментом финансов администрации города Перми.

Уполномоченный сотрудник - сотрудник, наделенный полномочиями, по подписанию ЭП электронных документов в соответствии с утвержденным Регламентом.

Участник - юридическое лицо, принимающее участие в ЮЗЭД.

Усиленная квалифицированная электронная подпись (далее - ЭП) - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

ЭП имеет следующие характеристики:

1. Получена в результате криптографического преобразования информации с использованием ключа;

2. Позволяет определить лицо, подписавшее электронный документ;

3. Позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

4. Создается с использованием средств ЭП;

5. Ключ проверки ЭП указан в квалифицированном сертификате;

6. Для создания и проверки ЭП используются средства ЭП, получившие подтверждения соответствия требованиям, установленным в соответствии с Федеральным законом "Об электронной подписи" (N 63-ФЗ)

Электронный документ - документ, в котором информация представлена в электронной форме.

Юридически значимый электронный документооборот (далее - ЮЗЭД) - документооборот на базе Системы, в котором участники ЮЗЭД совершают действия по принятию к исполнению документов в электронной форме, удостоверенных ЭП, и при этом несут ответственность за совершение, либо не совершение этих действий.

2. Общие сведения

Настоящий документ предназначен для описания вероятности возникновения рисков и мероприятий по их снижению, а также описания возможной степени причиненного ущерба.

3. Классификация рисков

Для целей настоящего документа, рискам присваиваются следующие значения атрибутов:

1. Вероятность реализации риска;

2. Уровень подверженности информационного актива воздействию (существенность ущерба для Департамента финансов администрации города Перми).

Текстовые описания значений атрибутов приведены в таблицах 1 и 2.

Таблица 1. Значения атрибута "Вероятность реализации риска"

Вероятность	Описание
Высокая	Вероятна реализация риска один или несколько раз в течение года.
Средняя	Риск может быть реализован хотя бы один раз в течение двух - трёх лет.
Низкая	Реализация риска в течение трех лет маловероятна.

Таблица 2. Значения атрибута "Уровень подверженности информационного актива воздействию"

Уровень подверженности воздействию	Существенность ущерба (конфиденциальность/целостность информационного актива)
5	Серьезные повреждения или полный выход информационного актива из строя (например, видимые снаружи и существенно влияющие на ход производственных процессов, существенно увеличивающие затраты).
4	Серьезные повреждения, не приводящие к полному выходу информационного актива из строя (например, не видимые снаружи, но существенно влияющие на ход производственных процессов, увеличивающие затраты).
3	Средние повреждения или ущерб (например, влияющие на внутренние регламенты, увеличивающие затраты).
2	Незначительные повреждения или ущерб.
1	Небольшие изменения информационного актива.

Риски, связанные с ведением электронного документооборота в автоматизированной системе "АЦК-Финансы", классифицируются по типу организационные и технические.

А также по источнику возникновения: внешние и внутренние.

Классификация рисков по типу:

1. Организационные риски - риски необеспечения (ненадлежащего обеспечения) Системы методической документацией, а также возникновением конфликтных ситуаций, вызванных правовой неурегулированностью вопросов применения ЭП и отношений Участников.

2. Технические риски - риски необеспечения (ненадлежащего обеспечения) порядка осуществления ЮЗЭД вследствие неэффективности и/или неадекватности технологий, порядка и способов осуществления ЮЗЭД.

Классификация рисков по источнику возникновения:

1. Внешние риски - риски, не связанные непосредственно с деятельностью персонала Организатора.

2. Внутренние риски - риски, непосредственно зависящие от деятельности персонала Организатора.

4. Общие меры снижения организационных рисков

Общие меры снижения организационных рисков представлены в Таблице N 3.

Таблица 3. Организационные риски

N	Тип риска (Внутренний/ внешний)	Описание	Вероятность реализации	Существенность ущерба	Меры по снижению
1.	Внутренний/Внешний	Компрометация ключа ЭП путём хищения носителей/копирования данных	Высокая	4	Организация хранения материальных носителей, журналов выдачи, использование не копируемых материальных носителей
2.	Внутренний	Нарушение сотрудником правил использования СКЗИ	Высокая	3	Ознакомление сотрудника под роспись в журнале ознакомления с пакетом документации по ЮЗЭД
3.	Внутренний	Увольнение сотрудника, имевшего доступ к ключам ЭП	Высокая	3	Подача заявления в УЦ на отзыв сертификата ЭП
4.	Внутренний	Отказ от выполнения должностных обязанностей со ссылкой на нормы 1-ФЗ по части защиты ключа подписи	Средняя	4	Провести обучение персонала, показав, что веб-клиент с подписью в терминале соответствует по защищенности локальному рабочему месту т.е. риска компрометации ключа нет.
5.	Внутренний	Выгрузка в архивное хранение произведена не полностью с нарушением целостности информации о цепочках доверия или с нарушением целостности документарных томов. Утрата документов или их реквизитов в процессе выгрузки.	Высокая	4	Описать регламент выгрузки документов на архивное хранение. Приказ о вводе в действие регламента и регламент хранения документов в архиве
6.	Внутренний	Низкая степень значимости (важности) сертификата ключа подписи как документа для должностных лиц (сотрудников).	Высокая	4	Выдавать бумажный оригинал сертификата, изготовленный на типографском бланке
7.	Внутренний/Внешний	НСД к техническим средствам Системы (серверам, рабочим станциям пользов