Приложение 3. Порядок работы со средствами криптографической защиты информации в информационной системе "Управление бюджетным процессом Ленинградской области". Приказ Комитета финансов Ленинградской области от 16.07.2019 N 18-02/12-19 "О внедрении юридически значимого электронного документооборота в информационной системе "Управление бюджетным процессом Ленинградской области" (с изменениями и дополнениями)

Приложение 3
к Приказу
Комитета финансов
Ленинградской области
от 16 июля 2019 года N 18-02/12-19

Порядок
работы со средствами криптографической защиты информации в информационной системе "Управление бюджетным процессом Ленинградской области"

1. Термины и сокращения

Термины и сокращения, используемые в настоящем Регламенте, приведены в Приложении 1 к Приказу Комитета финансов Ленинградской области от 16 июля 2019 года N 18-02/12-19.

2. Общие положения

Настоящий порядок регламентирует работу с СКЗИ в части относящейся к использованию ЭП и СЭП при осуществлении ЮЗЭД в Системе.

3. Работа с СКЗИ

3.1. При работе с СКЗИ должны соблюдаться требования Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом Федерального агентства правительственной связи и информации (ФАПСИ) при Президенте Российской Федерации от 13.06.2001 N 152 (далее - Приказ ФАПСИ N 152), иного законодательства Российской Федерации, Ленинградской области, правовых актов Организатора в части, относящейся к защите информации, и настоящего Положения.

3.2. Используемые или хранимые СКЗИ, эксплуатационная и техническая документация к ним, материальные носители подлежат регистрации в соответствующих журналах учета Участников. Форма журнала рекомендована Приказом ФАПСИ N 152.

3.3. Все полученные экземпляры СКЗИ, эксплуатационной и технической документации к ним, материальные носители должны быть выданы под расписку в соответствующем журнале учета пользователям СКЗИ, несущим персональную ответственность за их сохранность.

3.4. Хранение инсталлирующих СКЗИ носителей, эксплуатационной и технической документации к СКЗИ и материальных носителей в запираемых шкафах (ящиках, хранилищах) должно производиться в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.

3.5. Для работы с СКЗИ в ЮЗЭД допускаются только Уполномоченные сотрудники Участников. Уполномоченные сотрудники Участников несут персональную ответственность за сохранность СКЗИ (в том числе хранение в тайне ключей, неразглашение и нераспространение).

3.6. Внесение Сертификатов Уполномоченных сотрудников Участников в Реестр Системы осуществляется сотрудником уполномоченного на выполнение данной операции структурного подразделения Организатора на основании Заявления на внесение в реестр системы сертификатов Уполномоченных сотрудников(1) и копии правового акта, определяющего перечень Уполномоченных сотрудника Участника.

3.7. Ответственность за корректность ввода сертификатов Уполномоченных сотрудников Участника в реестр Системы несет Организатор.

3.8. Организатор обеспечивает хранение Сертификатов Уполномоченных сотрудников Участника в течение срока хранения электронного документа.

3.9. Срок действия Ключей и соответствующих Сертификатов определяется УЦ. После окончания срока действия Сертификата Уполномоченный сотрудник Участника теряет право использования Ключей, соответствующих данному Сертификату. Для получения новых Ключей Уполномоченный сотрудник Участника должен руководствоваться порядком получения новых Ключей, установленным УЦ.

3.10. Уполномоченный сотрудник Участника несёт ответственность за нарушение работоспособности Клиентской части Системы вследствие воздействия посторонних программ на компьютер (в том числе вирусов и т.д.), на котором осуществляется эксплуатация ЮЗЭД, ведущих к нарушению функционирования ЮЗЭД.

3.11. При обнаружении на компьютере, на котором осуществляется эксплуатация ЮЗЭД, посторонних программ (вирусов и т.д.), эксплуатация ЮЗЭД на этом компьютере должна прекратиться с дальнейшей организацией мероприятий по анализу и ликвидации посторонних программ и возможных последствий.

3.12. Категорически запрещается:

- разглашать содержимое материальных носителей, содержащих Ключи, или передавать сами материальные носители лицам, к ним не допущенным, выводить данные, содержащиеся на материальном носителе, на дисплей и принтер;

- производить несанкционированное копирование носителей ключевой информации;

- вставлять материальный носитель, содержащий Ключи, в дисковод или USB-считыватель компьютера Уполномоченного сотрудника и других лиц при проведении работ, не связанных с эксплуатацией ЮЗЭД;

- записывать на материальный носитель, содержащий Ключи, постороннюю информацию;

- оставлять материальный носитель, содержащий Ключи, без присмотра на рабочем месте;

- вносить какие-либо изменения в программное обеспечение СКЗИ;

- использовать бывшие в работе материальные носители (правило не распространяется на носитель типа RuToken и eToken).

Уполномоченный сотрудник Участника несёт ответственность за проведение в полном объёме организационных и технических мероприятий, обеспечивающих соблюдение указанных выше правил.

4. Действия в случае компрометации ключей

4.1. К событиям, связанным с компрометацией Ключей, относят следующие:

- утрата материальных носителей, содержащих Ключи;

- потеря материальных носителей, содержащих Ключи, с их последующим обнаружением;

- хищение материальных носителей, содержащих Ключи;

- разглашение содержимого материальных носителей, содержащих Ключ;

- несанкционированное копирование содержимого материальных носителей, содержащих Ключи;

- увольнение сотрудников, имевших доступ к материальным носителям, содержащим Ключи;

- нарушение правил хранения и уничтожения (после окончания срока действия материальных носителей, содержащих Ключи);

- возникновение подозрений на утечку содержимого материальных носителей, содержащих Ключи, или её искажение в Системе;

- нарушение печати на сейфе или замка сейфа, в котором хранятся материальные носители, содержащие Ключи;

- невозможность достоверного установления того, что произошло с материальными носителями (в том числе случаи, когда материальный носитель вышел из строя и доказательно не опровергнута возможность того, что данный факт произошёл в результате несанкционированных действий злоумышленников);

- любые другие виды разглашения содержимого материальных носителей, содержащих Ключи, в результате которых Ключи могут стать доступными посторонним лицам и (или) процессам.

4.2. Уполномоченный сотрудник Участника самостоятельно определяет факт компрометации Ключа и оценивает значение этого события. Мероприятия по розыску и локализации последствий компрометации Ключа организует и осуществляет Организатор с участием Уполномоченного сотрудника Участника (владельца скомпрометированного Ключа).

В случае установления факта компрометации Ключа Уполномоченный сотрудник Участника обязан незамедлительно прекратить эксплуатацию ЮЗЭД в Системе и в течение 3-х часов уведомить об этом Организатора, а так же УЦ по телекоммуникационным каналам связи.

В течение одного рабочего часа после поступления сообщения о компрометации Ключа Организатор обеспечивает прекращение использования в ЮЗЭД соответствующего Сертификата Уполномоченного сотрудника.

4.3. Дата и время, с которой Сертификат считается недействительным в Системе, устанавливается равной дате и времени прекращения использования в ЮЗЭД соответствующего Сертификата.

4.4. При получении электронного документа, подписанного скомпрометированным Ключом, данный электронный документ считается недействительным.

4.5. Возобновление работы уполномоченного сотрудника Участника в ЮЗЭД происходит только после замены скомпрометированного Ключа.

Для получения новых Ключей Уполномоченный сотрудник Участника должен руководствоваться порядком получения новых Ключей, установленным УЦ.

_______________

(1) Приложение 4 к Приказу от "16" "июля" 2019 г. N 18-02/12-19