Приложение N 8. Карта рисков юридически значимого электронного документооборота в автоматизированных системах "АЦК-Финансы" и "СКИФ-БП" Министерства финансов Ульяновской области. Приказ Министерства финансов Ульяновской области от 19.12.2017 N 73-пр "О юридически значимом электронном документообороте в автоматизированных системах "АЦК-Финансы" и "СКИФ-БП" Министерства финансов Ульяновской области" (с изменениями и дополнениями) (утратил силу)

Приложение N 8
к приказу Министерства финансов Ульяновской области
от 19.12.2017 г. N 73-пр

Карта рисков
юридически значимого электронного документооборота в автоматизированных системах "АЦК-Финансы" и "СКИФ-БП" Министерства финансов Ульяновской области

1. Общие положения

1.1. Карта рисков юридически значимого электронного документооборота в автоматизированных системах "АЦК-Финансы" и "СКИФ-БП" Министерства финансов Ульяновской области (далее - Карта рисков, Системы) предназначена для описания вероятности возникновения рисков при осуществлении ЮЗЭД в Системах, мероприятий по их снижению, а также описания возможной степени причиненного ими ущерба.

1.2. Такие термины и понятия, как "аккредитованный удостоверяющий центр" (далее - УЦ), "квалифицированный сертификат ключа проверки электронной подписи" (далее - сертификат), "ключ электронной подписи" (далее - ключ), "усиленная квалифицированная электронная подпись" (далее - ЭП) и "электронный документ", используемые в Карте рисков, применяются в том же значении, что и в Федеральном законе от 06.04.2011 N 63-ФЗ "Об электронной подписи".

Иные термины и понятия, используемые о Карте рисков:

Организатор - Министерство финансов Ульяновской области, являющееся стороной ЮЗЭД (в лице уполномоченных сотрудников) на базе Систем, а также организатором ЮЗЭД в Системах, осуществляющим функции по хранению на своем оборудовании базы данных и конфигурации серверной части Систем, по настройке Систем на серверных станциях.

Средства криптографической защиты информации (далее - СКЗИ) - аппаратно-программный комплекс, выполняющий Функцию по созданию ЭП, а также обеспечивающий защиту информации по утвержденным стандартам и сертифицированный в соответствии с законодательством.

Статус электронною документа - атрибут электронного документа, идентифицирующий его состояние по определенному признаку.

Сторона - юридическое лицо (участник ЮЗЭД в лице уполномоченных сотрудников), заключившее соглашение об обмене электронными документами с Организатором.

Уполномоченный сотрудник - сотрудник участника, наделенный полномочиями по подписанию ЭП электронных документов, определенных утвержденным Министерством финансов Ульяновской области регламентом, определяющим статусы электронных документов, на которых происходит наложение ЭП в электронном документе на определенном статусе.

Участник (-и) - Организатор и (или) Сторона (при участии в ЮЗЭД).

Юридически значимый электронный документооборот (далее - ЮЗЭД) - документооборот на базе Систем, в котором участники совершают действия по принятию к исполнению документов в электронной форме, удостоверенных ЭП, и при этом несут ответственность за совершение либо несовершение этих действий.

2. Классификация рисков

2.1. Риски, связанные с осуществлением ЮЗЭД в Системах, можно разделить по:

- типу (организационные и технические);

- источнику возникновения (внешние и внутренние).

Классификация рисков представлена в таблицах 3 и 4.

2.2. Вероятность реализации рисков, подверженность информационных активов Систем воздействию рисков.

С целью выделения групп близких по значимости рисков и подготовки полученных материалов для дальнейшего (например, количественного) анализа для каждого риска, выявленного в процессе анализа, экспертно оцениваются следующие показатели (присваиваются значения атрибутов):

- вероятность реализации риска;

- уровень подверженности информационного актива воздействию (существенность ущерба для Организатора).

Текстовые описания значений атрибутов приведены в таблицах 1 и 2.

Таблица 1

Значения атрибута
"Вероятность реализации риска"

Вероятность	Описание
Высокая	Вероятна реализация риска один или несколько раз в течение календарного года
Средняя	Риск может быть реализован хотя бы один раз в течение двух-трех календарных лет
Низкая	Реализация риска в течение трех календарных лет маловероятна

Таблица 2

Значения атрибута
"Уровень подверженности информационного актива воздействию"

Уровень подверженности воздействию	Существенность ущерба (конфиденциальность / целостность информационного актива)
5	Серьезные повреждения (например, повреждения, видимые снаружи и существенно влияющие на ход производственных процессов или существенно увеличивающие затраты) или полный выход актива из строя
4	Серьезные повреждения, не приводящие к полному выходу актива из строя (например, повреждения, невидимые снаружи, но существенно влияющие на ход производственных процессов, или увеличивающие затраты)
3	Средние повреждения или ущерб (например, повреждения, влияющие на внутренние регламенты, увеличивающие затраты)
2	Незначительные повреждения или ущерб
1	Небольшие изменения информационного актива

Таблица 3

Организационные риски

N	Источник возникновения	Описание	Вероятность реализации	Существенность ущерба	Меры по снижению риска
1.	Внутренний / Внешний	Компрометация ключа ЭП путем хищения носителей/копирования данных	высокая	4	Организация хранения материальных носителей, журналов выдачи Использование не копируемых материальных носителей
2.	Внутренний	Нарушение уполномоченным сотрудником правил использования СКЗИ	высокая	3	Ознакомление уполномоченного сотрудника под роспись в журнале ознакомления с пакетом документации но ЮЗЭД
3.	Внутренний	Увольнение уполномоченного сотрудника, имевшего доступ к ключам ЭП	высокая	3	Подача заявления в УЦ на отзыв сертификата ЭП
4.	Внутренний	Отказ от выполнения должностных обязанностей (в части использования ЭП) ввиду наличия риска компрометации ключа	средняя	4	Обучение персонала (ознакомление с законодательством, регламентирующим применение
5.	Внутренний	Несоответствие Систем требованиям ФСТЭК России в части защиты информации	средняя	5	Проведение аттестации Систем на соответствие классу защищенности 1Г Обеспечение доступности информации об аттестате соответствия для всех заинтересованных в предоставлении гарантий физических и юридических лиц
6.	Внутренний	Выгрузка в архивное хранение произведена не полностью с нарушением целостности информации о цепочках доверия или с нарушением целостности документарных томов. Утрата документов или их реквизитов в процессе выгрузки	Высокая	4	Издание правового акта о регламенте хранения документов в архиве
7.	Внутренний	Низкая степень значимости (важности) сертификата ключа подписи как документа для уполномоченного сотрудника	Высокая	4	Выдача бумажного оригинала сертификата, изготовленного на типографском бланке
8.	Внутренний/ Внешний	Несанкционированный доступ к техническим средствам Систем (серверам, рабочим станциям пользователей и т.д.)	Средняя	5	Организация пропускного режима в помещения, где размещены технические средства Систем, а так же в кабинеты, в которых расположены рабочие станции пользователей
9.	Внутренний	Отказ от признания результатов экспертизы электронного документа одним из представителей конфликтующих сторон	Высокая	3	Издание порядка разбора конфликтных ситуаций, описывающий действия при разборе конфликтных ситуаций (в т.ч. претензионный порядок разрешения конфликтов)
10.	Внутренний	Разрешение конфликтов в суде	Средняя	5	Описание досудебного разбора конфликтов
11.	Внутренний	Доступ пользователей к не принадлежащим им объектам Систем	Высокая	3	Использование системы разграничения прав доступа, настройка ролей пользователей
12.	Внутренний	Сопротивление сотрудников внедрению и использованию ЮЗЭД, неприятие новых методов работы	Высокая	4	Внедрение ЮЗЭД нормативным правовым актом Организатора Организация обучения сотрудников
13.	Внутренний	Утечка конфиденциальной информации	Высокая	5	Разработка локальных актов о персональной ответственности сотрудников

Таблица 4

Технические риски

N	Источник возникновения	Описание	Вероятность реализации	Существенность ущерба	Меры по снижению риска
1.	Внешний	Перехват информации, передаваемой по каналам связи	Средняя	4	Защита протокола передачи данных между участниками и web-серверами путем организации https-доступа к web-серверу, SSL-шифрование трафика между участниками и web-серверами
2.	Внешний	Несанкционированный доступ к серверам Систем	Средняя	5	Организация VPN сети Расположение серверов в DMZ; Ограничение по портам доступа к серверам приложений Систем Использование аппаратного брандмауэра
3.	Внешний	Заражение компьютерными вирусами	Средняя	4	Организация антивирусной защиты
4.	Внутренний	Нарушение целостности баз данных Систем	Высокая	5	Резервное копирование средствами используемых средств управления базами данных
5.	Внутренний	Нехватка производственных мощностей серверов Систем	Низкая	3	Анализ планируемой нагрузки и наращивание мощностей в случае необходимости
6.	Внутренний / Внешний	Утечка ключей ЭП с рабочих станций пользователей	Средняя	4	Применение к рабочим станциям единой политики безопасности