Инструкция о порядке использования сертифицированных средств криптографической защиты информации в системах МЧС России (утв. МЧС России 7 марта 2012 г.)

Настоящая инструкция разработана во исполнение требований законодательных актов Российской Федерации в области работы со средствами криптографической защиты информации и организационно-распорядительных документов Федерального государственного бюджетного учреждения "Национальный центр управления в кризисных ситуациях" МЧС России (далее - ФГБУ НЦУКС) в области информационной безопасности.

Инструкция определяет общие принципы и правила работы со средствами криптографической защиты информации, применяемые при использовании криптографических ключей и сертификатов в системах электронного документооборота, а также их основные обязанности и ответственность.

Требования настоящей инструкции распространяются на работу в любых системах электронного документооборота, при работе которых используются услуги Удостоверяющего Центра Министерства Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий (далее - Удостоверяющий центр МЧС России), в которых применяются сертифицированные средства криптографической защиты информации.

1. Общие положения

1.1 Порядок использования СКЗИ в СЭД регулируется следующими документами:

Гражданским кодексом Российской Федерации;

Федеральным законом от 06 апреля 2011 года N 63-ФЗ "Об электронной подписи";

Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

настоящей инструкцией;

Приказом ФСБ РФ от 9 февраля 2005 г. N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)".

1.2 Информация, содержащая персональные данные, конфиденциальная информация, в том числе криптографические ключи, в СЭД должна быть защищена. Соблюдение требований информационной безопасности в СЭД должно обеспечивать:

доступность информации для легальных пользователей;

целостность и аутентичность (подтверждение авторства) информации;

конфиденциальность определенной части информации, хранимой, обрабатываемой и передаваемой по каналам связи.

1.3 Для обеспечения криптографической защиты информации в СЭД должны использоваться средства криптографической защиты информации с открытым распределением ключей. СКЗИ использующие иные схемы распределения ключей, могут быть использованы только в исключительных случаях.

1.4 Документом, подтверждающим принадлежность открытого ключа электронной подписи или шифрования участнику системы электронного документооборота, является Сертификат.

1.5 Для участия в системах электронного документооборота, организатором которых является Удостоверяющий центра МЧС России, стороны должны обмениваться Сертификатами в электронном виде либо на бумажном носителе.

1.6 Количество криптографических ключей ЭП, используемых в работе должно соответствовать количеству пользователей СЭД, т.е. для каждого Пользователя вырабатывается один персональный закрытый ключ электронной подписи, а также, в случае использования шифрования, и один закрытый ключ шифрования. Возможно совмещение функций ЭП и шифрования для одного криптоключа.

1.7 В случае необходимости, для каждого Пользователя может вырабатываться резервный закрытый ключ шифрования и резервный закрытый ключ электронной подписи, которые при осуществлении электронного документооборота не используются. Они переводятся в статус действующих только в случае прекращения действия криптоключей.

2. Основные понятия

Администратор средств криптографической защиты информации (далее - администратор СКЗИ) - сотрудник отдела безопасности информации управления (защиты государственной тайны) ФГБУ НЦУКС, ответственный за организацию и проведение работ по обеспечению функционирования средств криптографической защиты информации в системах электронного документооборота.

АРМ администратора удостоверяющего центра - автоматизированное рабочее место, предназначенное для генерации ключевой информации (ключей электронной подписи и шифрования).

Оператор удостоверяющего центра - сотрудник отдела безопасности информации управления (защиты государственной тайны) ФГБУ НЦУКС, которому в соответствии с приказом ФГБУ НЦУКС и его функциональными обязанностями предоставлено (делегировано) право генерации ключей электронной подписи и (или) шифрования в той или иной внешней системе электронного документооборота.

Открытый ключ электронной подписи (далее - открытый ключ) - уникальная последовательность символов, соответствующая закрытому ключу электронной подписи, предназначенная для подтверждения, с использованием средств электронной подписи, подлинности электронной подписи в электронном документе.

Закрытый ключ электронной подписи - уникальная последовательность символов, известная владельцу сертификата проверки электронной подписи и предназначенная для создания в электронных документах электронной подписи с использованием средств электронной подписи.

Ключ электронной подписи (далее - закрытый ключ) - уникальная последовательность символов, предназначенная для создания электронной подписи.

Криптографический ключ (далее - криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.

Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.

Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем криптографических ключей (исходной ключевой информации).

Компрометация криптографических ключей - под компрометацией криптоключей понимается хищение, утрата, разглашение, несанкционированное копирование и другие события, в результате которых криптоключи могут стать доступными лицам или процессам, не имеющим полномочий доступа к ним.

Конфиденциальная информация - документированная информация, доступ к которой ограничен в соответствии с законодательством Российской Федерации и нормативными документами МЧС России.

Система электронного документооборота (далее - СЭД) организационно-техническая система, представляющая собой совокупность программного, информационного и аппаратного обеспечения, реализующая электронный документооборот.

Средство криптографической защиты информации (далее - СКЗИ):

реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи;

реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от несанкционированного доступа к информации при ее обработке и хранении;

реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства криптозащиты и электронной подписи;

аппаратные, программные и аппаратно-программные средства, системы и комплексы изготовления и распределения ключевых документов для СКЗИ независимо от вида носителя ключевой информации.

Сертификат ключа проверки электронной подписи (далее - сертификат) - электронный документ или документ на бумажном носителе, который выдается удостоверяющим центром пользователю системы электронного документооборота, выданный удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Удостоверяющий центр МЧС России - подразделение МЧС России на которое возложены функции удостоверяющего центра:

создание и выдача сертификатов ключей проверки электронных подписей;

создание ключей электронных подписей с гарантией сохранения в тайне закрытого ключа электронной подписи;

приостановление и возобновление действий сертификатов ключей проверки электронных подписей, а также аннулирование их;

ведение реестра удостоверяющего центра, обеспечение его актуальности;

проверяет уникальность открытых ключей;

выдача сертификатов ключей проверки электронных подписей с информацией об их действии;

осуществление подтверждений подлинности электронной подписи в электронном документе.

Участник СЭД - юридическое или физическое лицо, участвующее в системе электронного документооборота.

Пользователь - участник СЭД, который использует СКЗИ для обеспечения электронного документооборота в СЭД.

Электронная подпись (далее - ЭП) - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию, а также контроля отсутствия искажения информации в электронном документе;

Электронный документ - документ, в котором информация представлена в электронной форме.

Электронный документооборот - обмен электронными документами.

3. Порядок работы в системах электронного документооборота

3.1 Управление средствами криптографической защиты информации осуществляется сотрудниками отдела безопасности информации управления (защиты государственной тайны) ФГБУ НЦУКС.

3.2 Для работы со средствами криптографической защиты информации из числа сотрудников подразделения, которое будет выполнять функции ежедневной работы с СЭД, назначаются пользователи, ответственные за хранение и использование криптографических ключей в данной СЭД. Пользователи назначаются руководителем соответствующего подразделения.

3.3 Генерация криптографических ключей осуществляется на АРМ администратора Удостоверяющего центра МЧС России.

3.4 Для передачи сгенерированных криптографических ключей пользователям составляется Акт приема-передачи ключевых носителей. В Акте отражаются название системы электронного документооборота, реквизиты криптографических ключей и их количество (Приложении N 2 к настоящей инструкции).

3.5 Информация о генерации криптографических ключей регистрируется администратором СКЗИ в Журнале учета криптографических ключей (Приложении N 1 к настоящей инструкции).

3.6 Аппаратные средства, на которых осуществляется работа с СКЗИ, должны быть оборудованы средствами контроля за вскрытием (опечатаны или опломбированы).

3.7 Для обеспечения возможности восстановления ключевой информации и продолжения работы в СЭД, в случае выхода из строя ключевого носителя, может создаваться его резервная копия. В целях исключения утечки информации с эталонного ключевого носителя, создание резервной копии производится только на АРМ администратора Удостоверяющего центра МЧС России.

3.8 После изготовления резервной копии ключевого носителя, он маркируется, запечатывается в конверт и сдается на ответственное хранение администратору СКЗИ.

4. Порядок проведения плановой смены криптографических ключей

4.1 Плановая смена криптографических ключей в СЭД должна производиться не реже одного раза в год. Срок действия для резервных криптографических ключей при генерации может быть установлен равным двум годам, с введением их в действие после окончания срока действия текущих ключей.

4.2 Мероприятия по смене криптоключей проводятся администратором СКЗИ.

4.3 Для обеспечения возможности доступа к архивам и проверки электронной подписи после истечения срока действия криптографических ключей администратор СКЗИ обязан обеспечивать сохранность ключевых носителей (в случае размещения на них справочников открытых ключей участников СЭД), а также соответствующих справочников открытых ключей сертификатов в течен