правила использования средств криптографической защиты

Приложение № 3
к Приказу от 14.12.2011 г. № 16 О
ПРАВИЛА ИСПОЛЬЗОВАНИЯ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ
ЗАЩИТЫ ИНФОРМАЦИИ В ЮРИДИЧЕСКИ ЗНАЧИМОМ
ЭЛЕКТРОННОМ ДОКУМЕНТООБОРОТЕ
1. Термины и определения
Администратор безопасности – должностное лицо, обеспечивающее эксплуатацию СКЗИ.
Доверенный удостоверяющий центр (доверенный УЦ) – сертифицированный в соответствии
с Федеральным законом об электронной подписи N 63-ФЗ удостоверяющий центр, включенный в
список имеющих право предоставлять услуги по созданию и выдаче сертификатов электронных
подписей (открытых ключей) для уполномоченных сотрудников, а также иные функции, предусмотренные законодательством.
Закрытый ключ (ключ) – уникальная последовательность символов, предназначенная для создания электронной подписи.
Ключевой носитель – устройство для хранения ключей.
Компрометация ключей электронной подписи – утрата доверия к тому, что используемые
ключи недоступны посторонним лицам.
Регламент – регламент обработки юридически значимых электронных документов в Системе.
Регламент фиксирует техническую сторону организации юридически значимого электронного документооборота.
Реестр Системы – контейнер, который содержит перечень сертификатов уполномоченных сотрудников Стороны и Организатора.
Система – автоматизированная система «АЦК-Финансы».
Средства криптографической защиты информации (СКЗИ) – аппаратно-программный комплекс, выполняющий функцию создания электронных подписей, а также обеспечивающий защиту
информации по утвержденным стандартам и сертифицированный в соответствии с действующим
законодательством.
Уполномоченные сотрудники – сотрудники, наделенные полномочиями для участия в юридически значимом электронном документообороте. Уполномоченные сотрудники работают в
юридически значимом электронном документообороте в соответствии с требованиями Регламента.
Юридически значимый электронный документооборот (ЮЗЭД) – документооборот на базе
Системы, в котором уполномоченные сотрудники совершают действия по принятию к исполнению документов в электронной форме, удостоверенных электронной подписью, и при этом несут
ответственность за совершение, либо не совершение этих действий. Ответственность (включая
ПРАВИЛА ИСПОЛЬЗОВАНИЯ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ В
ЮРИДИЧЕСКИ ЗНАЧИМОМ ЭЛЕКТРОННОМ ДОКУМЕНТООБОРОТЕ
1
размер ответственности), возлагаемая на уполномоченных сотрудников, определяется либо правилами системы документооборота, либо в соответствии с действующим законодательством РФ. Это
означает, что уполномоченный сотрудник либо признал ответственность и добровольно осуществляет выполнение своих обязательств, либо не признал, и тогда появляется спор, который
разрешается в судебном порядке (арбитражных судах, судах общей юрисдикции).
2. Общие положения
Настоящие правила регламентируют порядок эксплуатации СКЗИ.
3. Работа с СКЗИ
Для работы с СКЗИ в ЮЗЭД допускаются только уполномоченные сотрудники. Уполномоченные сотрудники несут персональную ответственность за сохранность СКЗИ (в том числе
хранение в тайне ключей электронных подписей).
Уполномоченный сотрудник несет ответственность за то, чтобы на его компьютере, на котором происходит эксплуатация ЮЗЭД, не было посторонних программ (вирусов и т.д.),
способствующих нарушению функционирования юридически значимого электронного документооборота.
При обнаружении на компьютере (с помощью которого эксплуатируется юридически значимый
электронный документооборот) посторонних программ (вирусов и т.д.), работа по эксплуатации
ЮЗЭД на этом компьютере должна прекратиться с дальнейшей организацией мероприятий по
анализу и ликвидации возможных последствий и посторонних программ.
Категорически запрещается:
1. Разглашать содержимое ключевых носителей или передавать сами ключевые носители
лицам (коллегам, знакомым), к ним не допущенным, выводить ключевую информацию на
дисплей и принтер;
2. Вставлять ключевой носитель в дисковод или USB считыватель своего и чужих компьютеров при проведении работ, не связанных с эксплуатацией юридически значимого
электронного документооборота;
3. Записывать на ключевой носитель постороннюю информацию;
4. Вносить какие-либо изменения в программное обеспечение СКЗИ;
5. Использовать бывшие в работе ключевые носители.
Уполномоченный сотрудник несёт ответственность за проведение в полном объёме организационных и технических мероприятий, обеспечивающих соблюдение данных правил.
4. Действия в случае компрометации ключей
К событиям, связанным с компрометацией ключей относят следующее:
ПРАВИЛА ИСПОЛЬЗОВАНИЯ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ В
ЮРИДИЧЕСКИ ЗНАЧИМОМ ЭЛЕКТРОННОМ ДОКУМЕНТООБОРОТЕ
2
1. Потеря ключевых носителей;
2. Потеря ключевых носителей с их последующим обнаружением;
3. Хищение ключевых носителей;
4. Разглашение содержимого ключевых носителей;
5. Несанкционированное копирование содержимого ключевых носителей;
6. Увольнение сотрудников, имевших доступ к ключевым носителям;
7. Нарушение правил хранения и уничтожения (после окончания срока действия) ключевых носителей;
8. Возникновение подозрений на утечку содержимого ключевых носителей или ее искажение в
Системе;
9. Нарушение печати на сейфе (при использовании), в котором хранятся ключевые носители;
10. Случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том
числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий
злоумышленников);
11. Любые другие виды разглашения содержимого ключевых носителей, в результате которых
ключи могут стать доступными посторонним лицам и (или) процессам.
Уполномоченный сотрудник самостоятельно определяет факт компрометации ключа и оценивает значение этого события. Мероприятия по розыску и локализации последствий
компрометации ключа организует и осуществляет администратор безопасности с участием
уполномоченного сотрудника (владельца скомпрометированного ключа).
В случае установки факта компрометации ключа уполномоченный сотрудник обязан незамедлительно прекратить использование ЮЗЭД в Системе
и уведомить администратора
безопасности, а так же доверенный УЦ по телекоммуникационным каналам связи.
В течение 30 (тридцати) рабочих минут после поступления сообщения о компрометации
ключа сертификат уполномоченного сотрудника должен быть не доступен для использования в
ЮЗЭД (с помощью действий администратора безопасности по настройке Системы). Возобновление работы уполномоченного сотрудника в ЮЗЭД происходит только после замены
скомпрометированных ключей.
Для получения новых ключей уполномоченный сотрудник должен руководствоваться порядком получения новых ключей, установленным доверенным УЦ.
5. Список доверенных УЦ
1. Удостоверяющий центр Государственного бюджетного учреждения Тюменской области «Центр информационных технологий Тюменской области»
Юридический адрес: 625004, Российская Федерация, Тюменская область, город Тюмень,
ПРАВИЛА ИСПОЛЬЗОВАНИЯ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ В
ЮРИДИЧЕСКИ ЗНАЧИМОМ ЭЛЕКТРОННОМ ДОКУМЕНТООБОРОТЕ
3
улица Володарского, д. 45
Почтовый адрес: 625026, Российская Федерация, Тюменская область, город Тюмень,
улица Республики, д.142
Контактный телефон: (3452) 54-30-40
Факс: (3452) 54-30-46
E-mail: citto-ca@72to.ru
2. Иные удостоверяющие центры, сертифицированные в соответствии с Федеральным законом об электронной подписи N 63-ФЗ, и включенные в список удостоверяющих центров,
имеющих право предоставлять услуги по созданию и выдаче сертификатов электронных подписей
(открытых ключей).
ПРАВИЛА ИСПОЛЬЗОВАНИЯ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ В
ЮРИДИЧЕСКИ ЗНАЧИМОМ ЭЛЕКТРОННОМ ДОКУМЕНТООБОРОТЕ
4