Регламента - Ставропольский краевой фонд обязательного
advertisement
Приложение к приказу от «18» апреля 2011 № 113 . РЕГЛАМЕНТ работы удостоверяющего центра Ставропольского краевого фонда обязательного медицинского страхования 1. Применяемые термины, понятия и сокращения 1.1. Персональная электронно-вычислительная машина (далее - ПЭВМ) комплекс технических (аппаратных) и программных средств, для обработки информации, вычислений, автоматического управления. 1.2. Автоматизированная система (далее - АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. 1.3. Средства защиты информации (далее - СЗИ) - это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации. 1.4. Средства защиты информации от несанкционированного доступа (далее - СЗИНСД) - комплекс организационных мер и программнотехнических (при необходимости криптографических) средств защиты от несанкционированного доступа к информации (несанкционированных действий с ней) в автоматизированной системе. 1.5.Средства антивирусной защиты информации (далее - САВЗИ) средства для обнаружения компьютерных вирусов и лечения инфицированных файлов, а также для профилактики (предотвращения) заражения файлов или операционной системы вредоносным кодом. 1.6. Доверенная среда (далее - ДС) - выделенный с использованием технологии VPN сегмент сети «Интернет», исключающий возможность подключения неуполномоченных пользователей, которая позволяет однозначно идентифицировать всех участников информационного взаимодействия. 1.7. Сторонняя организация - организация или учреждение, являющееся участником обязательного медицинского страхования или осуществляющее информационное взаимодействие со Ставропольским краевым фондом обязательного медицинского страхования (далее - СКФОМС) и планирующее подключение к ДС СКФОМС (в рамках настоящего Регламента отдельные положения о взаимодействии со сторонней организацией распространяются на обособленные подразделения СКФОМС). 2 1.8. Абонентский пункт (далее - АП) - средства вычислительной техники сторонней организации в составе ПЭВМ, СЗИНСД, САВЗИ, ViPNet Client 3.1, подключаемые к ДС передачи конфиденциальной информации с использованием публичных каналов связи. 1.9. Средства криптографической защиты информации (далее - СКЗИ) совокупность программно-аппаратных средств, осуществляющих преобразование информации для обеспечения ее безопасности. 1.10.Администратор безопасности СКЗИ (далее - Администратор СКЗИ) - работник, обеспечивающий эксплуатацию СКЗИ и управление криптографическими ключами. 1.11.Безопасность эксплуатации СКЗИ - совокупность мер управления и контроля, защищающая СКЗИ и криптографические ключи от несанкционированного (умышленного или случайного) их раскрытия, модификации, разрушения или использования. 1.12.Ответственный за эксплуатацию СКЗИ - работник, осуществляющий организацию и обеспечение работ по техническому обслуживанию СКЗИ и управление криптографическими ключами. Назначается приказом СКФОМС или сторонней организации из числа работников подразделения по защите информации, а при отсутствии такого подразделения - из числа должностных лиц функциональной группы по соответствующему направлению деятельности. 1.13.Электронный документ (далее - ЭД) - документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах. 1.14.Электронная цифровая подпись (далее - ЭЦП) - реквизит ЭД, предназначенный для защиты данного ЭД от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в ЭД. 1.15.Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию. 1.16.Ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). 1.17.Криптографический ключ (далее - криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе. 3 1.18.Ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока. 1.19.Закрытый ключ ЭЦП - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для проставки в ЭД ЭЦП с использованием средств ЭЦП. 1.20.Открытый ключ ЭЦП - уникальная последовательность символов, соответствующая закрытому ключу ЭЦП, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств ЭЦП подлинности ЭЦП в электронном документе. 1.21.Компрометация криптоключей - хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам. 1.22.Помещение АП – спецпомещение, где установлен АП или средства криптографической защиты информации или хранятся ключевые документы к ним. 1.23.Сертификат ключа подписи (далее - Сертификат) - документ на бумажном носителе или ЭД с ЭЦП уполномоченного лица удостоверяющего центра, который включает в себя открытый ключ ЭЦП, выдаваемый удостоверяющим центром участнику информационной системы для подтверждения подлинности ЭЦП и идентификации владельца Сертификата. 1.24.Владелец Сертификата - физическое лицо, на имя которого удостоверяющим центром выдан Сертификат и которое владеет соответствующим закрытым ключом ЭЦП, позволяющим с помощью средств ЭЦП проставлять свою ЭЦП в ЭД (подписывать ЭД). 1.25.Пользователь Сертификата - физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности ЭЦП владельцу Сертификата. 1.26.Корневой Сертификат Администратора СКЗИ (или самоподписанный Сертификат) - Сертификат, в котором издатель Сертификата является одновременно и владельцем Сертификата, то есть Сертификат Администратора СКЗИ издан самим же Администратором СКЗИ (открытый ключ Администратора существует в виде Сертификата в удостоверяющем ключевом центре и подписан с помощью соответствующего ему секретного ключа). В таком Сертификате совпадают поля «издатель» и «владелец», определяющие Администратора СКЗИ одного Удостоверяющего центра. 1.27.Пользователь СКЗИ - физическое лицо, непосредственно допущенное к работе с СКЗИ. 1.28.Удостоверяющий центр - организационно-техническая система, которая включает в себя комплекс организационных мероприятий и программно-аппаратных средств, автоматизирующих ее деятельность, а также персонал, обслуживающий его и осуществляющий его эксплуатацию (далее персонал). 4 1.29.Пользователь Удостоверяющего центра (далее - Пользователь УЦ) работник СКФОМС или работник сторонней организации, осуществляющий информационное взаимодействие при представлении сведений в электронной форме с использованием ЭЦП. 1.30.Абонент - участник информационного взаимодействия (сторонняя организация) подключенный к ДС СКФОМС. 1.31.Несанкционированный доступ (несанкционированные действия) (далее - НСД) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. 1.32. Иные термины и понятия, используются в настоящем Регламенте, в соответствии с действующим законодательством Российской Федерации. 2. Общие положения 2.1. Настоящий Регламент работы удостоверяющего центра Ставропольского краевого фонда обязательного медицинского страхования (далее - Регламент) разработан на основании: Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федерального закона от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи». 2.2. Настоящий Регламент определяет механизмы и условия предоставления и использования услуг Удостоверяющего центра СКФОМС (далее – Удостоверяющий центр) протоколы работы, принятые форматы данных, основные организационно-технические мероприятия, необходимые для работы Удостоверяющего центра. 2.3. Регламент определяет статус Удостоверяющего центра как корпоративного удостоверяющего центра, обеспечивающего функционирование автоматизированных информационных систем СКФОМС, а также как корпоративного удостоверяющего центра, выдающего Сертификаты для использования участниками информационного взаимодействия в сфере обязательного медицинского страхования. 2.4. Регламент также определяет условия использования Сертификатов, при соблюдении которых, ЭЦП работников СКФОМС, участников информационного взаимодействия, при представлении сведений в электронной форме, в электронных документах признается равнозначной собственноручной подписи в документе на бумажном носителе. 2.5. Требования Регламента обязательны для выполнения всеми участниками информационного взаимодействия. 2.6. Удостоверяющий центр предназначен для обеспечения Пользователей УЦ средствами и спецификациями для использования Сертификатов в целях обеспечения: применения ЭЦП; 5 контроля целостности информации, представленной в электронном виде, передаваемой в процессе взаимодействия Пользователей УЦ; идентификации и аутентификации Пользователей УЦ в процессе информационного взаимодействия; обеспечения конфиденциальности информации, представленной в электронном виде, передаваемой в процессе взаимодействия Пользователей УЦ; синхронизации по времени всех программных и технических средств обеспечения деятельности. 2.7. В процессе своей деятельности Удостоверяющий центр предоставляет Пользователям УЦ следующие виды услуг: внесение в реестр Удостоверяющего центра регистрационной информации о Пользователях УЦ; формирование и обновление справочно-ключевой информации для организации защищенного обмена информации в рамках ДС СКФОМС; изготовление Сертификатов Пользователей УЦ в электронной форме; изготовление копии Сертификатов Пользователей УЦ на бумажном носителе; формирование закрытого и открытого ключа шифрования по обращениям Пользователей УЦ с записью их на ключевой носитель; ведение реестра изготовленных сертификатов Пользователей УЦ; предоставление копий Сертификатов в электронной форме, находящихся в реестре изготовленных сертификатов, по запросам Пользователей УЦ; выдача Пользователям УЦ сформированных ключевых носителей и ключевых документов; отзыв Сертификатов по обращениям Пользователей УЦ; приостановление и возобновление действия Сертификатов по обращениям Пользователей УЦ; предоставление Пользователям УЦ сведений об аннулированных и приостановленных Сертификатах путем рассылки (публикации) списка отозванных Сертификатов (далее – СОС); подтверждение подлинности ЭЦП в документах, представленных в электронной форме, по обращениям Пользователей УЦ; подтверждение подлинности ЭЦП уполномоченного лица УЦ (корневой сертификат администратора УЦ) в изготовленных им Сертификатах по обращениям Пользователей УЦ; распространение средств ЭЦП по обращениям Пользователей УЦ. 2.8. Если иное не указано в настоящем Регламенте, все уведомления и сообщения, предусмотренные настоящим Регламентом, совершаются участниками информационного взаимодействия в письменной форме и удостоверяются подписью сделавшего их лица с приложением оттиска печати СКФОМС, сторонней организации или абонента. 2.9. В случае наличии у абонента действующего Сертификата уведомления и сообщения, оформленные в соответствии с установленными 6 пунктом 2.8 настоящего Регламента требованиями, в отсканированном виде в форме электронного письма могут быть направлены в СКФОМС на АП «26(СкТФОМС), Администратор» 636 сети ViPNet. Электронное письмо подписывается ЭЦП Пользователя УЦ. Тема электронного сообщения должна кратко отражать содержание уведомления или сообщения. 3. Организационная структура Удостоверяющего центра 3.1. Организационная структура Удостоверяющего центра включает следующих работников и специалистов: отдела информационной безопасности СКФОМС, на который возложены функции обеспечения работы СЗИ и контроля выполнения требований нормативных документов по защите информации конфиденциального характера; группы по криптографической защите информации, на которую возложены функции ведомственного органа криптографической защиты информации, обеспечивающей общее методическое руководство организацией функционирования Удостоверяющего центра и соответствующий контроль (создается приказом СКФОМС); подразделений по информационной безопасности (ответственных по защите информации) Пользователей УЦ. 3.2. Практическое выполнение мероприятий по управлению Удостоверяющим центром осуществляют работники группы защиты информации. Они несут ответственность за своевременное издание Сертификатов Пользователей УЦ. 3.3. Практическое выполнение мероприятий по организации эксплуатации ключевых документов (в т.ч. ключевых носителей) в СКФОМС и сторонних организациях осуществляет ответственный по защите информации или соответствующее подразделение (далее – ответственный по защите информации). 3.4. Ответственность за использование средств ЭЦП в соответствии с требованиями Регламента и иных действующих нормативных актов Российской Федерации несут владельцы Сертификатов. 3.5. Организацию использования ключевой информации в соответствии с требованиями Регламента и иных действующих нормативных актов Российской Федерации обеспечивает руководитель СКФОМС или сторонней организации, в которой используются средства ЭЦП. 3.6. При определении обязанностей ответственных за эксплуатацию и функционирование Удостоверяющего центра и Пользователей УЦ руководитель учитывает, что безопасность обработки и передачи по каналам связи информации с использованием средств ЭЦП обеспечивается: соблюдением требований инструкций по обращению со сведениями конфиденциального характера, в том числе со сведениями о функционировании и порядке обеспечения безопасности применяемых средств 7 криптографической защиты информации (в том числе средств ЭЦП) и ключевых документов к ним; своевременным выявлением попыток посторонних лиц получить сведения о защищаемой информации, об используемых ключевых документах, сертификатах либо ключевых носителях; немедленным принятием мер по предупреждению неправомерного использования Сертификатов при выявлении фактов утраты или недостачи ключевых документов, ключевых носителей, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов), личных печатей и т.п. 4. Порядок подключения АП сторонней организации 4.1. Порядок подключения АП сторонней организации определяет условия и последовательность подключения АП, предназначенного для представления сведений в электронной форме с использованием информационно-вычислительных сетей общего пользования (включая международную ассоциацию сетей «Интернет»), к ДС СКФОМС. 4.2. Подключение АП к ДС СКФОМС осуществляется на основании заявки сторонней организации на подключение к ДС (далее - Заявка ДС) при соблюдении условий для их подключения (приложение 1 к Регламенту). Заявка ДС, подписанная руководителем сторонней организации с приложением оттиска печати сторонней организации, направляется в адрес СКФОМС. 4.3. Условиями для подключения АП к ДС СКФОМС являются обязательное выполнение сторонней организацией требований предъявляемых к программному обеспечению АП, техническим средствам и средствам защиты информации АП. 4.4. Программное обеспечение АП должно соответствовать требованиям, указанным в пунктах 4.5 и 4.6 настоящего Регламента. 4.5. На средства вычислительной техники АП должны быть установлены лицензионные операционные системы, сертифицированные Федеральной службой по техническому и экспортному контролю (далее - ФСТЭК России) по требованиям безопасности информации. Допускается использование лицензионных операционных систем совместно с сертифицированными ФСТЭК России по требованиям безопасности информации СЗИ от несанкционированного доступа. 4.6. Программное обеспечение АП должно соответствовать требованиям нормативных документов, предъявляемых к протоколу и формату информационного взаимодействия. 4.7. Технические средства и средства защиты информации АП должны соответствовать требованиям, указанным в пунктах 4.8 - 4.11 настоящего Регламента. 4.8. На средства вычислительной техники АП должны быть установлены лицензионные САВЗИ, сертифицированные ФСТЭК России и Федеральной 8 службой безопасности (далее - ФСБ России) по требованиям безопасности информации. 4.9. Для обеспечения целостности и юридической значимости передаваемой информации в процессе информационного взаимодействия должны использоваться сертифицированные ФСБ России средства криптографической защиты информации и ЭЦП, совместимые с СКЗИ Удостоверяющего центра; 4.10.Должны быть обеспечены разграничение и контроль доступа Пользователей УЦ к ресурсам АП с использованием сертифицированных по требованиям безопасности информации СЗИ НСД, соответствующие 4 уровню контроля отсутствия недекларированных возможностей. 4.11.При организации канала связи между АП и УЦ в целях обеспечения безопасности передачи по каналам связи информации конфиденциального характера следует использовать межсетевые экраны, соответствующие 4 уровню контроля отсутствия недекларированных возможностей. 4.12.Сведения о выполнении условий, предъявляемых для подключения АП к ДС СКФОМС, приводятся в Заявке ДС, содержащей следующие сведения: полное официальное наименование сторонней организации, содержащее указание на организационно-правовую форму юридического лица; сокращенное официальное наименование сторонней организации, если такое сокращенное наименование предусмотрено учредительными документами юридического лица; юридический адрес сторонней организации (при несовпадении юридического адреса и почтового адреса сторонней организации последний сообщается дополнительно); основной государственный регистрационный номер (ОГРН) сторонней организации; идентификационный номер налогоплательщика (ИНН) сторонней организации; код причины постановки на учет (КПП), присвоенный сторонней организации в соответствии с законодательством Российской Федерации; коды ОКПО; наименование АП и сведения о выполнении требований по обеспечению безопасности информации на АП. 4.13.Одновременно с Заявкой ДС сторонней организацией в СКФОМС в двух экземплярах предоставляется проект соглашения об информационном взаимодействии в условиях ДС передачи конфиденциальной информации СКФОМС (далее - Соглашение), по форме согласно приложению 2 к настоящему Регламенту, с приложением в двух экземплярах следующих документов: схема подключения АП к ДС СКФОМС (далее - схема подключения) с указанием месторасположения сторонней организации (с четким обозначением территориальных границ и адреса), марки и модели телекоммуникационного и каналообразующего оборудования, а также сертифицированных СЗИ, IP-адреса 9 всех телекоммуникационных элементов схемы, при необходимости условных обозначений, представленных на схеме элементов. технические условия для подключения АП сторонней организации (далее - технические условия) к ДС СКФОМС, соответствующие техническим требованиям для подключения АП сторонней организации согласно приложению 3 к настоящему Регламенту и пункту 4.14 настоящего Регламента. 4.14.Техничекие условия должны содержать информацию о конкретных способах подключения АП, месте размещения оборудования (в том числе СЗИ), абонентских устройствах, технических параметрах в точках соединения, а также информацию об обеспечении телекоммуникационного оборудования источниками бесперебойного питания, форме и условиях подключения АП сторонней организации к ДС СКФОМС. Технические условия включают описание информационного взаимодействия и порядок эксплуатации, обслуживания и управления СКЗИ и проставки ЭЦП. 4.15.Заявка ДС рассматривается СКФОМС в течение 30 дней от даты ее поступления. В случае необходимости срок рассмотрения Заявки ДС может быть продлен СКФОМС не более чем на 15 дней, о чем сторонняя организация уведомляется в трехдневный срок с момента принятия решения о продлении срока рассмотрения. 4.16.В случае несоответствия технических условий и представленных документов сторонней организации, установленным требованиям, СКФОМС уведомляет стороннюю организацию об отказе в подключении к ДС СКФОМС в трехдневный срок с момента принятия решения. 4.17.В случае соответствия сторонней организации, ее технических условий и представленных документов, установленным требованиям, СКФОМС и сторонняя организация оформляют Соглашение, утверждают технические условия и схему подключения, в рамках реализации которого сторонняя организация в десятидневный срок обеспечивает: предоставление в СКФОМС заявки на выдачу Сертификатов для работников сторонней организации, которые будут осуществлять работу с АП (не более двух); настройку и подключение АП сторонней организации к ДС СКФОМС (результаты подключения АП сторонней организации к ДС СКФОМС оформляются работниками СКФОМС и сторонней организации в форме соответствующего акта и утверждаются руководителем СКФОМС не позднее пяти рабочих дней от даты подключения). 4.18.СКФОМС обеспечивает оформление Сертификатов в соответствии с настоящим Регламентом в течение 30 дней от даты подключения АП сторонней организации к ДС СКФОМС. 5. Порядок выдачи Сертификатов 5.1. Сертифицированные ключевые носители информации с нанесенными персональными данными Пользователей УЦ (фамилия, имя, отчество и т.д.), введенными Сертификатами и закрытыми ключами ЭЦП в 10 системе информационного взаимодействия с Удостоверяющим центром являются персональными средствами идентификации. Эксплуатация ключевых носителей осуществляется в соответствии с эксплуатационной документацией соответствующих комплексов программных средств и иными нормативными актами СКФОМС. 5.2. Сертификат выдается Пользователю УЦ на срок до 12 месяцев. 5.3. СКФОМС предоставляет Сертификаты на основании заявки о предоставлении доступа к сервисам Удостоверяющего центра СКФОМС (далее - Заявка) по форме согласно приложению 4 к настоящему Регламенту. Заявка направляется сторонней организацией в СКФОМС в двух экземплярах не менее чем за 30 дней до предполагаемой даты начала использования Сертификатов либо окончания срока действия ранее выданных Сертификатов. 5.4. После утверждения Заявки руководителем СКФОМС первый экземпляр Заявки подшивается СКФОМС в дело, второй экземпляр предоставляется сторонней организации совместно с Сертификатом и ключевым носителем. 5.5. В случаи наличия у абонента действующего Сертификата, а также при оформлении нового Сертификата в связи с окончанием срока действия текущего Сертификата, Заявка может быть направлена в СКФОМС по правилам согласно пункту 2.9 настоящего Регламента в качестве вложения в электронное письмо с заголовком «О направлении заявки на генерацию сертификата ключа подписи (письмо (наименование Пользователя УЦ) от (дата) № (номер регистрации письма согласно журналу регистрации исходящей корреспонденции))». 5.6. Запись на ключевые носители производится и ключевые документы с введенными Сертификатами выдаются Пользователям УЦ специалистами отдела информационной безопасности СКФОМС при предъявление документов удостоверяющих личность владельца Сертификата (в случае получения иным лицом, его полномочия должны быть удостоверены надлежащим образом оформленной доверенностью). 5.7. Ключевые носители подлежат учету в журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых носителей, который ведется по установленной форме. Выдача ключевого носителя удостоверяется подписью владельца Сертификата или уполномоченного лица. 5.8. Единицей поэкземплярного учета ключевых носителей считается ключевой носитель однократного или многократного использования (eToken, ruToken, Smart Card, Touch Memory и т.п.). Если один и тот же ключевой носитель многократно используют для записи криптоключей, то такой ключевой носитель подлежит регистрации при каждой процедуре формирования криптоключей. 5.9. При обнаружении нерабочих (бракованных) ключевых носителей ответственный по защите информации сторонней организации составляет соответствующий акт, в который вносятся регистрационные данные бракованных ключевых носителей с указанием выявленных проблем. Акт 11 утверждается руководителем Пользователя УЦ и предоставляется в СКФОМС вместе с экземпляром бракованного ключевого носителя. 5.10.СКФОМС предпринимает меры для установления причин происшедшего и устранения их в дальнейшем, если таковые являлись следствием действий (бездействия) СКФОМС. Удостоверяющий центр, допустивший брак при изготовлении сертификатов ключа подписи, с целью выявления причин случившегося может обратиться в ФСБ России или на предприятие - изготовитель ключевых носителей для проведения на договорной основе экспертизы бракованных ключевых документов. 5.11.Пользователи УЦ хранят ключевые носители и ключевые документы в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение. 5.12.Пользователям УЦ запрещено: осуществлять копирование информации с ключевых носителей; разглашать содержимое ключевых носителей или передавать ключевые носители лицам, к ним не допущенным, оставлять ключевые носители в местах, где иные лица могут получить к ним доступ, выводить ключевую информацию на принтер; оставлять АП без отсоединения ключевого носителя; вставлять ключевой носитель в устройство считывания в режимах, не предусмотренных штатным режимом использования; подключать к автоматизированному рабочему месту (далее - АРМ), оборудованному средствами для использования ЭЦП, дополнительные устройства и соединители, не предусмотренные комплектацией АРМ. 5.13.Неиспользованные или выведенные из действия ключевые носители (например, по причине прекращения трудового договора с работником, являющимся Пользователем УЦ) уничтожаются абонентом в трехдневный срок. О выведении из действия ключевого носителя абонент информирует Удостоверяющий центр немедленно. 5.14.Уничтожение ключевых носителей осуществляется специально созданной абонентом комиссией способом, предусмотренным эксплуатационной и технической документацией к соответствующим ключевым носителям и исключающим возможность восстановления ключевой информации, с составлением соответствующего акта. Акт об уничтожении ключевых носителей направляется абонентом в СКФОМС в день составления. 5.15.В день поступления акта об уничтожении ключевых носителей в журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых носителей (для обладателя конфиденциальной информации) делается соответствующая запись, которая удостоверяется подписью сделавшего ее лица. 5.16.При переводе на иную должность работника Абонента, являющегося Пользователем УЦ, если работник продолжает выполнять функции Пользователя УЦ, ключевой носитель не уничтожается. В день 12 перевода вышеуказанного работка абонент обязан уведомить об этом ответственного по защите информации и Администратора СКЗИ. Ответственный по защите информации не позднее следующего дня направляет абоненту запрос на отзыв Сертификата. Выдача нового Сертификата осуществляется в соответствии с требованиями настоящего Регламента. 6. Действия при компрометации криптоключей 6.1. Администратор СКЗИ при выдаче Сертификата передает Пользователю УЦ пароль для авторизации в системе ViPNet. Этот пароль может использоваться для экстренной связи в случае компрометации закрытых ключей. Конфиденциальность пароля обеспечивает Пользователь УЦ. 6.2. К обстоятельствам, указывающим на возможную компрометацию криптоключей, но не ограничиваясь ниже указанными, относятся: потеря ключевых носителей с рабочими или резервными криптоключами, в том числе с их последующим обнаружением; прекращение трудового или иного договора с работниками, имевшими доступ к рабочим или резервным криптоключам; возникновение подозрений относительно утечки информации или ее искажения; нарушение целостности печатей на сейфах (металлических шкафах),в которых хранятся ключевые носители с рабочими или резервными криптоключами, если используется процедура опечатывания сейфов; утрата ключей от сейфов (их дубликатов) в момент нахождения в них ключевых носителей с рабочими или резервными криптоключами; временный доступ посторонних лиц к ключевым носителям, а также другие события, при которых достоверно не подтверждено отсутствие доступа к ключевым носителям посторонних лиц. 6.3. В случае возникновения обстоятельств, указанных в п. 6.2 настоящего Регламента, и иных обстоятельств, указывающих на возможную компрометацию криптоключей, Пользователь УЦ обязан незамедлительно информировать Администратора СКЗИ об известных ему обстоятельствах, указывающих на возможную компрометацию криптоключей, посредством телефонной связи с использованием соответствующего пароля или иным возможным способом и прекратить обмен электронными документами с использованием скомпрометированных закрытых криптоключей. 6.4. В случае факта компрометации криптоключей ответственный за эксплуатацию СКЗИ абонента в течение рабочего дня оформляет заявку об отзыве Сертификата по форме приложению 5 к настоящему Регламенту, которая удостоверяется подписью руководителя абонента с приложением оттиска печати, и направляет его в СКФОМС. Заявка об отзыве Сертификата содержит следующую информацию: идентификационные параметры скомпрометированного криптоключа; фамилию, имя, отчество Пользователя УЦ; сведения об обстоятельствах компрометации криптоключа; 13 время и дата выявления факта компрометации криптоключа. 6.5. Администратор СКЗИ незамедлительно по получению информации о компрометации криптоключа Пользователя УЦ выводит из действия Сертификат, соответствующий скомпрометированному закрытому криптоключу (прекращает обмен электронными документами с использованием Сертификата, соответствующего скомпрометированному закрытому криптоключу). Отозванный Сертификат, помещается в СОС. 6.6. Датой, начиная с которой Сертификат признается недействительным, является день поступления в СКФОМС Заявки об отзыве Сертификата. 6.7. Сертификат, соответствующий скомпрометированному закрытому криптоключу, хранится СКФОМС в течение установленного срока хранения электронных документов, в том числе для проведения разбора конфликтных ситуаций, связанных с применением ЭЦП. 6.8. Пользователь УЦ может одновременно иметь несколько закрытых криптоключей и соответствующих им Сертификатов, часть из которых Пользователь УЦ вправе использовать в качестве рабочих, а часть - в качестве резервных на случай компрометации рабочих закрытых криптоключей. 6.9. Использование СКЗИ возобновляется после ввода в действие закрытого криптоключа взамен скомпрометированного. 7. Порядок отзыва Сертификата 7.1. В случае необходимости отзыва Сертификата при компрометации ключевой информации либо подозрении на компрометацию Пользователь УЦ совершает действия предусмотренные пунктами 7.2 и 7.3 настоящего Регламента. 7.2. Если Пользователем УЦ является работник СКФОМС (в том числе обособленного подразделения СКФОМС), Пользователь УЦ оформляет заявку об отзыве Сертификата по форме согласно приложению 5 к настоящему Регламенту и предоставляет ее Администратору СКЗИ. Заявка об отзыве Сертификата может быть направлена по электронной почте с соблюдением установленных настоящим Регламентом требований (в заголовке письма указывается «Об отзыве сертификата ключа подписи») или отправлена по факсу на номер (8652) 941-124 с последующим в трехдневный срок предоставлением оригинала. 7.3. Если Пользователем УЦ является работник сторонней организации, абоненту необходимо совершить действия, предусмотренные пунктами 6.3 и 6.4 настоящего Регламента и Соглашением. 8. Уничтожение ключевых носителей, СКЗИ 8.1. Уничтожению подлежат ключевые документы и ключевые носители, утратившие практическое значение и не имеющие иной ценности (срок 14 действия которых истек, пришедшие в негодность, при прекращении трудового договора или переводе Пользователя УЦ, по иным причинам). 8.2. Ключевые носители уничтожаются в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Если срок уничтожения эксплуатационной и технической документацией не установлен, ключевые документы уничтожаются не позднее 10 дней после вывода их из действия (окончания срока действия). 8.3. Неиспользованные или выведенные из действия ключевые носители и ключевые документы подлежат возвращению в группу по криптографической защите информации либо ответственному по защите информации абонента. 8.4. Если ключевые носители и ключевые документы передаются для уничтожения в СКФОМС, доставка ключевых носителей и ключевых документов к месту уничтожения производится абонентом в упаковке, исключающей утрату ключевых носителей или ключевых документов. 8.5. Уничтожение ключевых носителей и ключевых документов осуществляет соответствующая комиссия в составе не менее двух человек из числа работников, включенных в группу по криптографической защите информации, с составлением акта по форме согласно приложению 6 к настоящему Регламенту. 8.6. Если ключевые носители, выданные абоненту, уничтожаются самим абонентом, аналогично форме приложения 6 к настоящему Регламенту ответственным по защите информации составляется акт об уничтожении, который утверждается руководителем абонента с приложением оттиска печати. Копия акта направляется абонентом в СКФОМС в день составления. Не реже одного раза в год не позднее 17 января следующего года абонент направляет в СКФОМС отчет об уничтоженных в отчетном году ключевых носителях, который подписывается ответственным по защите информации и руководителем абонента с приложением оттиска печати. 8.7. Уничтожение ключевых носителей и ключевых документов производится в порядке, исключающем ознакомление с ними посторонних лиц, неполное (позволяющее восстановить информацию) или случайное уничтожение. Ключевые носители уничтожаются путем их физического повреждения, исключающего возможность их использования, а также восстановления ключевой информации. Для ключевых носителей многократного использования допускается стирание информации о криптоключах в соответствии с требованиями инструкции по уничтожению машинных носителей информации. Непосредственные действия по уничтожению конкретного типа ключевого носителя регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, настоящим Регламентом. 8.8. Уничтожение ключевых носителей производится после очистки информации на ключевом носителе с использованием сертифицированных, по требованиям безопасности информации систем гарантированного уничтожения 15 информации (как исключение, допускается применение двукратного форматирования ключевого носителя с применением повторных записей произвольной информации на полный объем памяти ключевого носителя). 8.9. Уничтожение ключевых документов производится способом измельчения с использованием бумагоуничтожающей машины, а ключевых носителей способом дробления с использованием ножниц или специального режущего инструмента, иным способом, предусмотренным эксплуатационной и технической документацией к соответствующим ключевым носителям. 8.10.Отобранные для уничтожения ключевые носители или ключевые документы при оформлении соответствующего акта сверяются комиссией с данными журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых носителей (для обладателя конфиденциальной информации) по их наименованию, регистрационному номеру, номеру экземпляра, пометкой конфиденциальности, количеству экземпляров или листов. 8.11.Председатель комиссии представляет акт на утверждение руководителю СКФОМС, а после его утверждения, передает акт лицу, ответственному за учет СКЗИ для внесения сведений об уничтожении ключевых носителей и ключевых документов в журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых носителей (для обладателя конфиденциальной информации). 8.12. Акт об уничтожении ключевых носителей или ключевых документов хранится абонентом или СКФОМС не менее пяти лет с соблюдением установленных правил. 8.13.СКЗИ уничтожаются (утилизируются) в соответствии с требованиями эксплуатационной документации на данное СКЗИ по решению обладателя конфиденциальной информации, владеющего СКЗИ, согласованному СКФОМС. 8.14.Намеченные к уничтожению (утилизации) СКЗИ изымают из аппаратных средств, с которыми они функционировали. При этом СКЗИ считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к СКЗИ процедура удаления программного обеспечения СКЗИ, и они полностью отсоединены от аппаратных средств. 8.15. Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций СКЗИ, а также совместно работающее с СКЗИ оборудование (мониторы, принтеры, сканеры, клавиатура и т.п.) разрешается использовать после уничтожения СКЗИ без ограничений. При этом информация, которая может оставаться в устройствах памяти оборудования, должна быть надежно удалена (стерта). 8.16. Уничтожение СКЗИ производит комиссия, в составе не менее трех человек из числа работников допущенных к СКЗИ, с составлением акта по 16 форме согласно приложению 7 к настоящему Регламенту с соблюдением порядка, предусмотренного настоящим разделом Регламента. 8.17. Акт об уничтожении СКЗИ хранится абонентом или СКФОМС не менее пяти лет с соблюдением установленных правил. 9. Конфиденциальность информации 9.1. Удостоверяющий центр и абонент в процессе работы обязаны обеспечить сохранность получаемой от участников информационного взаимодействия конфиденциальной информации, в соответствии с действующим законодательством Российской Федерации. 9.2. Удостоверяющий центр обязан не разглашать (не публиковать) информацию, полученную от абонента, за исключением информации, содержащейся в Сертификатах. 9.3. Порядок предоставления конфиденциальной информации правоохранительным, судебным, налоговым и иным уполномоченным органам осуществляется в соответствии с действующим законодательством Российской Федерации. 9.4. Персональная и корпоративная информация, содержащаяся в Удостоверяющем центре, не подлежащая непосредственной рассылке в качестве части Сертификата или списка отозванных Сертификатов, считается конфиденциальной и не публикуется. 10. Ответственность абонента и Удостоверяющего центра 10.1.3а неисполнение или ненадлежащее исполнение обязательств абонент и Удостоверяющий центр несут ответственность в соответствии с действующим законодательством Российской Федерации, настоящим Регламентом и Соглашением. 10.2.Абонент несет ответственность: за недостоверность сведений, указанных им в заявке и заявке ДС, уведомлении или сообщении, а также актуальность сведений, сообщенных им Удостоверяющему центру; за утрату и некорректность эксплуатации СКЗИ и закрытых ключей; за ущерб, причиненный им СКФОМС, другим абонентам или третьим лицам, в том числе по причине несвоевременного сообщения о факте компрометации ключей; в иных случаях. 10.3.Удостоверяющий центр не несет ответственность за последствия и убытки в случае нарушения абонентом действующего законодательства, обязательств, положений настоящего Регламента. 10.4.Удостоверяющий центр несет ответственность перед владельцами Сертификатов, лицами, использующими Сертификаты для проверки подписи и шифрования сообщений, и третьими лицами, за убытки, потери, иной ущерб, связанный с использованием Сертификатов, в случаях подтвержденного в 17 установленном порядке нарушения Удостоверяющим центром действующего законодательства, обязательств, положений настоящего Регламента, являвшегося причиной ущерба. В иных случаях претензии к Удостоверяющему центру ограничиваются указанием на несоответствие его действий настоящему Регламенту. 11. Контроль организации безопасного хранения и использования ключевой информации 11.1.Контроль организации безопасного хранения и использования ключевой информации проводится в рамках контроля состояния обеспечения информационной безопасности СКФОМС. 11.2.Контроль обеспечения безопасности информации при информационном взаимодействии АП сторонней организации, абонента и ДС СКФОМС осуществляется создаваемыми СКФОМС комиссиями. 11.3. По результатам контроля составляется акт проверки. Акт проверки представляется руководителю СКФОМС и руководителю сторонней организации или абонента - объекта контрольного мероприятия. 11.4.Работниками организации, в которой проводилась проверка, в месячный срок разрабатывают план мероприятий по устранению недостатков и нарушений, отраженных в акте проверки. Указанный план согласовывается СКФОМС. 11.5.Организация, в которой проводилась проверка, информирует СКФОМС о ходе устранения недостатков и нарушений информационной безопасности и реализации рекомендаций, отраженных в акте проверки. 11.6.Если при использовании средств ЭЦП либо ключевых носителей выявлены нарушения, вследствие чего создается реальная угроза информационной безопасности, СКФОМС направляет участнику информационного взаимодействия указание, которое подлежит немедленному исполнению, в том числе о прекращении использования средств ЭЦП (об отзыве Сертификата) либо ключевого носителя. 11.7.Абонент обязан предпринять все разумные меры для устранения причин выявленных нарушений и направить в СКФОМС уведомление об устранении выявленных нарушений. Абонент вправе возобновить использование ЭЦП или ключевого носителя с разрешения СКФОМС. 12. Заключительные положения 12.1.СКФОМС вправе отключить АП абонента от ДС СКФОМС или приостановить информационное взаимодействие в случае невыполнения абонентом Соглашения, выявления отклонений от Схемы подключения, несоблюдения абонентом технических условий, положений настоящего Регламента. 18 12.2.Извещение о предстоящем отключении АП от ДС СКФОМС (или приостановлении информационного взаимодействия) подписывается руководителем СКФОМС и направляется соответствующему абоненту не менее чем за пять рабочих дней до даты отключения. 12.3. Форма и условия организации подключения АП могут предусматривать проведение сторонней организацией необходимых пусконаладочных работ собственными силами (при наличии лицензии ФСБ России на осуществление технического обслуживания шифровальных (криптографических) средств), или с привлечением организации, имеющей лицензию ФСБ России на осуществление технического обслуживания шифровальных (криптографических) средств.
