Электронная подпись — просто о сложном

1. Общие положения

1.1. Настоящая Инструкция определяет организационно-технические мероприятия по защите информации при обмене электронными документами между управлениями федерального казначейства Министерства финансов Российской Федерации и управлениями Министерства Российской Федерации по налогам и сборам по субъектам Российской Федерации (далее – Стороны, либо УФК Минфина России и Управление МНС России соответственно).

1.2. Организационно-технические мероприятия по защите информации выполняются Сторонами при осуществлении обмена электронными документами (далее – ЭД) заверенными электронной цифровой подписью (далее – ЭЦП), эксплуатации средств защиты информации, в том числе средств ЭЦП, а также обращении ключевой информации, используемой для криптографической защиты ЭД.

1.4. Настоящая Инструкция обязательна для выполнения всеми должностными и иными лицами Сторон, осуществляющими подготовку, обработку, отправку/получение, хранение и учет ЭД заверенных ЭЦП.

2. Управление ключевой системой

2.1. Ключевая система обмена ЭД состоит из ключей шифрования (в зависимости от принятой технологии – симметричных ключей шифрования либо пары закрытых/открытых ключей шифрования/аутентификации), и ключей (пары закрытых/открытых ключей) ЭЦП уполномоченных лиц. Для каждого типа ключей формируются рабочие и резервные комплекты.

2.2. В случае использования симметричных ключей шифрования Администратор безопасности УФК Минфина России изготавливает для Управления МНС России два комплекта ключей шифрования – рабочий и резервный, и направляет их с сопроводительным письмом в установленном порядке на магнитных носителях (дискетах) в Управление МНС России.

2.3. В случае использования закрытых/открытых ключей шифрования, рабочие и резервные комплекты ключей шифрования, а также заявки на изготовление сертификатов ключей шифрования изготавливаются Администраторами безопасности соответствующих Сторон самостоятельно. Администратор безопасности Управления МНС России передает заявку на изготовление сертификатов ключей шифрования с сопроводительным письмом Администратору безопасности УФК Минфина России. Администратор безопасности УФК Минфина России изготавливает сертификаты ключей шифрования Сторон и предает# их Администратору безопасности Управления МНС России.

2.4. Администраторы безопасности Сторон обеспечивают порядок изготовления, хранения, передачи, использования, уничтожения, а также учета ключевой информации и ее носителей в соответствии с требованиями Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13.06.2001 N 152 (зарегистрировано в Минюсте России 06.08.2001 N 2848) (далее Инструкция – N 152), а также технической и эксплуатационной документации на используемые средства криптографической защиты информации.

2.5. Рабочий и резервный комплекты ключей шифрования хранятся отдельно.

2.6. Операторы и Администраторы автоматизированного рабочего места обмена ЭД, далее АРМ ЭД, осуществляющие использование ключей шифрования, несут персональную ответственность за безопасность доверенной им ключевой информации и обязаны обеспечивать ее сохранность, неразглашение и нераспространение. Указанным должностным лицам доводятся под роспись соответствующие положения Инструкции N 152, а также технической и эксплуатационной документации на средства криптографической защиты информации.

2.7. Срок действия ключей шифрования устанавливается не более 1 года.

2.8. За две недели до окончания срока действия ключей шифрования Администраторами безопасности Сторон проводиться процедура изготовления и передачи новых комплектов ключей шифрования.

2.9. По наступлению установленного срока Администраторы безопасности Сторон проводят плановую смену ключей шифрования. Выведенные из обращения ключи шифрования уничтожаются установленным образом.

2.10. Ключи ЭЦП (рабочий и резервный комплекты) и заявки на изготовление сертификатов ключей подписи формируются непосредственно лицами, уполномоченными правом ЭЦП, на специально оборудованных рабочих местах. Администратор безопасности обеспечивает контроль оформления заявок на изготовление сертификатов ключей подписи и внесение в них дополнительных служебных реквизитов.

2.11. Заявки, оформленные и подписанные в установленном порядке, передаются Администратором безопасности в Удостоверяющий центр УФК Минфина России. Удостоверяющий центр УФК Минфина России в срок, не превышающий 3 рабочих дней, изготавливает сертификаты ключей подписи.

2.12. Удостоверяющий центр, изготовивший сертификат ключа подписи, несет ответственность за соответствие сведений, указанных в сертификате ключа подписи, сведениям, указанным в заявке на изготовление сертификата ключа подписи и в представленных удостоверяющих документах.

2.13. Администраторы безопасности получают изготовленные сертификаты ключей подписи и заносят информацию о них в регистрационные карточки. В регистрационных карточках отражается# информации о соответствующих уполномоченных лицах Сторон, о типах ЭД на которые распространяется их право ЭЦП уполномоченных лиц Сторон, об их сертификатах ключей подписи, основаниях их изготовления, приостановления действия и отзыва. Заверенные копии регистрационных карточек и/или изменений и дополнений к ним направляются Администратору безопасности другой Стороны. После регистрации изготовленные сертификаты доводятся Администраторами безопасности до их владельцев и пользователей сертификатов ключей подписи.

2.14. Удостоверяющий центр УФК Минфина России обеспечивает формирование реестров изготовленных сертификатов ключей подписи и списков отозванных сертификатов. Администраторы безопасности обеспечивают своевременную выборку изготовленных списков отозванных сертификатов, их регистрацию и последующее доведение до пользователей сертификатов ключей подписи.

2.15. Владельцы сертификатов ключей подписи несут персональную ответственность за безопасность собственных закрытых ключей ЭЦП и обязаны обеспечивать их сохранность, неразглашение и нераспространение во время использования. Владельцам сертификатов ключей доводятся под роспись соответствующие положения Инструкции N 152, а также технической и эксплуатационной документации на средства ЭЦП.

2.16. Рабочий и резервный комплекты ключей ЭЦП хранятся отдельно (в отдельных упаковках). В случае хранения закрытых ключей ЭЦП в шкафах (хранилищах, сейфах), доступ к которым имеют иные лица, закрытые ключи ЭЦП хранятся (сдаются на хранение) в отдельных упаковках, опечатанных владельцем сертификата ключа подписи.

2.17. Дата ввода сертификата ключа подписи в обращение указывается в заявке на изготовление сертификата ключа подписи. Дата в заявке определяется Администратором безопасности соответствующей Стороны с учетом даты вывода из обращения ранее использованного сертификата ключа подписи и иных, влияющих на дату начала использования сертификата, обстоятельств.

2.18. Владелец сертификата ключа подписи получает право использования соответствующего закрытого ключа ЭЦП для заверения ЭД с момента регистрации сертификата Администратором безопасности, но не ранее даты, указанной в сертификате, как дата ввода в обращение.

2.19. Срок действия сертификатов ключей подписи и соответствующих ключей подписи устанавливается не более 1 года.

2.20. Удостоверяющий центр УФК Минфина России обеспечивает на следующий рабочий день после окончания срока действия сертификата ключа подписи его занесение в список отозванных сертификатов.

2.21. За две недели до окончания срока действия сертификата ключа подписи его владелец обязан уведомить об этом Администратора безопасности и провести процедуру формирования новых ключей подписи и заявки на изготовление нового сертификата ключа подписи.

2.22. После окончания срока действия сертификата ключа подписи его владелец прекращает использование соответствующих закрытых ключей ЭЦП, в трехдневный срок сдает их Администратору безопасности, Администратор безопасности в установленном порядке производит их уничтожение.

2.23. Администратор безопасности организует и обеспечивает хранение сертификатов ключей подписи в течение срока хранения ЭД, заверенных соответствующей ЭЦП.

2.24. Администратор безопасности организует и контролирует порядок обращения с ключами шифрования и ключами ЭЦП Операторами и Администратором АРМ ЭД, а также владельцами сертификатов ключей подписи.

3. Компрометация ключевой информации

3.1. Под компрометацией (раскрытием) ключей шифрования или ключей ЭЦП понимаются: утрата носителей ключевой информации, утрата их с последующим обнаружением, хищение, несанкционированное копирование, передача их по линии связи в открытом виде, любые другие виды разглашения ключевой информации, а также случаи, когда нельзя достоверно установить, что произошло с ключевой информацией и/или ее носителем (в том числе при выходе носителя из строя и отсутствии возможности опровергнуть наличие несанкционированных действий злоумышленника).

4. Защита информации при обработке электронных документов

4.1. Формирование, подготовка, обработка, хранение ЭД, заверение ЭД ЭЦП, проверка подлинности ЭЦП ЭД производятся на специально подготовленных рабочих местах уполномоченных лиц Сторон, оборудованных необходимыми программно-техническими средствами, в том числе средствами ЭЦП и средствами защиты информации от несанкционированного доступа, в соответствии с технологиями, принятыми Сторонами.

4.2. Установленные на соответствующих рабочих местах средства ЭЦП и/или используемые в комплекте с ними средства криптографической защиты информации обеспечивают в соответствии с требованиями ФАПСИ безопасность информации по уровню КС2 или выше, а средства защиты информации от несанкционированного доступа обеспечивают 5 (пятый) или выше класс защищенности средств вычислительной техники от несанкционированного доступа.

4.3. Администратор безопасности ведет паспорта указанных рабочих мест, в которых отражается состав их аппаратной части и программного обеспечения. Администратор безопасности производит контроль проведения профилактических и ремонтных работ указанных рабочих мест с целью выявления и предупреждения неконтролируемого изменения их аппаратной части и/или программного обеспечения.

4.4. Доступ к данным рабочим местам ограничивается соответствующими уполномоченными лицами Сторон и Администратором безопасности.

5. Защита информации при приеме/передаче электронных документов

5.1. В соответствии с требованиями ФАПСИ безопасность информации при ее передаче по открытым каналам связи по уровню КС2 и выше обеспечивается использованием сертифицированных в установленном порядке средств криптографической защиты информации

5.2. В УФК Минфина России защита информации, передаваемой по каналам связи, обеспечивается использованием средства криптографической защиты информации “Континент-К”. В Управлении МНС России защита информации, передаваемой по каналам связи, обеспечивается использованием средств криптографической защиты информации “Континент-К” или “Континент-АП”, либо иных совместимых с ними.

5.3. По согласованию Сторон, в соответствии с требованиями и рекомендациями Минфина России и МНС России возможно использование иных средств криптографической защиты информации.

5.4. Размещение, установка, подключение и последующая эксплуатации указанных средств криптографической защиты информации выполняется в соответствии с требованиями Инструкции N 152, а также их технической и эксплуатационной документации.

5.5. Прием/передача ЭД, проверка подлинности ЭЦП входящих ЭД и их предварительная обработка и учет, последующая обработка и учет исходящих ЭД, заверение их ЭЦП осуществляется на специально подготовленном рабочем месте – АРМ ЭД, оборудованном необходимыми программно-техническими средствами, в том числе средствами защиты информации и средствами телекоммуникаций, и имеющего подключение к необходимым сетям связи.

5.6. Для выполнения указанных выше функций Сторонами назначаются Операторы АРМ ЭД, обеспечивающие непосредственную эксплуатацию средств АРМ ЭД.

5.7. Требования к средствам защиты информации АРМ ЭД, к учету и контролю его аппаратной части и программного обеспечения, допуску к нему, аналогичны требованиям для рабочих мест уполномоченных лиц Сторон.

5.8. Доступ посторонних лиц в помещения, в которых размещены указные# в настоящей статье средства криптографической защиты информации, средства телекоммуникаций, а также средства АРМ ЭД должен быть ограничен. Двери данных помещений оборудуются замками, гарантирующими надежную защиту в нерабочее время.