Требование по защите информации при обмене электронными документами (приложение к типовому соглашению об обмене электронными документами между управлениями Федерального казначейства по субъектам Российской Федерации и территориальными управлениями Федерального агентства по управлению федеральным имуществом)

ТРЕБОВАНИЕ

ПО ЗАЩИТЕ ИНФОРМАЦИИ ПРИ ОБМЕНЕ ЭЛЕКТРОННЫМИ ДОКУМЕНТАМИ

1. Общие положения

1.1. Настоящие Требования определяют организационно-технические мероприятия по защите информации при обмене электронными документами между управлением Федерального казначейства по субъекту Российской Федерации и территориальным управлением Федерального агентства по управлению федеральным имуществом (далее - ТУ Росимущества).

1.2. Организационно-технические мероприятия по защите информации выполняются Сторонами при осуществлении обмена электронными документами (далее - ЭД), заверенными электронной цифровой подписью (далее - ЭЦП), эксплуатации средств защиты информации, в том числе средств ЭЦП, а также обращении ключевой информации, используемой для криптографической защиты ЭД.

1.3. Организационно-технические мероприятия по обеспечению защиты информации при обмене ЭД обеспечивают:

1.3.1. Конфиденциальность ЭД.

1.3.2. Подлинность ЭД - подтверждение авторства и целостности ЭД.

1.3.3. Разграничение и контроль доступа к средствам обмена ЭД.

1.3.4. Сохранность в тайне содержания закрытых ключей ЭЦП и иных ключевых документов.

1.4. Настоящие Требования обязательны для выполнения всеми должностными и иными лицами Сторон, осуществляющими подготовку, обработку, отправку/получение, хранение и учет ЭД, заверенных ЭЦП.

2. Управление ключевой системой

2.1. Ключевая система обмена ЭД состоит из ключей шифрования (в зависимости от принятой технологии - симметричных ключей шифрования либо пары закрытых/открытых ключей шифрования/аутентификации) и ключей (пары закрытых/открытых ключей) ЭЦП уполномоченных лиц.

2.2. В случае использования симметричных ключей шифрования Администратор безопасности управления Федерального казначейства по субъекту Российской Федерации изготавливает для ТУ Росимущества рабочий и резервный комплекты и направляет их с сопроводительным письмом в установленном порядке в ТУ Росимущества.

2.3. В случае использования закрытых/открытых ключей шифрования рабочие и резервные комплекты ключей шифрования, а также заявки на изготовление сертификатов ключей шифрования изготавливаются Администраторами безопасности соответствующих Сторон самостоятельно. Администратор безопасности ТУ Росимущества передает заявку на изготовление сертификатов ключей шифрования с сопроводительным письмом Администратору безопасности управления Федерального казначейства по субъекту Российской Федерации. Администратор безопасности управления Федерального казначейства по субъекту Российской Федерации изготавливает сертификаты ключей шифрования Сторон и предает их Администратору безопасности ТУ Росимущества.

2.4. Администраторы безопасности Сторон обеспечивают порядок изготовления, хранения, передачи, использования, уничтожения, а также учета ключевой информации и ее носителей в соответствии с требованиями Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной Приказом ФАПСИ от 13 июня 2001 г. N 152 (зарегистрировано в Минюсте России 6 августа 2001 г., N 2848) (далее - Инструкция N 152), а также технической и эксплутационной документации на используемые средства криптографической защиты информации.

2.5. Рабочий и резервный комплекты ключей шифрования хранятся отдельно.

2.6. Операторы и Администраторы автоматизированного рабочего места обмена ЭД (далее - АРМ ЭД), осуществляющие использование ключей шифрования, несут персональную ответственность за безопасность доверенной им ключевой информации и обязаны обеспечивать ее сохранность, неразглашение и нераспространение. Указанным должностным лицам доводятся под роспись соответствующие положения Инструкции N 152, а также технической и эксплутационной документации на средства криптографической защиты информации.

2.7. Срок действия ключей шифрования устанавливается не более 1 года.

2.8. За две недели до окончания срока действия ключей шифрования Администраторами безопасности Сторон проводится процедура изготовления и передачи новых комплектов ключей шифрования.

2.9. По истечении установленного срока Администраторы безопасности Сторон проводят плановую смену ключей шифрования. Выведенные из обращения ключи шифрования уничтожаются установленным образом.

2.10. Ключи ЭЦП и заявки на изготовление сертификатов ключей подписи формируются непосредственно лицами, наделенными правом ЭЦП, на специально оборудованных рабочих местах. Администратор безопасности обеспечивает контроль оформления заявок на изготовление сертификатов ключей подписи и внесение в них дополнительных служебных реквизитов.

2.11. Заявки, оформленные и подписанные в установленном порядке, передаются Администратором безопасности в Региональный ведомственный удостоверяющий центр управления Федерального казначейства (по субъекту Российской Федерации) (далее - РВУЦ), который в срок, не превышающий 3 рабочих дней, изготавливает сертификаты ключей подписи.

2.12. РВУЦ, изготовивший сертификат ключа подписи, несет ответственность за соответствие сведений, указанных в сертификате ключа подписи, сведениям, указанным в заявке на изготовление сертификата ключа подписи и в представленных удостоверяющих документах.

2.13. Владельцы сертификатов ключа подписи Сторон или иные лица по доверенности получают изготовленные сертификаты ключей подписи в РВУЦ. После регистрации изготовленные сертификаты доводятся до пользователей сертификатов ключей подписи.

2.14. РВУЦ обеспечивает формирование реестров изготовленных сертификатов ключей подписи и списков отозванных сертификатов. Администраторы безопасности обеспечивают своевременную выборку изготовленных списков отозванных сертификатов, их регистрацию и последующее доведение до пользователей сертификатов ключей подписи.

2.15. Владельцу сертификатов ключей подписи несут персональную ответственность за безопасность собственных закрытых ключей ЭЦП и обязаны обеспечивать их сохранность, неразглашение и нераспространение во время использования. Владельцам сертификатов ключей доводятся под роспись соответствующие положения Инструкции N 152, а также технической и эксплутационной документации на средства ЭЦП.

2.16. Закрытые ключи ЭЦП должны храниться в запираемых на ключ и опечатываемых индивидуальных шкафах (хранилищах, сейфах). В случае хранения закрытых ключей ЭЦП в шкафах (хранилищах, сейфах), доступ к которым имеют иные лица, закрытые ключи ЭЦП хранятся (сдаются на хранение) в отдельных упаковках, опечатанных владельцем сертификата ключа подписи.

2.17. Дата ввода сертификата ключа подписи в обращение указывается в заявке на изготовление сертификата ключа подписи. Дата в заявке определяется Администратором безопасности соответствующей Стороны с учетом даты вывода из обращения ранее использованного сертификата ключа подписи и иных, влияющих на дату начала использования сертификата, обстоятельств.

2.18. Владелец сертификата ключа подписи получает право использования соответствующего закрытого ключа ЭЦП для заверения ЭД с момента регистрации сертификата Администратором безопасности, но не ранее даты, указанной в сертификате, как даты ввода в обращение.

2.19. Срок действия сертификатов ключей подписи и соответствующих ключей подписи устанавливается не более 1 года.

2.20. РВУЦ обеспечивает на следующий рабочий день после окончания срока действия сертификата ключа подписи его занесение в список отозванных сертификатов.

2.21. За две недели до окончания срока действия сертификата ключа подписи его владелец обязан уведомить об этом Администратора безопасности и провести процедуру формирования новых ключей подписи и заявки на изготовление нового сертификата ключа подписи.

2.22. После окончания срока действия сертификата ключа подписи его владелец прекращает использование соответствующих закрытых ключей ЭЦП, в трехдневный срок сдает их Администратору безопасности, Администратор безопасности в установленном порядке производит их уничтожение.

2.23. Администратор безопасности организует и обеспечивает хранение сертификатов ключей подписи в течение срока хранения ЭД, заверенных соответствующей ЭЦП.

2.24. Администратор безопасности организует и контролирует порядок обращения с ключами шифрования и ключами ЭЦП Операторами и Администратором АРМ ЭД, а также владельцами сертификатов ключей подписи.

3. Компрометация ключевой информации

3.1. Под компрометацией (раскрытием) ключей шифрования или ключей ЭЦП понимаются: утрата носителей ключевой информации, утрата их с последующим обнаружением, хищение, несанкционированное копирование, передача их по линии связи в открытом виде, любые другие виды разглашения ключевой информации, а также случаи, когда нельзя достоверно установить, что произошло с ключевой информацией и/или ее носителем (в том числе при выходе носителя из строя и отсутствии возможности опровергнуть наличие несанкционированных действий злоумышленника).

Действия персонала при компрометации ключей ЭЦП

3.2. При подозрении о компрометации рабочего комплекта закрытых ключей ЭЦП владелец соответствующего сертификата ключа немедленно прекращает использование соответствующего закрытого ключа ЭЦП и незамедлительно сообщает об этом Администратору безопасности.

3.3. При обнаружении обстоятельств, свидетельствующих о факте компрометации, Администратор безопасности соответствующей Стороны незамедлительно извещает о компрометации другую Сторону и РВУЦ с их последующим письменным уведомлением не позднее 2 следующих рабочих дней.

3.4. РВУЦ обеспечивает немедленное занесение соответствующего сертификата ключа подписи в список отозванных сертификатов.

3.5. Администратор безопасности Стороны, получившей извещение о компрометации, информирует пользователей сертификатов соответствующего ключа подписи и совместно с ними обеспечивает приостановку обработки ЭД, полученных после извещения и заверенных ЭЦП, соответствующей скомпрометированному ключу ЭЦП.

3.6. После подтверждения факта компрометации владельцем сертификата ключа подписи осуществляется формирование нового комплекта ключей ЭЦП и инициируется процедура изготовления и регистрации сертификата ключа подписи.

3.7. В зависимости от обстоятельств компрометации руководителем соответствующей Стороны может быть назначено служебное расследование с включением в комиссию представителей РВУЦ.

Действия персонала при компрометации ключей шифрования

3.8. При подозрении о компрометации рабочего комплекта ключей шифрования Оператор или Администратор АРМ ЭД, обнаруживший факт компрометации, обязан немедленно приостановить обмен ЭД и незамедлительно сообщить об этом Администратору безопасности.

3.9. При обнаружении обстоятельств, свидетельствующих о факте компрометации, Администратор безопасности незамедлительно извещает о компрометации другую Сторону.

3.10. Для восстановления обмена ЭД Администраторы АРМ ЭД и Администраторы безопасности Сторон обеспечивают переход на работу с резервными ключами шифрования.

4. Защита информации при обработке электронных документов

4.1. Формирование, подготовка, обработка, хранение ЭД, заверение ЭД ЭЦП, проверка подлинности ЭЦП ЭД производятся на специально подготовленных рабочих местах уполномоченных лиц Сторон, оборудованных необходимыми программно-техническими средствами, в том числе средствами ЭЦП и средствами защиты информации от несанкционированного доступа, в соответствии с технологиями, принятыми Сторонами.

4.2. Установленные на соответствующих рабочих местах средства ЭЦП и/или используемые в комплекте с ними средства криптографической защиты информации обеспечивают в соответствии с требованиями ФАПСИ безопасность информации по уровню КС2 или выше, а средства защиты информации от несанкционированного доступа обеспечивают 5-й (пятый) или выше класс защищенности средств вычислительной техники от несанкционированного доступа.

4.3. Администратор безопасности ведет паспорта указанных рабочих мест, в которых отражается состав их аппаратной части и программного обеспечения. Администратор безопасности производит контроль проведения профилактических и ремонтных работ указанных рабочих мест с целью выявления и предупреждения неконтролируемого изменения их аппаратной части и/или программного обеспечения.

4.4. Доступ к данным рабочим местам ограничивается соответствующими уполномоченными лицами Сторон и Администратором безопасности.

5. Защита информации при приеме/передаче электронных документов

5.1. В соответствии с требованиями ФАПСИ безопасность информации при ее передаче по открытым каналам связи по уровню КС2 и выше обеспечивается использованием сертифицированных в установленном порядке средств криптографической защиты информации.

5.2. В управлении Федерального казначейства по субъекту Российской Федерации защита информации, передаваемой по каналам связи, обеспечивается использованием средства криптографической защиты информации "Континент-К". В ТУ Росимущества защита информации, передаваемой по каналам связи, обеспечивается использованием средств криптографической защиты информации "Континент-К" или "Континент-АП" либо иных совместимых с ними.

5.3. По согласованию Сторон в соответствии с требованиями и рекомендациями Федерального казначейства и Росимущества возможно использование иных средств криптографической защиты информации.

5.4. Размещение, установка, подключение и последующая эксплуатация указанных средств криптографической защиты информации выполняются в соответствии с требованиями Инструкции N 152, а также технической и эксплутационной документацией на них.

5.5. Прием/передача ЭД, проверка подлинности ЭЦП входящих ЭД и их предварительная обработка и учет, последующая обработка и учет исходящих ЭД, заверение их ЭЦП осуществляются на специально подготовленном рабочем месте - АРМ ЭД, оборудованном необходимыми программно-техническими средствами, в том числе средствами защиты информации и средствами телекоммуникаций, и имеющем подключение к необходимым сетям связи.

5.6. Для выполнения указанных выше функций Сторонами назначаются Операторы АРМ ЭД, обеспечивающие непосредственную эксплуатацию средств АРМ ЭД.

5.7. Требования к средствам защиты информации АРМ ЭД, к учету и контролю его аппаратной части и программного обеспечения, допуску к нему аналогичны требованиям для рабочих мест уполномоченных лиц Сторон.

5.8. Доступ посторонних лиц в помещения, в которых размещены указанные в настоящей статье средства криптографической защиты информации, средства телекоммуникаций, а также средства АРМ ЭД, должен быть ограничен. Двери данных помещений оборудуются замками, гарантирующими надежную защиту в нерабочее время.

6. Контроль за выполнением требований по защите информации

6.1. Контроль за соблюдением требований по защите информации возлагается на подразделения по защите информации управления Федерального казначейства по субъекту Российской Федерации и ТУ Росимущества.