И Н С Т Р У К Ц И Я
по защите информации при обмене электронными документами
I. Общие положения
Инструкция по защите информации при обмене электронными документами (далее – Инструкция) определяет организационно-технические мероприятия по защите информации при обмене электронными документами между органами исполнительной власти Смоленской области.
Настоящая Инструкция может применяться территориальными органами федеральных органов исполнительной власти, органами местного самоуправления и организациями, заинтересованными в организации обмена электронными документами с использованием средств криптографической защиты информации.
Организационно-технические мероприятия по защите информации выполняются абонентами системы при осуществлении обмена электронными документами, заверенными электронной цифровой подписью, эксплуатации средств защиты информации, в том числе средств ЭЦП, а также при обращении с ключевой информацией, используемой для криптографической защиты ЭД.
Термины и определения, используемые в настоящей Инструкции, приведены в Порядке организации выдачи сертификатов ключей подписей уполномоченных лиц органов исполнительной власти Смоленской области и Правилах обмена электронными документами и использования электронной цифровой подписи, утвержденных постановлением Администрации Смоленской области от 13.11.2007г. № 394 «Об утверждении Порядка организации выдачи сертификатов ключей подписей уполномоченных лиц органов исполнительной власти Смоленской области и Правил обмена электронными документами и использования электронной цифровой подписи».
-
Организационно-технические мероприятия по обеспечению защиты информации при обмене ЭД обеспечивают:
Конфиденциальность ЭД.
Подлинность ЭД – подтверждение авторства и целостности ЭД.
Разграничение и контроль доступа к средствам обмена ЭД.
Сохранность в тайне содержания закрытых ключей ЭЦП и иных ключевых документов.
Настоящая Инструкция обязательна для выполнения всеми должностными и иными лицами абонентов системы, осуществляющими подготовку, обработку, отправку/получение, хранение и учет ЭД, заверенных ЭЦП.
II. Управление ключевой системой
Ключевая система обмена ЭД состоит из ключей шифрования (в зависимости от принятой технологии – симметричных ключей шифрования либо пары закрытых/открытых ключей шифрования/аутентификации) и ключей (пары закрытых/открытых ключей) ЭЦП уполномоченных лиц. Для каждого типа ключей формируются рабочие и резервные комплекты.
Удостоверяющий центр изготавливает для абонентов системы комплект ключей электронной цифровой подписи и направляет их в установленном порядке на ключевых носителях абонентам системы.
Администраторы информационной безопасности абонентов системы изготавливают резервный комплект ключей электронной цифровой подписи и обеспечивают порядок хранения, передачи, использования, уничтожения, учета ключевой информации и ее носителей в соответствии с требованиями инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от
13 июня 2001 г. № 152 (далее – инструкция № 152), а также технической и эксплуатационной документации на используемые средства криптографической защиты информации.
Операторы и администраторы АРМ обмена ЭД и другие лица, осуществляющие использование ключей электронной цифровой подписи, несут персональную ответственность за безопасность доверенной им ключевой информации и обязаны обеспечивать ее сохранность, неразглашение и нераспространение. Указанным должностным лицам доводятся под роспись соответствующие положения инструкции № 152, Правила обмена электронными документами и использования электронной цифровой подписи, утвержденные постановлением Администрации Смоленской области от 13.11.2007г. № 394 «Об утверждении Порядка организации выдачи сертификатов ключей подписей уполномоченных лиц органов исполнительной власти Смоленской области и Правил обмена электронными документами и использования электронной цифровой подписи», настоящая Инструкция, а также техническая и эксплуатационная документация на средства криптографической защиты информации.
Срок действия ключей электронной цифровой подписи – не более 1 года 3 месяцев.
За две недели до окончания срока действия ключей ЭЦП Клиент обязан уведомить об этом уполномоченное лицо УЦ.
По наступлении установленного срока удостоверяющий центр проводит плановую смену ключей электронной цифровой подписи. Выведенные из обращения ключи электронной цифровой подписи уничтожаются в установленном порядке.
Ключи ЭЦП (рабочий и резервный комплекты) и заявки на изготовление сертификатов ключей подписи формируются непосредственно лицами, уполномоченными правом ЭЦП, на специально оборудованных рабочих местах. Администратор информационной безопасности обеспечивает контроль за оформлением заявок на изготовление сертификатов ключей подписи и внесение в них дополнительных служебных реквизитов.
Заявки, оформленные и подписанные в установленном порядке, передаются администратором информационной безопасности в удостоверяющий центр. Удостоверяющий центр в срок, не превышающий пяти рабочих дней, изготавливает сертификаты ключей подписи.
Удостоверяющий центр, изготовивший сертификат ключа подписи, несет ответственность за соответствие сведений, указанных в сертификате ключа подписи, сведениям, указанным в заявке на изготовление сертификата ключа подписи и представленных удостоверяющих документах.
Администраторы информационной безопасности получают изготовленные сертификаты ключей подписи и заносят информацию о них в регистрационные карточки. В регистрационных карточках отражаются информация об уполномоченных лицах, наделенных правом ЭЦП, о типах ЭД, на которые распространяется право ЭЦП уполномоченных лиц абонентов системы, информация о сертификатах ключей подписи, основаниях их изготовления, дате начала действия ключа ЭЦП, датах его приостановления и отзыва. Регистрационные карточки заверяются администраторами информационной безопасности и уполномоченными лицами абонентов системы. Заверенные копии регистрационных карточек, изменения и дополнения к ним могут быть направлены другим абонентам системы, обратившимся с запросом о данной информации. Изготовленные сертификаты ЭЦП после заполнения регистрационной информации о них доводятся администраторами информационной безопасности до владельцев сертификатов ЭЦП.
Удостоверяющий центр обеспечивает формирование реестров изготовленных сертификатов ключей подписи и списков отозванных сертификатов. Администраторы информационной безопасности обеспечивают своевременную выборку изготовленных списков отозванных сертификатов, их регистрацию и последующее доведение до пользователей сертификатов ключей подписи.
Владельцы сертификатов ключей подписи несут персональную ответственность за безопасность собственных закрытых ключей ЭЦП и обязаны обеспечивать их сохранность, неразглашение и нераспространение во время использования и хранения.
Рабочий и резервный комплекты ключей ЭЦП хранятся отдельно. В случае хранения закрытых ключей ЭЦП в шкафах (хранилищах, сейфах), доступ к которым имеют иные лица, закрытые ключи ЭЦП хранятся (сдаются на хранение) в отдельных упаковках, опечатанных владельцем сертификата ключа подписи.
Дата ввода сертификата ключа подписи в обращение указывается в заявке на изготовление сертификата ключа подписи. Дата в заявке определяется администратором информационной безопасности абонента системы с учетом даты вывода из обращения ранее использованного сертификата ключа подписи и иных влияющих на дату начала использования сертификата ключа подписи обстоятельств.
Владелец сертификата ключа подписи получает право использования соответствующего закрытого ключа ЭЦП для заверения ЭД с момента регистрации сертификата администратором информационной безопасности, но не ранее даты начала действия ключа ЭЦП, указанной в сертификате ключа подписи.
После окончания срока действия сертификата ключа подписи удостоверяющий центр обеспечивает занесение вышеуказанного сертификата в список отозванных сертификатов.
Не позднее двух недель до окончания срока действия сертификата ключа подписи его владелец обязан уведомить об этом администратора информационной безопасности, который далее производит процедуру заявки на изготовление нового сертификата ключа подписи.
После окончания срока действия сертификата ключа подписи его владелец прекращает использование соответствующих закрытых ключей ЭЦП и в трехдневный срок сдает их администратору информационной безопасности. Администратор информационной безопасности в установленном порядке производит их уничтожение.
Администратор информационной безопасности организует и обеспечивает хранение сертификатов ключей подписи в течение срока хранения ЭД, заверенных соответствующей ЭЦП.
Администратор информационной безопасности организует и контролирует порядок обращения с ключами ЭЦП операторов и администратора АРМ обмена ЭД, а также владельцев сертификатов ключей подписи.
III. Компрометация ключевой информации
При подозрении на компрометацию рабочего комплекта закрытых ключей ЭЦП владелец соответствующего сертификата ключа подписи немедленно прекращает использование соответствующего закрытого ключа ЭЦП и незамедлительно сообщает об этом администратору информационной безопасности.
При обнаружении обстоятельств, свидетельствующих о факте компрометации, администратор информационной безопасности абонента системы незамедлительно извещает о компрометации ключей ЭЦП удостоверяющий центр и других абонентов системы и не позднее двух следующих рабочих дней направляет письменное уведомление в удостоверяющий центр.
Удостоверяющий центр обеспечивает немедленное занесение соответствующего сертификата ключа подписи в список отозванных сертификатов.
Администратор информационной безопасности абонента системы, получивший извещение о компрометации, незамедлительно информирует пользователей соответствующего сертификата ключа подписи и совместно с ними обеспечивает приостановку обработки ЭД, полученных после извещения и заверенных ЭЦП, соответствующей скомпрометированному ключу ЭЦП.
После подтверждения факта компрометации заверение ЭД ЭЦП владельцем соответствующего сертификата ключа подписи производится с помощью закрытых ключей резервного комплекта. Также владельцем сертификата ключа подписи осуществляется формирование дополнительного комплекта ключей ЭЦП и инициируется процедура изготовления и регистрации нового сертификата ключа подписи.
В зависимости от обстоятельств компрометации руководителем абонента системы может быть назначено служебное расследование с включением в комиссию представителей удостоверяющего центра.
IV. Защита информации при обработке электронных документов
Формирование, подготовка, обработка, хранение ЭД, заверение ЭД ЭЦП, проверка подлинности ЭЦП ЭД должны производиться на специально подготовленных рабочих местах уполномоченных лиц абонентов системы, оборудованных необходимыми программно-техническими средствами, в том числе средствами ЭЦП и средствами защиты информации от несанкционированного доступа.
Установленные на соответствующих рабочих местах средства защиты информации от несанкционированного доступа должны обеспечивать пятый или выше класс защищенности средств вычислительной техники от несанкционированного доступа в соответствии с требованиями законодательства Российской Федерации.
Администратор информационной безопасности ведет паспорта указанных рабочих мест, в которых отражается состав их аппаратной части и программного обеспечения. Администратор информационной безопасности производит контроль за проведением профилактических и ремонтных работ указанных рабочих мест с целью выявления и предупреждения неконтролируемого изменения их аппаратной части и программного обеспечения.
Доступ к указанным рабочим местам ограничивается уполномоченными лицами абонентов системы и администратором информационной безопасности.
V. Защита информации при приеме/передаче электронных документов
Прием/передача ЭД, проверка подлинности ЭЦП входящих ЭД и их предварительная обработка и учет, последующая обработка и учет исходящих ЭД, заверение их ЭЦП осуществляются на специально подготовленном рабочем месте – АРМ обмена ЭД, оборудованном необходимыми программно-техническими средствами, в том числе средствами защиты информации и средствами телекоммуникаций, и имеющем подключение к необходимым сетям связи.
Для выполнения указанных выше функций организацией назначаются операторы АРМ обмена ЭД, обеспечивающие непосредственную эксплуатацию средств АРМ обмена ЭД.
Требования к средствам защиты информации АРМ обмена ЭД, учету и контролю его аппаратной части и программного обеспечения, допуску к нему аналогичны требованиям для рабочих мест уполномоченных лиц по работе с ЭЦП.
Доступ посторонних лиц в помещения, в которых размещены средства криптографической защиты информации, средства телекоммуникаций, а также средства АРМ обмена ЭД, должен быть ограничен.
VI. Контроль за соблюдением требований по защите информации
Контроль за соблюдением требований по защите информации возлагается на руководителей абонентов системы.
|
