Правила электронного документооборота в системе электронного документооборота Федерального казначейства 1




Скачать 308.16 Kb.
НазваниеПравила электронного документооборота в системе электронного документооборота Федерального казначейства 1
страница2/3
Дата27.01.2013
Размер308.16 Kb.
ТипДокументы
1   2   3

4. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

4.1 Общие требования обеспечения защиты информации в СЭДФК

4.1.1 В случае обмена конфиденциальной информацией Участник должен выполнять требования «Инструкции об организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащих сведений, составляющих государственную тайну», утвержденной приказом Федерального агентства правительственной связи и информации (ФАПСИ) при Президенте Российской Федерации от 13.06.2001 № 152 (далее – Инструкция № 152).

4.1.2. Учет СКЗИ, полученных от Организатора, а также изготовленных ключей шифрования и ЭЦП осуществляет администратор АРМ Участника в Журнале поэкземплярного учета СКЗИ (приложение №2 к Инструкции №152).

4.2 Управление ключевой информацией

4.2.1 Управление ключевой информацией осуществляют администраторы безопасности информации, уполномоченные лица УУЦ и администраторы АРМ Участника.

4.2.2 Ключевая информация содержит сведения конфиденциального характера, хранится на учтенных в установленном порядке носителях ключевой информации и не подлежит передаче третьим лицам.

4.2.3 Носители ключевой информации относятся к материальным носителям, содержащим информацию ограниченного распространения. При обращении с ними должны выполняться требования Инструкции № 152, иных документов, регламентирующих порядок обращения с информацией ограниченного распространения в федеральных органах исполнительной власти, и настоящих Правил.

4.2.4 Учет носителей ключевой информации осуществляют администраторы безопасности информации и администраторы АРМ Участника по соответствующим учетным формам (п.4.1.2).

4.2.5 Требования по организации хранения и использования носителей ключевой информации.

4.2.5.1 Порядок хранения и использования носителей ключевой информации должен исключать возможность несанкционированного доступа к ним.

4.2.5.2 Во время работы с носителями ключевой информации доступ к ним посторонних лиц должен быть исключен.

4.2.5.3 Не разрешается:

  • производить несанкционированное копирование носителей ключевой информации;

  • знакомить или передавать носители ключевой информации лицам, к ним не допущенным;

  • выводить закрытые ключи подписи на дисплей или принтер;

  • вставлять носитель ключевой информации в считывающее устройство других компьютеров;

  • оставлять носитель ключевой информации без присмотра на рабочем месте;

  • записывать на носитель ключевой информации посторонние файлы.

4.2.6 Порядок работы с ключами аутентификации для организации шифрованной связи (при использовании аппаратно-программного комплекса шифрования (далее – АПКШ) «Континент»).

4.2.6.1 Формирование комплекта ключей аутентификации и запроса на получение сертификата открытого ключа аутентификации осуществляется администратором АРМ Участника с последующей передачей запроса администратору безопасности информации любым доступным способом (администратор безопасности информации может формировать ключи аутентификации, соответствующий запрос и сертификат только для обеспечения проверки подключения АРМ Участника и проведения тестового обмена ЭД с Участником по защищенным каналам связи).

4.2.6.2 Мероприятия по обеспечению удаленного защищенного доступа к информационным ресурсам Организатора и выпуску сертификата открытого ключа аутентификации осуществляется администратором безопасности информации в соответствии с эксплуатационной документацией на СКЗИ.

4.2.6.3 Передача сертификата открытого ключа аутентификации администратору АРМ Участника или представителю Участника, действующего на основании доверенности, осуществляется под роспись в журнале учета сертификатов. Срок действия ключа аутентификации и соответствующего сертификата – один год.

4.2.6.4 За две недели до окончания срока действия ключей аутентификации администратор АРМ Участника осуществляет формирование нового комплекта ключей и соответствующего запроса на получение сертификата открытого ключа аутентификации, который направляет администратору безопасности информации.

В течение 10 дней после окончания срока действия ключи шифрования уничтожаются владельцем с отметкой в журнале учета СКЗИ. Об уничтожении ключей владелец уведомляет (по телефону, факсу или другим способом) РЦР. Ежегодно не позднее 01 февраля Участник направляет в РЦР письменный отчет об уничтоженных за прошедший год ключах шифрования.

4.2.6.5 О всех случаях компрометации закрытых ключей аутентификации администратор АРМ Участника извещает администратора безопасности информации. В этом случае формируется новый комплект ключей аутентификации в соответствии с п. 4.2.6.1.

4.2.7 Порядок работы с ключами подписи.

4.2.7.1 Формирование открытого и закрытого ключей подписи и соответствующей заявки на получение Сертификата должно осуществляться  уполномоченными лицами Участника.

4.2.7.2 В случае работы в СЭДФК без использования АПКШ «Континент», ключи подписи администратора АРМ Участника используются для шифрования/расшифрования данных.

4.2.7.3 Запрос на издание Сертификата Пользователя в электронном виде передается на утверждение в соответствующий РЦР.

4.2.7.4 Заявки, оформленные и подписанные в установленном порядке, сопровождающиеся заверенными копиями приказов, подтверждающими права уполномоченных лиц на подпись документов, направляются в соответствующий РЦР, который в срок, не превышающий 3 рабочих дня с момента подачи Заявки и при наличии соответствующего запроса на издание Сертификата, обеспечивает издание УУЦ Сертификата.

4.2.7.5 Ответственность за соответствие сведений, указанных в Сертификате, сведениям, указанным в Заявке и в представленных для регистрации сопровождающих документах уполномоченных лиц Участника, несет РЦР, утвердивший запрос на издание Сертификата.

4.2.7.6 Пользователи Участника получают изданные УУЦ Сертификаты в установленном порядке.

4.2.7.7 Владельцы Сертификатов несут персональную ответственность за безопасность (сохранение в тайне) своих закрытых ключей подписи и обязаны обеспечивать их сохранность, неразглашение и нераспространение.

4.2.7.8 Срок действия Сертификата указывается в Сертификате. Владелец Сертификата получает право использования соответствующего закрытого ключа подписи для подписи ЭД в течении срока действия Сертификата.

4.2.7.9 Сертификат пользователя Участника доступен всем участникам СЭДФК после опубликования его в справочнике сертификатов ключей подписи УУЦ.

4.2.7.10 Срок действия открытого и закрытого ключей подписи и соответствующих Сертификатов – один год.

4.2.7.11 За 10 рабочих дней до окончания срока действия Сертификата его владелец обязан выполнить формирование новых открытого и закрытого ключей подписи, соответствующего запроса на издание Сертификата и оформить заявку на получение нового Сертификата.

4.2.7.12 После окончания срока действия Сертификата его владелец теряет право использования закрытого ключа подписи, соответствующего отзываемому Сертификату и в течение 10 дней уничтожает указанный закрытый ключ подписи, о чем уведомляет РЦР.

4.2.7.13 УУЦ обеспечивает хранение Сертификатов в течение срока хранения ЭД.

4.2.8 Все работы, связанные с управлением списком отозванных сертификатов и поддержанием его в актуальном состоянии, обеспечиваются УУЦ.

4.3 Порядок действий при компрометации закрытых ключей подписи или аутентификации

4.3.1 К событиям, связанным с компрометацией закрытых ключей подписи или аутентификации, относятся хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых закрытые ключи подписи или аутентификации могли стать доступными неуполномоченным лицам и (или) процессам.

4.3.2 При компрометации закрытого ключа подписи владелец соответствующего ему Сертификата немедленно прекращает его использование и незамедлительно сообщает об этом в соответствующий РЦР. При компрометации закрытого ключа аутентификации уполномоченное лицо Участника немедленно прекращает его использование и незамедлительно сообщает об этом администратору АРМ Участника, а тот, в свою очередь, - администратору безопасности информации.

4.3.3 После получения от владельца Сертификата Участника сообщения о компрометации закрытого ключа подписи или аутентификации уполномоченное лицо УУЦ или администратор безопасности информации проверяет достоверность полученного сообщения. В случае подтверждения полученной информации, инициируется процедура отзыва или приостановления действия соответствующего Сертификата.

4.3.4 Дата и время, с которой Сертификат считается недействительным в СЭДФК, устанавливается равной дате и времени отзыва или приостановления действия Сертификата, указанного в списке отозванных сертификатов.

4.3.5 Уведомление о компрометации закрытых ключей подписи или аутентификации должно быть подтверждено официальным уведомлением Участника о компрометации в письменном виде. Уведомление должно содержать идентификационные параметры Сертификата. В случае непредставления уведомления, Администратор безопасности информации вправе отказать в выдаче нового Сертификата.

4.3.6 Использовать скомпрометированные закрытые ключи подписи для подписи ЭД и закрытые ключи аутентификации для организации защищенного канала связи запрещается. При получении ЭД, подписанного скомпрометированным закрытым ключом подписи, данный ЭД считается недействительным, о чем получатель обязан отправить уведомление отправителю с указанием причины отказа исполнения документа.

4.3.7 В случае компрометации закрытого ключа и отзыва соответствующего Сертификата с публикацией в списке отозванных сертификатов, Участник установленным порядком изготавливает новые открытый и закрытый ключи подписи (аутентификации).

4.3.8 Сертификат, соответствующий скомпрометированному закрытому ключу, хранится в установленном порядке в УУЦ для проведения (в случае необходимости) разбора конфликтных ситуаций, связанных с применением ЭЦП.

4.4 Отзыв сертификата ключа подписи

4.4.1 УУЦ отзывает Сертификат Участника в следующих случаях:

  • в случае компрометации;

  • в случае прекращения действия Договора в отношении данного Участника;

  • по заявлению в письменном виде владельца Сертификата, заверенному Участником, по установленной Организатором форме.

4.4.2 В случае отзыва или приостановления действия Сертификата пользователя Участника УУЦ обеспечивает публикацию списка отозванных сертификатов с указанием серийного номера Сертификата, даты, времени и причины аннулирования. Дата и время, с которых Сертификат считается недействительным в СЭДФК, устанавливается равной дате и времени отзыва или приостановления действия Сертификата, указанных в списке отозванных сертификатов.


5. ПОРЯДОК РАЗРЕШЕНИЯ КОНФЛИКТНЫХ СИТУАЦИЙ И СПОРОВ

В СВЯЗИ С ОСУЩЕСТВЛЕНИЕМ ЭДО

5.1 Возникновение конфликтных ситуаций в связи с осуществлением ЭДО в СЭДФК

5.1.1 В связи с осуществлением ЭДО возможно возникновение конфликтных ситуаций, связанных с формированием, доставкой, получением, подтверждением получения ЭД, а также использования в данных документах ЭЦП. Данные конфликтные ситуации могут возникать, в частности, в следующих случаях:

  • оспаривание факта отправления и/или получения ЭД;

  • оспаривание времени отправления и/или получения ЭД;

  • оспаривание содержания отправленного/полученного ЭД;

  • оспаривание подлинности экземпляров ЭД;

  • оспаривание целостности ЭД;

  • оспаривание идентичности лица, заверившего ЭД ЭЦП;

  • оспаривание полномочий лица, заверившего ЭД ЭЦП;

5.1.2 Конфликтные ситуации разрешаются (урегулируются) Сторонами в рабочем порядке и/или по итогам работы комиссии по разрешению конфликтной ситуации (далее - Комиссия).

5.1.3 В случае невозможности разрешения конфликтной ситуации в рабочем порядке и/или по итогам работы Комиссии, Стороны разрешают конфликтную ситуацию в претензионном порядке, либо направляют имеющиеся разногласия на рассмотрение вышестоящих органов, либо суда в порядке, установленном законодательством Российской Федерации.

5.2 Уведомление о конфликтной ситуации

5.2.1 В случае возникновения обстоятельств, свидетельствующих, по мнению одной из Сторон, о возникновении и/или наличии конфликтной ситуации, данная Сторона (далее – Сторона-инициатор) незамедлительно извещает другую заинтересованную Сторону о возможном возникновении и/или наличии конфликтной ситуации, обстоятельствах, свидетельствующих о ее возникновении или наличии, а также ее предполагаемых причинах.

5.2.2 Стороны, которым было направлено извещение о конфликтной ситуации и участвующие в ее разрешении (далее – Стороны-ответчики), обязаны не позднее чем в течение следующего рабочего дня проверить наличие указанных в извещении обстоятельств, и по необходимости принять меры по разрешению конфликтной ситуации со своей стороны.

5.2.3 В тот же срок Стороны-ответчики извещают доступными способами Сторону-инициатора о результатах проверки и, при необходимости, о мерах, принятых для разрешения конфликтной ситуации.

5.3 Разрешение конфликтной ситуации в рабочем порядке

5.3.1 Конфликтная ситуация признается разрешенной в рабочем порядке в случае, если Сторона-инициатор удовлетворена информацией, полученной в извещениях Сторон-ответчиков, и не имеет к ним претензий в связи с конфликтной ситуацией.

5.3.2 В случае если Сторона – инициатор не удовлетворена информацией, полученной от Сторон – ответчиков, для рассмотрения конфликтной ситуации формируется Комиссия.

5.4 Формирование Комиссии по разрешению конфликтной ситуации

5.4.1 В случае, если конфликтная ситуация не была разрешена в рабочем порядке, Сторона-инициатор, должна не позднее чем в течение трех рабочих дней после возникновения конфликтной ситуации, направить уведомление о конфликтной ситуации (далее - Уведомление) и предложение о создании комиссии по разрешению конфликтной ситуации (далее - Предложение) Стороне-ответчику.

5.4.2 Уведомление должно содержать информацию о предмете и существе конфликтной ситуации, обстоятельствах, по мнению Стороны-инициатора, свидетельствующих о наличии конфликтной ситуации, возможных причинах и последствиях ее возникновения.

5.4.3 Уведомление должно содержать информацию с указанием фамилий, имен, отчеств, должностей и контактной информации должностных лиц Стороны-инициатора, уполномоченных в разрешении конфликтной ситуации.

5.4.4 Предложение должно содержать информацию о предлагаемом месте, дате и времени сбора комиссии, но не позднее трех рабочих дней со дня отправления Предложения, список предлагаемых для участия в работе Комиссии представителей Стороны-инициатора с указанием фамилий, имен, отчеств, должностей, при необходимости исполняемых при обмене электронными документами функциональных ролей (администратор, администратор безопасности и т.п.), их контактной информации (телефон, факс, электронная почта).

5.4.5 Уведомление и Предложение составляются на бумажном носителе, подписываются должностными лицами Стороны-инициатора, уполномоченными в разрешении конфликтной ситуации и передаются Стороне-ответчику в установленном порядке, обеспечивающим подтверждение вручения корреспонденции.

5.4.6 Уведомление и Предложение могут быть составлены и направлены в форме ЭД. При этом факт их доставки должен быть подтвержден.

5.5 Формирование комиссии по разрешению конфликтной ситуации, ее состав

5.5.1 Не позднее, чем на третий рабочий день после получения Предложения Сторонами, участвующими в разрешении конфликтной ситуации, должна быть сформирована Комиссия.

5.5.2 Комиссия формируется на основании совместного приказа Сторон. Приказ устанавливает состав Комиссии, время и место ее работы.

5.5.3 Устанавливается тридцатидневный срок работы Комиссии. В исключительных случаях срок работы Комиссии по согласованию Сторон может быть дополнительно продлен не более чем на тридцать дней.

5.5.4 Если Стороны не договорятся об ином, в состав Комиссии входит равное количество уполномоченных лиц каждой из Сторон, участвующих в разрешении конфликтной ситуации.

5.5.5 В состав Комиссии назначаются представители служб информационно-технического обеспечения и служб обеспечения информационной безопасности, а также представители подразделений-исполнителей ЭД.

5.5.6 В состав Комиссии могут быть включены представители юридических служб Сторон, представители органов, осуществляющих государственное регулирование и контроль соответствующих видов деятельности.

5.5.7 Независимо от соглашения Сторон в состав Комиссии должен входить хотя бы один уполномоченный представитель УУЦ или РЦР.

5.5.8 По инициативе любой из Сторон к работе Комиссии для проведения технической экспертизы могут привлекаться независимые эксперты, в том числе представители поставщиков средств защиты информации. При этом Сторона, привлекающая независимых экспертов, самостоятельно решает вопрос об оплате экспертных услуг.

5.5.9 Лица, входящие в состав Комиссии должны обладать необходимыми знаниями и опытом работы в области подготовки и исполнения электронных документов, построения и функционирования СЭДФК, организации и обеспечения информационной безопасности при обмене ЭД, должны иметь соответствующий допуск к необходимым для проведения работы Комиссии документальным материалам и программно-техническим средствам.

5.5.10 При участии в Комиссии представителей сторонних органов и организаций их право представлять соответствующие органы и организации должно подтверждаться официальным документом (доверенностью, предписанием, копией приказа или распоряжения).

1   2   3

Разместите кнопку на своём сайте:
Рефераты


База данных защищена авторским правом ©referat.znate.ru 2014
обратиться к администрации
Школьные рефераты
Главная страница