Инструкция по обеспечению защиты

конфиденциальной информации для пользователей системы обмена юридически значимыми документами в электронном виде по телекоммуникационным каналам связи «Отчётность».

В системе обмена юридически значимыми документами по телекоммуникационным каналам связи для передачи сообщений между Абонентами используется открытая телекоммуникационная сеть – Интернет. Доступ к данным, проходящим через Интернет, не может быть физически ограничен.

С другой стороны, информация, которой обмениваются Абоненты, является конфиденциальной, составляет налоговую или коммерческую тайну. Таким образом, остро встает вопрос защиты этой информации от несанкционированного доступа (НСД) третьих лиц.

Эта задача решается путем применения средств криптографической защиты информации (СКЗИ) или, проще говоря, посредством шифрования передаваемых сведений. Шифрование данных должно быть таким, чтобы злоумышленник, получивший доступ к зашифрованным сведениям, не смог бы раскрыть их, не зная секретного ключа. Для комплексного решения задачи организации защищенного обмена юридически значимыми электронными документами между Абонентами Системы «Отчётность» разработан регламент обмена юридически значимыми документами в электронном виде по телекоммуникационным каналам связи, который обеспечивает высочайший уровень защиты информации от НСД, работая при этом в правовом поле России.

Помимо собственно шифрования информации, передаваемой по сети, регламент предусматривает также и решение задач аутентификации (установления подлинности) пользователя системы, невозможности компрометации одним пользователем другого (невозможности отправки отчета от имени другого пользователя), невозможности отказа от отправленного отчета, сверки времени подачи отчета. Регламент содержит положения о взаимном признании электронной цифровой подписи (ЭЦП), других аспектов регламента электронного документооборота. Регламент предусматривает шифрование данных по ГОСТ 28147-89, алгоритмы формирования и проверки ЭЦП реализованы в соответствии с требованиями ГОСТ Р 34.10-94 и ГОСТ Р 34.10-2001 с помощью сертифицированного ФАПСИ СКЗИ Крипто-Про CSP.

Регламент электронного документооборота накладывает определенные обязательства не только на СКЗИ и на защиту сервера Управления, но и  на пользователей системы. Для подключения организации к системе юридически значимого документооборота в электронном виде по телекоммуникационным каналам связи необходимо выполнить следующие организационные меры, направленные на внедрение регламента электронного документооборота:

  1. Приобрести программный продукт Крипто-Про CSP, который поставляется в специальной версии, настроенной для использования в системе юридически значимого документооборота в электронном виде по телекоммуникационным каналам связи «Отчётность».  
  2. Установить СКЗИ Крипто-Про CSP на рабочем месте, с которого будет производиться передача информации.

Для обеспечения защиты данных от НСД, согласно регламенту электронного документооборота на предприятии, подключенном к системе юридически значимого документооборота в электронном виде по телекоммуникационным каналам связи, должны соблюдаться следующие меры безопасности:

  1. Хранение сертификата аутентификации пользователя производится на дискете в сейфе или другом надежном хранилище.
  2. Пароль на вход в систему известен ограниченному количеству людей; хранение пароля на физических носителях не рекомендуется.
  3. Не допускается хранение пароля и сертификата в одном месте.
  4. Дискета с сертификатом пользователя извлекается из сейфа или хранилища только на время работы в системе.
  5. Ограниченное количество постоянных сотрудников имеет доступ к паролю и сертификату, обучено работе в системе. Для них желательно иметь должностную инструкцию и вести журнал учета выдачи дискеты с сертификатом.
  6. При утере или хищении пароля или сертификата аутентификации пользователя, утечке информации о них немедленно ставится в известность Управление и Специализированный Оператор Связи. Инициируется предусмотренный регламентом процесс блокирования и внештатной смены сертификата и пароля.
  7. Штатная смена сертификата и пароля (без личного визита, по каналу связи, защищенному старым сертификатом и паролем) производится не реже одного раза в год.