Geum.ru

Инструкция по организации деятельности главных распорядителей, распорядителей и получателей средств областного бюджета, бюджетных учреждений Самарской

Вид материалаИнструкция

Содержание


Общие положения
Перечень, порядок назначения и обязанности ответственных должностных лиц
2.2. Порядок назначения должностных лиц.
2.3. Обязанности должностных лиц
Ответственный сотрудник за хранение Средств ЭЦП обязан
Порядок хранения средств ЭЦП
Порядок использования средств ЭЦП
Организация безопасности рабочего места с установленной АС
ПОДПИСИ сторон
Форма журнала
Форма журнала
Подобный материал:
Приложение 1

к договору об организации юридически

значимого электронного документооборота в системе

казначейского исполнения областного бюджета

министерства управления финансами Самарской области


Типовая форма приказа о назначении уполномоченных лиц


В связи с необходимостью применения сертифицированных средств криптографической защиты информации (далее – СКЗИ) в рамках системы электронного документооборота АС Бюджет – УРМ АС Бюджет с министерством управления финансами Самарской области

ПРИКАЗЫВАЮ:

  1. Назначить _______________ пользователем электронной цифровой подписи (ЭЦП);
  2. Назначить _______________ резервным пользователем ЭЦП;
  3. Назначить _______________ ответственным за хранение Средств ЭЦП;
  4. Разрешить доступ в комнату с СКЗИ:
  1. ____________________;
  2. ____________________;

  1. Пользователю ЭЦП, резервному пользователю ЭЦП и ответственному за хранение Средств ЭЦП строго соблюдать утвержденную инструкцию.
  2. Контроль за исполнением приказа и общую организацию работ по безопасному функционированию СКЗИ на _____________ (наименование предприятия) и передачу СКЗИ возложить на __________________.



Руководитель _______________ И.О. Фамилия

подпись

Приложение 2

к договору №____ от ______________

об организации юридически значимого

электронного документооборота в системе

казначейского исполнения областного бюджета

министерства управления финансами Самарской области


Инструкция

по организации деятельности главных распорядителей, распорядителей и получателей средств областного бюджета, бюджетных учреждений Самарской области и автономных учреждений Самарской области при передаче электронных платежных документов, подписанных электронной цифровой подписью

  1. Общие положения


Настоящая инструкция разработана в соответствии с Федеральным законом от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи», Приказом ФАПСИ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», особенностями функционирования автоматизированной системы (далее – АС) и определяет:
  • перечень ответственных должностных лиц и процедуру их назначения;
  • обязанности ответственных должностных лиц;
  • порядок хранения Средств электронной цифровой подписи (далее – ЭЦП);
  • порядок использования Средств ЭЦП в АС;
  • организацию безопасности рабочих мест ответственных должностных лиц,

строгое выполнение которых необходимо для обеспечения защиты информации при обмене электронными документами.

Криптографические методы защиты позволяют обеспечить защиту целостности и авторства электронной информации применением ЭЦП.

Не­возможность ввода информации от чужого имени (невозможность подделки ЭЦП) гаран­тируется при сохранении в тайне закрытого ключа ЭЦП пользователей.

Носители ключевой информации относятся к материальным носителям, содержащим информацию ограниченного распространения. При обращении с ними должны выполняться требования документов, регламентирующих порядок обращения с информацией ограниченного распространения в федеральных органах исполнительной власти, и настоящей инструкции.

Инструкция предназначена для организаций – главных распорядителей, распорядителей и получателей средств областного бюджета, бюджетных учреждений Самарской области и автономных учреждений Самарской области.

Настоящая инструкция является обязательной для исполнения руководителем и назначенными должностными лицами организаций.

  1. Перечень, порядок назначения и обязанности ответственных должностных лиц

2.1. Перечень должностных лиц (утверждается приказом (распоряжением)).


При передаче Подведомственной организацией платежных документов необходимо назначить следующих ответственных лиц:
  • сотрудник, уполномоченный формировать ЭЦП под электронным документом;
  • ответственный сотрудник за хранение Средств ЭЦП.

Для обеспечения бесперебойной работы назначаются два сотрудника, уполномоченных формировать ЭЦП под электронным документом.

Приказом определяется список лиц, имеющих право доступа в помещение с АС.

2.2. Порядок назначения должностных лиц.


Должностные лица, указанные в пункте 2.1. настоящей инструкции назначаются и освобождаются от обязанностей приказом руководителя.

Должностные лица назначаются из числа штатных сотрудников Пользователя КИС.

2.3. Обязанности должностных лиц


Сотрудник, уполномоченный формировать ЭЦП под электронным документом, обязан:
  • не разглашать конфиденциальную информацию, к которой они допущены, рубежи ее защиты, в том числе пароли и сведения о ключах ЭЦП;
    • соблюдать требования данной Инструкции к обеспечению безопасности конфиденциальной информации;
  • сообщать руководству о ставших ему известными попытках посторонних лиц получить сведения конфиденциального характера;
  • передать Средства ЭЦП, эксплуатационную документацию вновь назначаемому уполномоченному или руководителю организации при увольнении или освобождении от исполнения обязанностей сотрудника, уполномоченного формировать ЭЦП под электронным документом;
  • немедленно уведомлять администратора безопасности и Удостоверяющий центр о фактах утраты закрытого ключа ЭЦП, умышленного или неумышленного повреждения АС и Средств ЭЦП, которые могут привести к разглашению защищаемых сведений конфиденциального характера, а также о причинах и условиях возможной утечки таких сведений;
  • не нарушать процедуру подписания и отправления электронного платежного документа, подписанного ЭЦП, описанную в разделе 4 настоящей инструкции;
  • сдавать на хранение ключевой документ с закрытым ключом ЭЦП, всякий раз, когда в его использовании нет необходимости, а также в конце рабочего дня, в порядке, установленном настоящей инструкцией;
  • неукоснительно соблюдать все положения настоящей инструкции.

Лица, допущенные к работам с ключами ЭЦП, несут персональную ответственность за безопасность (сохранение в тайне) закрытых ключей подписи и обязаны обеспечивать их сохранность, неразглашение и нераспространение, а также несут персональную ответственность за нарушение требований настоящей инструкции.

Ответственный сотрудник за хранение Средств ЭЦП обязан:
  • не разглашать конфиденциальную информацию, к которой они допущены, рубежи ее защиты, в том числе пароли и сведения о ключах ЭЦП;
  • соблюдать требования настоящей Инструкции к обеспечению безопасности конфиденциальной информации;
  • сообщать руководству о ставших ему известными попытках посторонних лиц получить сведения конфиденциального характера;
  • обеспечить хранение, выдачу и учет Средств ЭЦП в порядке, установленном настоящей инструкцией;
  • выдавать ключевые носители с записанными на них закрытыми ключами ЭЦП исключительно сотрудникам, уполномоченным формировать ЭЦП под электронным документом;
  • немедленно уведомлять руководство и администратора безопасности о фактах недостачи Средств ЭЦП;
  • неукоснительно соблюдать все положения настоящей инструкции.

  1. Порядок хранения средств ЭЦП



Все полученные (закупленные) средства ЭЦП хранятся непосредственно в Подведомственной организации.

Хранение ключевых носителей допускается в помещениях, которые имеют прочные входные двери с установленными на них надеж­ными замками (степень прочности и надежности определяется экспертным путем).

Хранить ключевые документы ЭЦП следует в металлическом хранилище (сейф, шкаф, секция) заводского изготовления, оборудованном при­способлением для его опечатывания;

Ключи от сейфа хранить в месте, обеспечивающем возможность постоянного контроля. В случае наличия кодового замка, предотвращать разглашение кода.

Дубликат ключей от сейфа находится в опечатанном конверте у назначенного приказом сотрудника.

Носители ключевой информации должны быть взяты на поэкземплярный учет, ответственным сотрудником за хранение средств ЭЦП, отметка учета должна проставляться в специальном журнале (приложение №1 к Инструкции);

Всякий раз, когда необходимо использовать средства ЭЦП, в частности ключевой носитель с закрытым ключом ЭЦП, сотрудник, уполномоченный формировать ЭЦП под электронным документом, принимает ключевой носитель под роспись в журнале приема и выдачи ключевых документов (приложение №2 к Инструкции).

После использования ключевого носителя сотрудник, ответственный за хранение средств ЭЦП принимает ключевой носитель под роспись, делая пометку в журнале приема/выдачи ключевых документов.

Хранение ключевых носителей допускается в одном хранилище с другими доку­ментами и ключевыми носителями, при этом отдельно от них и в упаковке, исключающей возможность негласного доступа к ним. Для этого ключевые носители могут помещаться в специальный контейнер, опечатываемый личной металлической печатью владельца (пользователя).

  1. Порядок использования средств ЭЦП



Средства ЭЦП используются исключительно для формирования ЭЦП под электронным документом в электронном документообороте, реализованном средствами АС.

Использование Средств ЭЦП при других организационно-правовых или финансовых отношениях строго запрещено.

Не позднее, чем за 14 дней до окончания срока действия закрытого ключа, его владелец обязан направить соответствующий запрос на издание нового сертификата.

Транспортирование ключевых носителей за пределы организации допускается только в случаях, связанных с производственной необходимостью. Транспортирование ключевых носителей должно осуществляться способом, исключающим их утрату, подмену или порчу.

Подсоединять ключевой документ к компьютеру необходимо только во время подписания электронных документов, не используемый ключ ЭЦП убирать в специализированное хранилище во избежание случайного повреждения, хищения или несанкционированного использования.


Процедура отправки и подписи электронного документа ЭЦП, осуществляется следующим образом:
  • документ, предварительно сформированный средствами АС, распечатывается на бумажном носителе в одном экземпляре. На распечатанном документе ставятся подписи ответственных лиц, и ставится печать Подведомственной организации;
  • документ на бумажном носителе, подписанный ответственными лицами и заверенный печатью передается сотруднику, уполномоченному формировать ЭЦП под электронным документом, и является основанием для отправки электронного документа подписанного ЭЦП;
  • сотрудник, уполномоченный формировать ЭЦП под электронным документом, удостоверяется в подлинности подписей и печати, поставленных на документе;
  • сотрудник, уполномоченный формировать ЭЦП под электронным документом, в обязательном порядке, в случае установки АС в сетевой конфигурации, обязан обеспечить прекращение работы АС на всех рабочих местах, кроме рабочего места, с которого будет осуществляться отправка документов и их подпись ЭЦП;
  • для отправки сотрудник, уполномоченный формировать ЭЦП под электронным документом, получает под роспись ключевой документ (носитель), и присоединяет к соответствующему порту (floppy – дисководу, smart, usb), находящемуся на системном блоке и производит отправку документа средствами АС;
  • после отправления документа необходимо извлечь ключевой документ из порта и убрать его в место хранения;
  • сдать ключевой носитель ответственному за хранение Средств ЭЦП;
  • в случае правильного выполнения всего алгоритма данного раздела настоящей инструкции, и в случае отсутствия ошибок, выданных АС, документ считается отправленным верно.

Право доступа к рабочим местам с установленным программным обеспечением средств ЭЦП предоставляется только тем лицам, которым по приказу предоставлены полномочия на эксплуатацию этих средств.

Уничтожение (стирание) и выдачу ключей ЭЦП производит Удостоверяющий центр.

  1. Организация безопасности рабочего места с установленной АС



Системный блок рабочей станции должен быть опломбирован или опечатан. Наряду с этим допускается применение других средств контроля их вскрытия.

Пользователь ЭЦП должен вести контроль сохранности входящего в состав СКЗИ оборудования, в частности ключевого носителя, а также всего используемого программного обеспечения для предотвращения внесения программно-аппаратных закладок и программ-вирусов.

В случае обнаружения установленных вредоносных программ, либо выявления факта повреждения ключевого документа или части средств СКЗИ работа рабочей станции должна быть прекращена. По данному факту должно быть проведено служебное расследование и организованы работы по выявлению программно-аппаратных закладок, программ-вирусов и других вредоносных программных и аппаратных объектов.

Рабочая станция, с установленной АС и средствами ЭЦП, размещается так, чтобы доступ к ней был ограничен кругом лиц, имеющих право формировать ЭЦП под электронным документом и лиц, установленных соответствующим приказом руководителя.

В качестве ключевых носителей должны использоваться только съемные аппаратные устройства.

На технических средствах, оснащенных средствами ЭЦП, должно использоваться только лицензионное программное обеспечение.

Должны быть приняты меры по исключению несанкционированного доступа посторонних лиц в помещения, в которых установлены технические средства ЭЦП.

Запрещается оставлять без контроля вычислительные средства, на которых эксплуатируется ЭЦП после ввода ключевой информации. При отсутствии пользователя ЭЦП, на рабочем месте должно использоваться автоматическое включение парольной заставки.

Пароли для входа в операционную систему и для аутентификации на сервере должны храниться в тайне, и меняться не реже одного раза в шесть месяцев (либо согласно Инструкции по организации парольной защиты утвержденной в Подведомственной организации).

В случае необходимости замены сотрудника, уполномоченного формировать ЭЦП под электронным документом, оповестить об этом ответственного сотрудника Организатора КИС.

При эксплуатации средств ЭЦП не допускается:
  • осуществлять несанкционированное копирование ключевых носителей;
  • передача ключевых носителей лицам, к ним не допущенным;
  • использовать ключевые носители в режимах, не предусмотренных правилами пользования, либо использовать ключевые носители на посторонних ПЭВМ;
  • изменять содержимое ключевого носителя;
  • выводить закрытые ключи на дисплей, принтер или другие внешние устройства отображения информации;
  • оставлять без контроля ключевой носитель.

Пользователю ЭЦП необходимо строго соблюдать настоящую инструкцию.

ПОДПИСИ сторон


Организатор КИС
Подведомственная организация

Министерство управления финансами Самарской области



Консультант управления автоматизации бюджетного процесса департамента исполнения областного бюджета и отчетности министерства управления финансами Самарской области


______________________ С.А.Варламов


______________________

«_____»____________________20___ год М.П.
«_____»____________________20___ год М.П.



Приложение 1 к Инструкции

по организации деятельности главных распорядителей, распорядителей и получателей

средств областного бюджета, бюджетных учреждений Самарской области

и автономных учреждений Самарской области при передаче

электронных платежных документов, подписанных электронной цифровой подписью


ФОРМА ЖУРНАЛА

ПОЭКЗЕМПЛЯРНОГО УЧЕТА КЛЮЧЕВЫХ ДОКУМЕНТОВ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ

«ПОДВЕДОМСТВЕННОЙ ОРГАНИЗАЦИИ»


№ п/п
Наименование ключевых документов

Серийные номера ключевых документов

Номера экземпляров (криптографические номера) ключевых документов

Отметка о получении
Отметка о выдаче
Отметка о подключении
(установке СКЗИ)
Отметка об изъятии СКЗИ из

аппаратных средств, уничтожении ключевых документов
Примечание

От кого получены
Дата и номер сопроводительного письма
Ф.И.О. пользователя ключевого документа
Дата и подпись в получении
Ф.И.О. сотрудников органа крипто-защиты, пользователя

СКЗИ (ключевого документа),

произведших подключение

(установку)

Дата подключения (установки) и подписи лиц, произведших подключение (установку)

Номера аппаратных средств, в которые установлены или к которым подключены СКЗИ

Дата изъятия (уничтожения)
Ф.И.О. сотрудников органа крипто- защиты, пользователя СКЗИ (ключевого документа), производивших изъятие (уничтожение)

Номер акта или расписка

об уничтожении



1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
















































Примечание: журнал должен быть прошит, пронумерован и опечатан.

Приложение 2 к Инструкции

по организации деятельности главных распорядителей, распорядителей и получателей

средств областного бюджета, бюджетных учреждений Самарской области

и автономных учреждений Самарской области при передаче

электронных платежных документов, подписанных электронной цифровой подписью


ФОРМА ЖУРНАЛА

ПРИЕМА И ВЫДАЧИ КЛЮЧЕВЫХ ДОКУМЕНТОВ «ПОДВЕДОМСТВЕННОЙ ОРГАНИЗАЦИИ»



№ п/п
Название ключевого документа
Номер ключевого документа
ФИО уполномоченного лица
Дата, время выдачи ключевого документа
Подпись уполномоченного лица
Дата и время сдачи ключевого документа
Подпись ответственного за хранение ключевых документов
Примечание

1
2
3
4
5
6
7
8
9






























Примечание: журнал должен быть прошит, пронумерован и опечатан.