1. Общие положения
Средства криптографической защиты информации (СКЗИ) и электронной цифровой подписи (ЭЦП) предназначены для подписывания файлов ЭЦП с целью подтверждения подлинности информации и ее авторства и шифрования этих файлов при передаче по открытым каналам связи для обеспечения конфиденциальности.
СКЗИ и средства ЭЦП могут использоваться только для защиты информации в системе представления данных по телекоммуникационным каналам связи.
Указанные СКЗИ и средства ЭЦП могут использоваться для защиты конфиденциальной информации, не содержащей сведений, составляющих государственную тайну.
Электронная цифровая подпись (ЭЦП) выдается сроком на один год с момента изготовления. По истечении этого срока налогоплательщик обязан заменить ЭЦП у Специализированного Оператора Связи.
2. Работа с СКЗИ и средствами ЭЦП в организациях, сдающих налоговые декларации в электронном виде по каналам связи
Для работы с СКЗИ и средствами ЭЦП привлекаются уполномоченные лица, назначенные соответствующим приказом руководителя организации. Должностные лица, уполномоченные соответствующим приказом руководителя организации, эксплуатировать СКЗИ, получать и использовать ключи шифрования и ЭЦП, несут персональную ответственность за:
- сохранение в тайне конфиденциальной информации, ставшей им известной в процессе работы с СКЗИ;
- сохранение в тайне содержания закрытых ключей СКЗИ и средств ЭЦП;
- сохранность носителей ключевой информации и других документов о ключах, выдаваемых с ключевыми носителями.
В организации должны быть обеспечены условия хранения ключевых носителей и карточки отзыва ключей, исключающие возможность доступа к ним посторонних лиц, несанкционированного использования или копирования ключевой информации и паролей отзыва ключей.
Для исключения утраты ключевой информации вследствие дефектов носителей рекомендуется, после получения ключевых дискет, создать рабочие копии. Копии должны быть соответствующим образом маркированы и должны использоваться и храниться так же, как оригиналы.
Пользователь несет ответственность за то, чтобы на компьютере, на котором установлены СКЗИ и средства ЭЦП, не были установлены и не эксплуатировались программы (в том числе, - вирусы), которые могут нарушить функционирование программных СКЗИ и средств ЭЦП.
При обнаружении на рабочем месте, оборудованном СКЗИ и средствами ЭЦП, посторонних программ или вирусов, нарушающих работу указанных средств, работа со средствами защиты информации на данном рабочем месте должна быть прекращена и должны быть организованы мероприятия по анализу и ликвидации негативных последствий данного нарушения. Также оператор не несет ответственности за получение абонентом писем с вирусами.
Не допускается:
- разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным, выводить ключевую информацию на дисплей и принтер;
- вставлять ключевой носитель в дисковод ПЭВМ при проведении работ, не являющихся штатными процедурами использования ключей (шифрование/расшифровывание информации, проверка электронной цифровой подписи и т.д.), а также в дисководы других ПЭВМ;
- записывать на ключевом носителе постороннюю информацию;
- вносить какие-либо изменения в программное обеспечение СКЗИ и средств ЭЦП;
- использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой информации путем переформатирования (рекомендуется физическое уничтожение носителей).
3. Действия в случае компрометации ключей
Под компрометацией закрытых ключей понимается их утрата (в том числе с их последующим обнаружением), хищение, разглашение, несанкционированное копирование, передача их по линии связи в открытом виде, увольнение по любой причине сотрудника, имеющего доступ к ключевым носителям или к ключевой информации на данных носителях, любые другие виды разглашения ключевой информации, в результате которых закрытые ключи могут стать доступными несанкционированным лицам и (или) процессам.
Пользователь самостоятельно должен определить факт компрометации закрытого ключа и оценить значение этого события для Пользователя. Мероприятия по розыску и локализации последствий компрометации конфиденциальной информации, переданной с использованием СКЗИ, организует и осуществляет сам Пользователь.
При компрометации ключа у Пользователя, он должен немедленно прекратить связь по сети с другими абонентами и поставить в известность своего оператора системы сдачи бухгалтерской и налоговой отчетности в электронном виде по каналам связи – ООО "Компьютерный сервис" (далее – Оператор системы) о факте компрометации. Информация о компрометации может передаваться по телефону или непосредственно представителю Оператора в его офисе. Не позднее 1 часа после поступления сообщения о компрометации ключа, будет заблокирован ключ Пользователя в Системе. Разблокировка будет произведена только после замены скомпрометированных ключей.
Для получения новых ключей уполномоченный представитель организации - пользователя, у которой были скомпрометированы ключи, должен обратиться к Оператору системы. За выдачу новых ключей взимается оплата в соответствии с действующими тарифами на день оплаты.