В целях совершенствования ведомственной системы обеспечения информационной безопасности таможенных органов в части организации эксплуатации в таможенных органах средств криптографической защиты и электронной цифровой подписи информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, и в соответствии с Федеральным законом от 10 января 2002 г. № 1-ФЗ "Об электронной цифровой подписи" (Собрание законодательства Российской Федерации, 2002, № 2, ст. 127) приказываю:
1. Утвердить прилагаемое Положение о системе ведомственных удостоверяющих центров таможенных органов Российской Федерации (далее -Положение).
2. Главному управлению информационных технологий (А.Е.Шашаев) обеспечить:
1) ежегодное планирование специальных работ по техническому сопровождению эксплуатации системы ведомственных удостоверяющих центров таможенных органов Российской Федерации (далее - СВУЦТО);
2) контроль организации эксплуатации СВУЦТО в ГНИВЦ ФТС России и региональных таможенных управлениях.
3. ГНИВЦ ФТС России (О.П.Пучков) обеспечить:
1) назначение уполномоченных должностных лиц корневого и головного ведомственных удостоверяющих центров СВУЦТО;
2) ежегодное планирование и проведение специальных работ по техническому обслуживанию корневого и головного ведомственных удостоверяющих центров СВУЦТО;
3) эксплуатацию корневого и головного ведомственных удостоверяющих центров СВУЦТО.
4. Начальникам региональных таможенных управлений обеспечить:
1) назначение ответственных должностных лиц СВУЦТО согласно требованиям Положения;
2) ежегодное планирование и проведение специальных работ по техническому обслуживанию компонентов СВУЦТО (региональных ведомственных удостоверяющих центров таможенных органов и подсистем удаленной регистрации);
3) эксплуатацию компонентов СВУЦТО (региональных ведомственных удостоверяющих центров таможенных органов и подсистем удаленной регистрации).
5. Начальникам структурных подразделений ФТС России, таможенных органов Российской Федерации и руководителям учреждений, находящихся в ведении ФТС России, обеспечить доведение настоящего приказа до сведения подчиненных должностных лиц.
6. Считать утратившим силу приказ ГТК России от 3 октября 2003 г. № 1111 дсп "О ключевой информации в ЕАИС ГТК России", приказ ФТС России от 2 марта 2007 г. № 252 "Об утверждении требований и введении в действие плана ввода системы ведомственных удостоверяющих центров таможенных органов".
7. Контроль за исполнением настоящего приказа возложить на заместителя руководителя ФТС России Л.И.Шорникова.
Руководитель
действительный государственный советник
таможенной службы Российской Федерации
А.Ю.Бельянинов
Приложение
к приказу ФТС России
от 29 мая 2008 г. № 637
Положение о системе ведомственных удостоверяющих центров таможенных органов Российской Федерации
I. Общие сведения
1. Положение о системе ведомственных удостоверяющих, центров таможенных органов Российской Федерации (далее - Положение) определяет статус системы ведомственных удостоверяющих центров таможенных органов Российской Федерации (далее - СВУЦТО) как корпоративного удостоверяющего центра, обеспечивающего функционирование автоматизированных информационных систем таможенных органов Российской Федерации, а также как корпоративного удостоверяющего центра, выдающего сертификаты ключей подписей для использования участниками внешнеэкономической деятельности или иными лицами, осуществляющими информационное взаимодействие при представлении сведений таможенным органам в электронной форме.
2. Положение также регламентирует условия использования сертификатов ключей подписи, при соблюдении которых электронная цифровая подпись (ЭЦП) должностных лиц таможенных органов Российской Федерации, участников внешнеэкономической деятельности или иных лиц, осуществляющих информационное взаимодействие при представлении сведений таможенным органам в электронной форме, в электронных документах признается равнозначной собственноручной подписи в документе на бумажном носителе.
3. Требования Положения обязательны для выполнения всеми должностными лицами таможенных органов Российской Федерации, участниками внешнеэкономической деятельности или иными лицами, осуществляющими информационное взаимодействие при представлении сведений таможенным органам в электронной форме, при использовании ЭЦП в электронных документах ФТС России.
4. Положение разработано на основании:
1) Таможенного кодекса Российской Федерации (Собрание законодательства Российской Федерации, 2003, № 22, ст. 2066, № 52 (ч. I), ст. 5038; 2004, №27, ст. 2711, №34, ст. 3533, №46 (ч. I), ст. 4494; 2005, №30 (ч. I), ст. 3101; 2006, № 1, ст. 15, № 3, ст. 280, № 8, ст. 854, № 52 (ч. II), ст. 5504; 2007, № 1 (ч. I), ст. 29, № 24, ст. 2831, № 27, ст. 3213, № 31, ст. 4011);
2) Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, № 31 (ч. 1), ст. 3448);
3) Федерального закона от 10 января 2002 г. № 1-ФЗ "Об электронной цифровой подписи" (Собрание законодательства Российской Федерации, 2002, № 2, ст. 127; 2007, № 46, ст. 5554);
4) Концепции обеспечения информационной безопасности таможенных органов Российской Федерации на период до 2010 года, утвержденной приказом ФТС России от 19 сентября 2006 г. № 900.
5. Система ведомственных удостоверяющих центров таможенных органов Российской Федерации является организационно-технической системой, которая включает в себя комплекс организационных мероприятий и программно-аппаратных средств, автоматизирующих ее деятельность, а также персонал, осуществляющий эксплуатацию СВУЦТО (далее - обслуживающий персонал).
6. Пользователями СВУЦТО являются должностные лица таможенных органов Российской Федерации и должностные лица участников внешнеэкономической деятельности или иных лиц, осуществляющих информационное взаимодействие при представлении сведений таможенным органам в электронной форме (далее - сторонние организации).
>II. Структура системы ведомственных удостоверяющих центров таможенных органов Российской Федерации
7. Система ведомственных удостоверяющих центров таможенных органов
Российской Федерации состоит из:
1) корневого ведомственного удостоверяющего центра (КВУЦ);
2) головного ведомственного удостоверяющего центра (ГВУЦ);
3) региональных ведомственных удостоверяющих центров (РВУЦ);
4) пунктов удаленной регистрации (ПУР).
8. Корневой ведомственный удостоверяющий центр:
электронных цифровых
1) изготавливает сертификаты ключей подписей уполномоченных лиц ГВУЦ и РВУЦ;
2) создает ключи ЭЦП по обращению уполномоченных лиц ГВУЦ и РВУЦ с гарантией сохранения в тайне закрытого ключа ЭЦП;
3) приостанавливает и возобновляет действие сертификатов ключей подписей уполномоченных лиц ГВУЦ и РВУЦ, а также гннулирует их;
4) ведет реестр сертификатов ключей подписей уполномоченных лиц ГВУЦ и РВУЦ и обеспечивает его актуальность;
5) проверяет уникальность открытых ключей подписей уполномоченных лиц ГВУЦ и РВУЦ в реестре сертификатов ключей подписей и архиве КВУЦ;
6) выдает сертификаты ключей подписей уполномоченных лиц ГВУЦ и РВУЦ в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии;
7) осуществляет по обращениям пользователей сертификатов ключей подписей подтверждение подлинности ЭЦП в электронном документе в отношении выданных им сертификатов ключей подписей уполномоченных лиц ГВУЦ и РВУЦ.
9. Головной ведомственный удостоверяющий центр:
1) изготавливает сертификаты ключей подписей следующим
пользователям СВУЦТО;
должностным лицам центрального аппарата ФТС России; должностным лицам таможен, непосредственно подчиненных ФТС России; должностным лицам ГНИВЦ ФТС России; должностным лицам сторонних организаций;
2) создает ключи ЭЦП по обращению пользователей СВУЦТО с гарантией сохранения в тайне закрытого ключа ЭЦП;
3) приостанавливает и возобновляет действие сертификатов ключей подписей, а также аннулирует их;
4) ведет реестр сертификатов ключей подписей, обеспечивает его актуальность и возможность свободного доступа к нему пользователей СВУЦТО;
5) проверяет уникальность открытых ключей ЭЦП в реестре сертификатов ключей подписей и архиве СВУЦТО;
6) выдает сертификаты ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии;
7) осуществляет по обращениям пользователей СВУЦТО подтверждение подлинности ЭЦП в электронном документе в отношении выданных им сертификатов ключей подписей;
8) подтверждает электронные запросы, полученные от ПУР, на генерацию сертификатов ключей подписей;
9) предоставляет пользователям системы СВУЦТО доступ к сервисам доверенного времени (СДВ) и сервисам проверки сертификатов (СПС).
10. Региональный ведомственный удостоверяющий центр:
1) рассматривает и регистрирует заявки пользователей СВУЦТО, являющихся должностными лицами соответствующего регионального таможенного управления и подчиненных ему таможенных органов, на выдачу сертификатов ключей подписи;
2) предоставляет должностным лицам таможенных органов доступ к СДВ и СПС.
11. Пункт удаленной регистрации:
1) создает запросы на получение сертификатов ключей подписи пользователями СВУЦТО, являющимися должностными лицами таможенных органов соответствующего региона;
2) получает, регистрирует и выдает полученные сертификаты ключей подписи.
III. Организационная структура системы ведомственных удостоверяющих центров таможенных органов Российской Федерации
12. Организационная структура СВУЦТО включает должностных лиц:
1) отдела информационной безопасности Главного управления информационных технологий ФТС России (далее - ГУИТ), на который
возложены функции ведомственного органа криптографической защиты информации, не составляющей государственную тайну;
2) отдела информационной безопасности ГНИВЦ ФТС России и ведомственного удостоверяющего центра (ВУЦ) ФТС России (на правах отделения) как его структурного подразделения;
3) подразделений по информационной безопасности и технической защите информации (далее - подразделения ИБиТЗИ) таможенных органов Российской Федерации.
13. Практическое выполнение мероприятий по управлению СВУЦТО осуществляют работники ВУЦ ФТС России. Они несут ответственность за своевременную генерацию сертификатов ключей подписи пользователей СВУЦТО и подтверждение полученных запросов на издание сертификатов ключей подписи для должностных лиц таможенных органов Российской Федерации.
14. Практическое выполнение мероприятий по организации эксплуатации ключевых документов* (в т.ч. персональных идентификаторов) в таможенных органах Российской Федерации осуществляет ответственный по защите информации (должностное лицо, назначаемое приказом таможенного органа из числа должностных лиц подразделения ИБиТЗИ, а при отсутствии подразделения ИБиТЗИ - из числа должностных лиц функциональной группы по направлению деятельности) либо отдельное должностное лицо по ИБиТЗИ.
15. Ответственность за использование средств ЭЦП в строгом соответствии с требованиями Положения и иных действующих нормативных актов ФТС России несут должностные лица - владельцы ключевых документов.
16. Начальники структурных подразделений ФТС России, таможенных органов, учреждений, находящихся в ведении ФТС России, в которых используются средства ЭЦП, обеспечивают организацию использования ключевой информации в строгом соответствии с требованиями Положения и иных действующих нормативных актов ФТС России.
17. Общее методическое руководство организацией функционирования СВУЦТО в таможенных органах Российской Федерации и соответствующий контроль осуществляет отдел информационной безопасности ГУИТ как ведомственный орган криптографической защиты информации, не составляющей государственную тайну.
Отдел информационной безопасности ГУИТ осуществляет:
1) координацию деятельности подразделений таможенных органов по эксплуатации и обслуживанию СВУЦТО;
2) организацию выполнения специальных работ по техническому сопровождению эксплуатации СВУЦТО;
3) контроль и анализ состояния эксплуатации СВУЦТО;
*Под ключевыми документами понимается совокупность ключевого носителя (в т.ч. персонального идентификатора) с введенными ключами ЭЦП и сертификатом ключа подписи.
4) контроль за соблюдением условий использования СВУЦТО и средств ЭЦП в таможенных органах Российской Федерации, установленных эксплуатационной и технической документацией, сертификатами ФСБ России и настоящим Положением;
5) совместно с подразделениями ИБиТЗИ региональных таможенных управлений (РТУ) и таможен расследование и составление заключений по фактам нарушения условий использования средств ЭЦП в подсистемах единой автоматизированной информационной системы (ЕАИС) таможенных органов Российской Федерации;
6) разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
7) разработку предложений по совершенствованию структуры СВУЦТО и организации ее эксплуатации;
8) разработку проектов нормативных документов по управлению СВУЦТО и использованию сертификатов ключей подписей в ЕАИС таможенных органов Российской Федерации;
9) организацию обучения должностных лиц таможенных органов по вопросам эксплуатации СВУЦТО и средств ЭЦП.
18.0тдел информационной безопасности ГНИВЦ ФТС России и ВУЦ ФТС России как его структурное подразделение выполняют следующие функции:
1) обеспечивают функционирование программно-технических средств КВУЦиГВУЦ;
2) ведут поэкземплярный учет используемых средств ЭЦП, эксплуатационной и технической документации к ним;
3) ведут учет пользователей СВУЦТО;
4) принимают заявки, обеспечивают генерацию, регистрацию и выдачу сертификатов ключей подписей пользователей - работников ГНИВЦ ФТС России, должностных лиц центрального аппарата ФТС России, таможен, непосредственно подчиненных ФТС России, и организаций, обращающихся в ГНИВЦ ФТС России за получением сертификатов ключей подписей;
5) подтверждают издание и выдачу сертификатов ключей подписей для
ПУР;
6) администрируют средства защиты информации компонентов СВУЦТО, установленные в ГНИВЦ ФТС России;
7) заключают договоры со сторонними организациями на получение ими ЭЦП (в обязательном порядке оформляется перечень сотрудников, которым необходимо предоставить доступ к сервисам системы ведомственных удостоверяющих центров таможенных органов Российской Федерации
приложение № 2 к Положению) и предоставление доступа к сервисам СВУЦТО
СПС и СДВ)*;
8) участвуют в разработке проектов нормативных документов по
организации функционирования СВУЦТО;
*Порядок предоставления услуг сторонним организациям определяется иными нормативными актами ФТС России.
9) участвуют в проведении расследований по фактам нарушения процедур использования сертификатов ключей подписей в автоматизированных системах таможенных органов Российской Федерации.
19. Подразделения ИБиТЗИ РТУ и таможен выполняют функции по приему заявок и выдаче сертификатов ключей подписей для соответствующих РТУ и таможен, а также ведут поэкземплярный учет используемых средств ЭЦП, эксплуатационной и технической документации к ним.
20. Для обеспечения функционирования и эксплуатации СВУЦТО назначаются следующие должностные лица:
1) для обеспечения функционирования и эксплуатации СВУЦТО в целом:
координатор и контроллер СВУЦТО (в соответствии с должностным
регламентом) - должностное лицо отдела информационной безопасности ГУИТ ФТС России;
уполномоченное лицо СВУЦТО, являющееся одновременно уполномоченным лицом КВУЦ (в соответствии с приказом ФТС России), -начальник отдела информационной безопасности ГНИВЦ ФТС России;
2) для обеспечения функционирования и эксплуатации КВУЦ (в соответствии с приказом ГНИВЦ ФТС России) администратор КВУЦ -должностное лицо ВУЦ ФТС России;
3) для обеспечения функционирования и эксплуатации ГВУЦ (в соответствии с приказом ГНИВЦ ФТС России):
уполномоченное лицо ГВУЦ, являющееся одновременно администратором ГВУЦ, - должностное лицо ВУЦ ФТС России;
администратор регистрации ГВУЦ - должностное лицо ВУЦ ФТС России; администратор безопасности ГВУЦ - должностное лицо ВУЦ ФТС России;
4) для обеспечения функционирования и эксплуатации РВУЦ (в
соответствии с приказом начальника РТУ):
уполномоченное лицо РВУЦ (после обязательного согласования
кандидатуры с ГУИТ и ГНИВЦ ФТС России) - должностное лицо подразделения
ИБиТЗИ РТУ;
администратор безопасности РВУЦ - должностное лицо подразделения ИБиТЗИ РТУ;
администратор регистрации РВУЦ - должностное лицо подразделения ИБиТЗИ РТУ;
5) для обеспечения функционирования и эксплуатации ПУР (в
соответствии с приказом начальника таможенного органа по согласованию с
соответствующим РТУ и ГНИВЦ ФТС России) администратор регистрации -
должностное лицо подразделения ИБиТЗИ таможенного органа.
21. Задачи, функции, обязанности и права должностных лиц, ответственных за эксплуатацию и функционирование СВУЦТО, регламентируются настоящим Положением, организационно-распорядительной документацией на СВУЦТО, должностными инструкциями и регламентами.
22. При определении обязанностей должностных лиц, ответственных за эксплуатацию и функционирование СВУЦТО, и пользователей СВУЦТО
необходимо учитывать, что безопасность обработки и передачи по каналам связи информации с использованием средств ЭЦП обеспечивается:
1) соблюдением должностными лицами требований должностной инструкции по обращению со сведениями, которые содержат служебную информацию, в том числе со сведениями о функционировании и порядке обеспечения безопасности применяемых средств криптографической защиты информации (в т.ч. средств1 ЭЦП) и ключевых документов к ним;
2) соблюдением требований Инструкции по эксплуатации персональных средств идентификации в таможенных органах Российской Федерации, утверждаемой приказом ФТС России;
3) своевременным выявлением попыток посторонних лиц получить сведения о защищаемой информации, об используемых ключевых документах, сертификатах ключей подписей либо ключевых носителях;
4) немедленным принятием мер по предупреждению неправомерного использования сертификатов ключей подписей при выявлении фактов утраты или недостачи ключевых документов (в т.ч. персональных идентификаторов), ключевых носителей, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов), личных печатей и т.п.
IV. Порядок выдачи и применения сертификатов ключей подписей в таможенных органах Российской Федерации
23. Сертифицированные ключевые носители информации с отпечатанными персональными данными пользователя (фамилия, имя, отчество и т.д.) и с введенными сертификатами ключей подписей должностных лиц таможенных органов Российской Федерации и закрытыми ключами ЭЦП являются персональными средствами идентификации (далее - персональные идентификаторы) должностных лиц таможенных органов Российской Федерации. Эксплуатация персональных идентификаторов осуществляется в соответствии с Инструкцией по эксплуатации персональных средств идентификации в таможенных органах Российской Федерации.
24. Ключевые носители, в т.ч. сертифицированные по требованиям защиты информации, содержащие сертификаты для использования с комплексами специализированных программных средств АС КТТ, Верба и Карнет АТА, эксплуатируются в соответствии с эксплуатационной документацией соответствующих комплексов программных средств и иными действующими нормативными актами ФТС России. Указанные ключевые носители не являются персональными идентификаторами должностных лиц таможенных органов Российской Федерации.
25. При организации канала связи между ГВУЦ, РВУЦ и ПУР в целях обеспечения безопасности передачи по каналам связи информации ограниченного распространения следует использовать защищенные магистральные каналы связи.
26. Предоставление сертификатов ключей подписей должностным лицам таможенных органов Российской Федерации, оборудованных ПУР, осуществляется на основании заявки на предоставление доступа к сервисам
системы ведомственных удостоверяющих центров таможенных органов Российской Федерации (далее - Заявка) (приложение № 1 к Положению). Заявка направляется заранее (не менее чем за месяц до предполагаемого начала использования сертификатов ключей подписей либо окончания срока действия существующих сертификатов ключей подписей) и оформляется в трех экземплярах. После утверждения начальником РТУ первый экземпляр заявки подшивается в дело ПУР, второй экземпляр остается в таможенном органе, третий экземпляр направляется в ГНИВЦ ФТС России для подтверждения аутентичности запроса на издание сертификатов ключа подписи. Для ускорения процесса выдачи сертификатов ключа подписи (подтверждение запроса на издание сертификатов ключа подписи администратором регистрации ГВУЦ) заявки могут направляться в ГНИВЦ ФТС России в электронном виде. Для этого необходимо отсканировать полностью оформленную заявку, поместить электронную копию заявки в электронное письмо как вложение, озаглавить электронное письмо: "О направлении заявки на генерацию сертификата ключа
подписи (письмо (наименование таможенного органа) от № )",
подписать документ ЭЦП администратора регистрации РВУЦ в соответствии с требованиями Положения и отправить на адрес электронной почты ВУЦ ФТС России (vuc@mail.customs.ru).
27. Для предоставления сертификатов ключа подписи работникам ГНИВЦ ФТС России, должностным лицам таможен, непосредственно подчиненных ФТС России, должностным лицам центрального аппарата ФТС России не менее чем за месяц до предполагаемого начала использования сертификатов ключа подписи либо окончания срока действия существующих сертификатов ключей подписей оформляется Заявка в двух экземплярах и направляется с сопроводительным письмом в ГНИВЦ ФТС России. Первый экземпляр подшивается в дело ВУЦ ФТС России, второй экземпляр возвращается отправителю.
28. Для пересылки персональных идентификаторов с введенными сертификатами ключа подписи подготавливается сопроводительное письмо в произвольной форме на имя начальника таможенного органа (структурного подразделения ФТС России), в котором указывается, что посылается, в каком количестве, учетные номера изделий, а также при необходимости назначение и порядок использования высылаемого отправления и сроки действия сертификатов ключа подписи.
29. Для пересылки ключевых документов должностных лиц сторонних организаций ВУЦ ФТС России подготавливает сопроводительное письмо в свободной форме на имя руководителя организации, в котором подробно указывается, что посылается, в каком количестве, учетные номера изделий или документов, а также при необходимости назначение и порядок использования высылаемого отправления (например, сроки действия сертификатов ключа подписи).
Персональные идентификаторы помещаются в прочную упаковку, исключающую возможность их физического повреждения и внешнего воздействия на записанную информацию, отдельно от сопроводительного письма. На упаковке указывается наименование таможенного органа либо организации
для которых эта упаковка предназначена, а также делаются пометки: "К № (исходящий номер пакета с сопроводительным письмом)" и "Лично", что означает, что получение и вскрытие упаковки в таможенном органе должно производиться должностным лицом в присутствии должностного лица подразделения ИБиТЗИ. Упаковка опечатывается таким образом, чтобы исключалась возможность извлечения из неё содержимого без нарушения упаковки и оттисков печатей.
31. Пакет с сопроводительным письмом и упаковка с ключевыми документами направляются адресату через отдел документационного обеспечения в соответствии с установленным порядком пересылки документов с грифом "для служебного пользования" при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки.
32. Полученное сопроводительное письмо регистрируется установленным порядком, после чего вместе с упаковками, содержащими ключевые документы, передается должностному лицу подразделения ИБиТЗИ. Если содержимое полученной упаковки не соответствует указанному в сопроводительном письме
или сама упаковка и печать - их описанию (оттиску), а также если упаковка повреждена, в результате чего образовался свободный доступ к ее содержимому,
то должностное лицо подразделения ИБиТЗИ немедленно уведомляет ГВУЦ, ПУР о создавшейся ситуации, оперативно подготавливает в соответствии с главой VII Положения и отправляет заявку на отзыв полученных сертификатов ключа подписи, составляется акт в свободной форме с описанием проблемы, который высылается отправителю. Администраторы регистрации ГВУЦ или ПУР обязаны незамедлительно принять меры по отзыву (приостановке) действия сертификатов ключа подписи, выданных на лиц, указанных в Заявке.
33. Персональные идентификаторы подлежат учету в журнале учета
персональных идентификаторов (приложение № 4 к Положению) в подразделении
ИБиТЗИ таможенного органа Российской Федерации или у ответственного по
защите информации для структурного подразделения ФТС России). Единицей
учета считается персональный идентификатор многократного использования.
Если один и тот же персональный идентификатор многократно
используется для записи сертификатов ключа подписи, то его каждый раз следует
регистрировать отдельно.
34. После регистрации персонального идентификатора персональные идентификаторы выдаются непосредственно пользователям (под подпись) с обязательным проставлением соответствующей отметки в журнале учета персональных идентификаторов (приложение № 4 к Положению).
35. При обнаружении нерабочих (бракованных) ключевых документов составляется акт в произвольной форме, в который вносятся регистрационные данные бракованных ключевых документов с указанием выявленных проблем. Акт подписывается администратором регистрации РВУЦ или ПУР, начальником подразделения ИБиТЗИ РТУ, начальником соответствующего таможенного органа, после чего экземпляр ключевого документа следует возвратить изготовителю для установления причин происшедшего и устранения их в дальнейшем.
36. Головной ведомственный удостоверяющий центр или ПУР, допустивший брак при изготовлении сертификатов ключа подписи, с целью выявления причин случившегося через ГУИТ может обратиться в ФСБ России или на предприятие - изготовитель персональных идентификаторов для проведения на договорной основе экспертизы бракованных ключевых документов.
37. Пользователи СВУЦТО хранят ключевые документы в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.
38. Пользователям СВУЦТО запрещается:
1) осуществлять копирование ключевых документов;
2) разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным, оставлять носители ключевой информации (в т.ч. персональные идентификаторы) в местах, где иные лица могут получить к ним доступ, выводить ключевую информацию на дисплей и принтер;
3) оставлять автоматизированное рабочее место (в т.ч. ненадолго) без отсоединения персонального идентификатора;
4) вставлять персональный идентификатор в устройство считывания в режимах, не предусмотренных штатным режимом использования;
5) подключать к автоматизированному рабочему месту, оборудованному средствами для использования ЭЦП, дополнительные устройства и соединители, не предусмотренные комплектацией.
39. Неиспользованные или выведенные из действия (например, увольнение пользователя СВУЦТО) ключевые документы уничтожаются специально созданной в таможенном органе комиссией способом, предусмотренным эксплуатационной и технической документацией к соответствующим ключевым носителям и исключающим возможность восстановления ключевой информации, с обязательной отметкой об уничтожении ключевого документа в журнале учета персональных идентификаторов (приложение № 4 к Положению).
40. При переводе должностного лица таможенного органа по службе сдача персонального идентификатора не производится. За две недели до перевода на новую работу должностное лицо таможенного органа должно уведомить об этом ответственного по защите информации (для центрального аппарата ФТС России, таможен, непосредственно подчиненных ФТС России) либо администратора регистрации РВУЦ или ПУР. Ответственный по защите информации либо администратор регистрации РВУЦ или ПУР оперативно направляет запрос па отзыв сертификата ключа подписи установленным порядком.
Выдача нового сертификата ключа подписи осуществляется в соответствии с требованиями Положения.
V. Мероприятия при компрометации сертификатов ключа подписи
41. Под компрометацией сертификатов ключа подписи понимается
хищение, утрата, несанкционированное копирование информации с
персонального идентификатора и другие происшествия, в результате которых информация может стать доступной процессам и (или) лицам, для которых она не предназначалась.
42. Сертификаты ключа подписи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие сертификаты ключа подписи необходимо немедленно вывести из действия, если иной порядок не оговорен в эксплуатационной и технической документации к соответствующему комплексу программных средств. О необходимости вывода сертификата ключа подписи из действия сообщается в соответствующее подразделение ИБиТЗИ.
43. О нарушениях, которые могут привести к компрометации сертификата ключа подписи, передававшейся (хранящейся) с его использованием информации, пользователь персонального идентификатора обязан сообщать в отдел информационной безопасности ГНИВЦ ФТС России или в соответствующее подразделение ИБиТЗИ. , В случае недостачи, непредъявления ключевых носителей, а также неопределенности их местонахождения принимаются срочные меры к их розыску, выведению из эксплуатации и отзыву сертификата ключа подписи.
VI. Порядок отзыва сертификатов ключей подписей пользователей системы ведомственных удостоверяющих центров таможенных органов
Российской Федерации
44. При необходимости отзыва сертификата ключа подписи (компрометация
ключевой информации либо подозрение на компрометацию, увольнение
должностного лица):
1) должностного лица РТУ, таможни либо таможенного поста - на ПУР генерируется запрос на отзыв указанного сертификата ключа подписи, оформляется заявка на отзыв сертификата ключа подписи пользователя системы ведомственных удостоверяющих центров таможенных органов Российской Федерации в соответствии с приложением № 3 к Положению;
2) должностного лица центрального аппарата ФТС России, должностного лица таможни, непосредственно подчиненной ФТС России, - формируется заявка в соответствии с приложением № 3 к Положению и отправляется по факсу (495)263-90-38, (495)740-15-89 администратору ГВУЦ; оригинал отправляется установленным порядком в адрес ГНИВЦ ФТС России с сопроводительным письмом, в заголовке которого должно быть указано: "Об отзыве сертификатов ключа подписи пользователей СВУЦТО";
3) должностного лица сторонней организации, использующего сервисы СВУЦТО, - совершаются действия в соответствии с соглашением, подписанным организацией и ГНИВЦ ФТС России.
VII. Контроль за организацией безопасного хранения и использования ключевой информации
45. Контроль за организацией безопасного хранения и использования ключевой информации проводится в рамках контроля состояния обеспечения информационной безопасности таможенных органов Российской Федерации.
46. Если при использовании средств ЭЦП либо ключевых носителей выявлены серьезные нарушения, вследствие чего создается реальная угроза информационной безопасности, то ГУИТ вправе дать указание о немедленном прекращении использования средств ЭЦП (в т.ч. об отзыве сертификата) либо ключевого носителя до устранения причин выявленных нарушений.
47. По результатам контроля составляется акт проверки. Акт проверки представляется начальнику таможенного органа, организовавшего проверку, и начальнику таможенного органа, в котором проводилась проверка.
48. Должностными лицами таможенного органа, в котором проводилась проверка, в месячный срок разрабатывается план выполнения мероприятий по устранению недостатков и нарушений, отраженных в акте проверки. Указанный план согласовывается с таможенным органом, проводившим проверку.
49. Таможенный орган, в котором проводилась проверка, информирует о ходе устранения недостатков и нарушений информационной безопасности и реализации рекомендаций подразделение, проводившее проверку.
Начальник Главного управления
информационных технологий
А.Е.Шашаев
Приложение № 1
к Положению УТВЕРЖДАЮ
Начальник (наименование таможенного органа или структурного подразделения центрального аппарата ФТС России)
или директор ГНИВЦ ФТС России
(специальное звание)
(инициалы, фамилия)
"_____"__________ 200__ г.
Заявка на предоставление доступа к сервисам системы ведомственных удостоверяющих центров
таможенных органов Российской Федерации
Просим обеспечить генерацию сертификатов ключей подписей следующим должностным лицам
(наименование таможенного органа)
| №п/п | Наименование таможенного органа | Адрес | Наименование отдела (полностью) | Наименование отдела (сокращенно) | Фамилия, имя, отчество, | Образец подписи | Должность | Телефон | E-mail | Область применения сертификата ключа подписи * |
| | | | | | | | | | | |
*Например, для подписания сообщений электронной почты или для подписания документов в подсистемах ЕАИС ФТС России. В данной графе можно указать несколько областей применения сертификата.
Начальник подразделения ИБиТЗИ Ответственный за ИБиТЗИ
(ненужное зачеркнуть)
(специальное звание) (подпись) (инициалы, фамилия)
Приложение № 2
к Положению
Приложение
к договору от____________№____
Перечень сотрудников, которым необходимо предоставить доступ к сервисам системы ведомственных удостоверяющих центров таможенных органов Российской Федерации
| № п/п | Наименование организации (сокращенно) | Адрес | Наименование подразделения (полностью) | Наименование подразделения (сокращенно) | Фамилия, имя, отчество | Должность | Телефон | E-mail | Область применения сертификата* |
| | | | | | | | | | |
| | | | | | | | | | |
| | | | | | | | | | |
| | | | | | | | | | |
| | | | | | | | | | |
| | | | | | | | | | |
*Например, для подписания сообщений электронной почты или для подписания документов в подсистемах ЕАИС ФТС России. В данной графе можно указать несколько областей применения сертификата.
Приложение № 3 к Положению
Заявка на отзыв сертификата ключа подписи пользователя системы ведомственных удостоверяющих центров таможенных органов Российской Федерации
Просим обеспечить отзыв сертификата ЭЦП следующих должностных лиц____________________________________________________
(наименование таможенного органа)
| № п/п | Фамилия, имя, отчество | Наименование отдела (полностью) | Наименование отдела (сокращенно) | Должность | Область применения сертификата* | Причина отзыва сертификата | Наименование таможенного органа | Адрес |
| | | | | | | | | |
*В случае, если у пользователя имеется несколько сертификатов ЭЦП, то указываются сертификаты ЭЦП, которые необходимо отозвать. Например, для подписания сообщений электронной почты или для подписания документов в подсистемах ЕАИС ФТС России. В данной графе можно указать несколько областей применения сертификата.
Начальник
(наименование подразделения)
(специальное звание)
Приложение № 4
к Положению
Журнал учета персональных идентификаторов, выданных должностным лицам
(наименование таможенного органа либо структурного подразделения центрального аппарата ФТС России)
Начат "____"___________200__г
Окончен "____"___________200__г
| Регистрационный номер персонального идентификатора | Отметка о выдаче | Отметка о получении | Отметка о сдаче ключевого носителя | Примечание |
| Ф.И.О. должностного лица, выдавшего ключевой носитель | Дата выдачи, подпись | Ф.И.О. должностного лица, получившего ключевой носитель | Дата получения, подпись | Ф.И.О. должностного лица, принявшего ключевой носитель | Дата сдачи, подпись |
| | | | | | | | |
| | | | | | | | |
| | | | | | | | |
| | | | | | | | |