Правила использования СКЗИ и ЭЦП

1. Общие положения

Средства криптографической защиты информации (СКЗИ) и электронной цифровой подписи (ЭЦП) предназначены для подписывания файлов ЭЦП с целью подтверждения подлинности информации и ее авторства и шифрования этих файлов при передаче по открытым каналам связи для обеспечения конфиденциальности.

СКЗИ и средства ЭЦП могут использоваться только для защиты информации в системе представления данных  по телекоммуникационным каналам связи.

Указанные СКЗИ и средства ЭЦП могут использоваться для защиты конфиденциальной информации, не содержащей сведений, составляющих государственную тайну.

Средства криптографической защиты информации (СКЗИ) и электронной цифровой подписи (ЭЦП) выдаются сроком на один год с момента изготовления. По истечении этого срока налогоплательщик обязан заменить СКЗИ и ЭЦП у Специализированного Оператора Связи.

2. Работа с СКЗИ и средствами ЭЦП в организациях, сдающих налоговые декларации в электронном виде по каналам связи

Для работы с СКЗИ и средствами ЭЦП привлекаются уполномоченные лица, назначенные соответствующим приказом руководителя организации. Должностные лица, уполномоченные соответствующим приказом руководителя организации, эксплуатировать СКЗИ, получать и использовать ключи шифрования и ЭЦП, несут персональную ответственность за:

·        сохранение в тайне конфиденциальной информации, ставшей им известной в процессе работы с СКЗИ;

·        сохранение в тайне содержания закрытых ключей СКЗИ и средств ЭЦП;

·        сохранность носителей ключевой информации и других документов о ключах, выдаваемых с ключевыми носителями.

В организации должны быть обеспечены условия хранения ключевых носителей и карточки отзыва ключей, исключающие возможность доступа к ним посторонних лиц, несанкционированного использования или копирования ключевой информации и паролей отзыва ключей.

Для исключения утраты ключевой информации вследствие дефектов носителей рекомендуется, после получения ключевых дискет, создать рабочие копии. Копии должны быть соответствующим образом маркированы и должны использоваться и храниться так же, как оригиналы.

Пользователь несет ответственность за то, чтобы на компьютере, на котором установлены СКЗИ и средства ЭЦП, не были установлены и не эксплуатировались программы (в том числе, - вирусы), которые могут нарушить функционирование программных СКЗИ и средств ЭЦП.

При обнаружении на рабочем месте, оборудованном СКЗИ и средствами ЭЦП, посторонних программ или вирусов, нарушающих работу указанных средств, работа со средствами защиты информации на данном рабочем месте должна быть прекращена и должны быть организованы мероприятия по анализу и ликвидации негативных последствий данного нарушения. Также оператор не несет ответственности за получение абонентом писем с вирусами.

Не допускается:

а) разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным, выводить ключевую информацию на дисплей и принтер;

б) вставлять ключевой носитель в дисковод ПЭВМ при проведении работ, не являющихся штатными процедурами использования ключей (шифрование/расшифровывание информации, проверка электронной цифровой подписи и т.д.), а также в дисководы других ПЭВМ;

в) записывать на ключевом носителе постороннюю информацию;

г) вносить какие-либо изменения в программное обеспечение СКЗИ и средств ЭЦП;

д) использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой информации путем переформатирования (рекомендуется физическое уничтожение носителей).

3. Действия в случае компрометации ключей

Под компрометацией закрытых ключей понимается их утрата (в том числе с их последующим обнаружением), хищение, разглашение, несанкционированное копирование, передача их по линии связи в открытом виде, увольнение по любой причине сотрудника, имеющего доступ к ключевым носителям или к ключевой информации на данных носителях, любые другие виды разглашения ключевой информации, в результате которых закрытые ключи могут стать доступными несанкционированным лицам и (или) процессам.

Пользователь самостоятельно должен определить факт компрометации закрытого ключа и оценить значение этого события  для Пользователя. Мероприятия по розыску и локализации последствий компрометации конфиденциальной информации, переданной с использованием СКЗИ, организует и осуществляет сам Пользователь.

При компрометации ключа у Пользователя, он должен немедленно прекратить связь по сети с другими абонентами и поставить в известность своего оператора системы сдачи бухгалтерской и налоговой отчетности в электронном виде по каналам связи – ЗАО  «Удостоверяющий центр» (далее – Оператор системы) о факте компрометации, с указанием особой информации (пароля), содержащейся в карточке отзыва ключа. Информация о компрометации может передаваться по телефону или непосредственно представителю Оператора в его офисе. Не позднее 1 часа после поступления сообщения о компрометации ключа, будет заблокирован ключ Пользователя в Системе. Разблокировка будет произведена только после замены скомпрометированных ключей.

Для получения новых ключей уполномоченный представитель организации -пользователя, у которой были скомпрометированы ключи, должен обратиться к Оператору системы, имея при себе документы, подтверждающие его полномочия (паспорт и две доверенности, одна из которых на получение материальных ценностей (ключевой дискеты), а вторая на получение ключевых документов). За выдачу новых ключей взимается оплата в соответствии с действующими тарифами на день оплаты.