Инструкция для участников электронного документооборота по обеспечению информационной безопасности при представлении финансовой отчетности и налоговых расчетов в электронной форме (Утверждена Постановлением от 04.07.2007 г. ГНК N 2007-44 и УзАСИ N 17-8/1985, зарегистрированным МЮ 13.08.2007 г. N 1702)
УТВЕРЖДЕНА
Постановлением от 04.07.2007 г.
ГНК N 2007-44 и УзАСИ N 17-8/1985,
зарегистрированным МЮ
13.08.2007 г. N 1702
ИНСТРУКЦИЯ
для участников электронного документооборота
по обеспечению информационной безопасности
при представлении финансовой отчетности
и налоговых расчетов в электронной форме
Настоящая Инструкция, в соответствии с Налоговым кодексом Республики Узбекистан, законами Республики Узбекистан "Об электронной цифровой подписи", "Об электронном документообороте", постановлением Президента Республики Узбекистан от 15 июня 2005 года N ПП-100 "О совершенствовании системы отчетности, представляемой субъектами предпринимательства, и усилении ответственности за ее незаконное истребование" (Собрание законодательства Республики Узбекистан, 2005 г., N 23-24, ст. 168) и постановлением Кабинета Министров Республики Узбекистан от 4 августа 2006 года N 157 "О дальнейшем совершенствовании информационного обслуживания налогоплательщиков и информационной системы органов государственной налоговой службы" определяет порядок организации и обеспечения информационной безопасности при представлении финансовой отчетности и налоговых расчетов в электронной форме (далее - налоговая отчетность в электронной форме) посредством телекоммуникационных каналов связи.
Действие настоящей Инструкции распространяется на физические и юридические лица, представляющие налоговую отчетность в электронной форме.
1. В целях настоящей Инструкции применяются следующие понятия:
автоматизированное рабочее место (АРМ) - рабочая станция компьютерной сети на базе средств вычислительной техники и специализированных программных средств, отвечающая требованиям эксплуатационной и технической документации;
электронная цифровая подпись (ЭЦП) - подпись в электронном документе, полученная в результате специальных преобразований информации данного электронного документа с использованием закрытого ключа электронной цифровой подписи и позволяющая при помощи открытого ключа электронной цифровой подписи установить отсутствие искажения информации в электронном документе и идентифицировать владельца закрытого ключа электронной цифровой подписи.
владелец закрытого ключа ЭЦП - физическое лицо, создавшее электронную цифровую подпись (подписывающее электронный документ) и на имя которого Центром регистрации выдан сертификат ключа электронной цифровой подписи;
закрытый ключ ЭЦП - последовательность символов, полученная с использованием средств ЭЦП, известная только подписывающему лицу и предназначенная для создания электронной цифровой подписи в электронном документе;
криптографическая защита информации - комплекс мероприятий, направленных на обеспечение целостности, доступности и конфиденциальности информации, осуществляемых при помощи алгоритмов криптографического преобразования;
компрометация ключа ЭЦП - утрата доверия к тому, что используемые ключи обеспечивают безопасность информации.
К событиям, связанным с компрометацией ключей ЭЦП относятся, включая, но не ограничиваясь, следующие события:
потеря ключевых носителей;
потеря ключевых носителей с их последующим обнаружением;
увольнение сотрудников, имевших доступ к ключевой информации;
нарушение правил хранения и уничтожения (после окончания срока действия) секретного ключа;
возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;
нарушение печати на сейфе с ключевыми носителями;
случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе, если ключевой носитель вышел из строя, и доказательно не опровергнут факт несанкционированного доступа к нему злоумышленника);
несанкционированный доступ - доступ субъекта к объекту или информации в нарушение установленных в системе правил разграничения доступа;
открытый ключ ЭЦП - последовательность символов, полученная с использованием средств ЭЦП, соответствующая закрытому ключу ЭЦП, доступная любому пользователю информационной системы и предназначенная для подтверждения подлинности ЭЦП в электронном документе;
подтверждение подлинности ЭЦП - положительный результат проверки принадлежности электронной цифровой подписи владельцу закрытого ключа ЭЦП и отсутствия искажений информации в электронном документе;
сертификат ключа ЭЦП (сертификат ключа подписи) - документ, подтверждающий соответствие открытого ключа электронной цифровой подписи закрытому ключу электронной цифровой подписи и выданный Центром регистрации владельцу закрытого ключа электронной цифровой подписи;
средства криптографической защиты информации (СКЗИ) - аппаратные, программные или аппаратно-программные средства, осуществляющие криптографические преобразования информации для обеспечения ее безопасности;
средства ЭЦП - совокупность технических и программных средств, обеспечивающих создание ЭЦП в электронном документе, подтверждение подлинности ЭЦП, создание закрытых и открытых ключей ЭЦП;
формат представления налоговой отчетности в электронной форме - формализованное описание состава и структуры показателей налоговой отчетности, представляемых в электронной форме, а также требований к их формированию;
Центр регистрации ключей ЭЦП подписи (далее - Центр регистрации) - юридическое лицо, прошедшее государственную регистрацию в специально уполномоченном органе и выполняющее функции, предусмотренные законодательством;
электронный документ - информация, зафиксированная в электронной форме, подтвержденная электронной цифровой подписью и имеющая другие реквизиты электронного документа, позволяющие его идентифицировать;
2. Участниками электронного документооборота при представлении налоговой отчетности в электронной форме являются:
налогоплательщик - отправитель налоговой отчетности;
органы государственной налоговой службы, осуществляющие прием и обработку налоговой отчетности - получатель налоговой отчетности.
II. ТРЕБОВАНИЯ К ПРОГРАММНО-АППАРАТНЫМ
СРЕДСТВАМ ПРЕДСТАВЛЕНИЯ НАЛОГОВОЙ
ОТЧЕТНОСТИ ПО ТЕЛЕКОММУНИКАЦИОННЫМ
КАНАЛАМ СВЯЗИ
3. Программно-аппаратные средства должны обеспечивать прием и обработку налоговой отчетности в соответствии с форматом представления налоговой отчетности, утвержденным в порядке, установленном законодательством.
4. Средства ЭЦП и СКЗИ должны быть совместимы с аналогичными средствами, используемыми в органах государственной налоговой службы.
СРЕДСТВ ЭЦП И СКЗИ
5. Налоговая отчетность представляется в электронной форме по телекоммуникационным каналам связи с использованием средств ЭЦП и СКЗИ.
6. Распространение и учет средств электронной цифровой подписи и средств криптографической защиты информации организуется Центром регистрации в порядке, установленном законодательством, в соответствии с условиями действия лицензии Центра регистрации, а также с требованиями технической документации организаций - разработчиков средств электронной цифровой подписи и средств криптографической защиты информации.
7. К получению, доставке, использованию средств криптографической защиты информации допускается только владелец закрытого ключа электронной цифровой подписи.
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
8. Информационная безопасность должна обеспечиваться комплексом мер:
защитой налоговой отчетности посредством средств ЭЦП и СКЗИ;
установкой устройств контроля доступа к информации.
Информационная безопасность должна строго обеспечиваться участниками электронного документооборота.
9. Установка и настройка СКЗИ на автоматизированное рабочее место, которое предназначено для приема, обработки и передачи данных налоговой отчетности, должны выполняться ответственным лицом в присутствии системного администратора, как у отправителя, так и получателя налоговой отчетности.
Перед вводом в эксплуатацию СКЗИ на автоматизированном рабочем месте необходимо проверить целостность СКЗИ. Запрещается устанавливать СКЗИ, целостность которого нарушена.
10. Автоматизированное рабочее место со встроенными СКЗИ должно использоваться в однопользовательском режиме.
11. Владелец закрытого ключа электронной цифровой подписи, которым является каждый из участников электронного документооборота:
не может использовать для ЭЦП и криптографической защиты информации открытые и закрытые ключи, если ему известно, что эти ключи уже используются в настоящий момент или использовались ранее;
обязан хранить в тайне закрытый ключ;
обязан требовать от Центра регистрации ЭЦП немедленного приостановления действия сертификата ключа при наличии оснований полагать, что тайна закрытого ключа нарушена (компрометация ключа).
12. Участники электронного документооборота должны:
определить и утвердить внутренний порядок учета, хранения и использования ключей ЭЦП и шифрования (кодирования), который должен полностью исключать возможность несанкционированного доступа к ним;
утвердить список лиц, имеющих доступ к ключам ЭЦП и шифрования (кодирования).
13. В помещениях для хранения носителей ключей ЭЦП и шифрования (кодирования) должны устанавливаться сейфы.
14. В случае отсутствия ответственного лица перед загруженной персональной электронной вычислительной машиной (далее - ПЭВМ), предназначенной для электронного документооборота, ответственное лицо должно предварительно блокировать вход в данную ПЭВМ паролем.
15. На ПЭВМ, предназначенной для электронного документооборота, не должно содержаться средств разработки и отладки программных приложений, а также средств, позволяющих осуществлять несанкционированный доступ к системным ресурсам.
16. В случае увольнения сотрудника, имевшего доступ к ключевым носителям, его перевода в другое подразделение (на другую должность) или изменения его функциональных обязанностей, должна быть проведена смена ключей, к которым он имел доступ.
17. Не допускается:
снимать несанкционированные копии с ключевых носителей;
знакомить с содержанием ключевых носителей или передавать ключевые носители лицам, не допущенным к ним;
выводить ключи на экран монитора ПЭВМ или их распечатывать;
устанавливать ключевой носитель в считывающее устройство (дисковод) на ПЭВМ с АРМ, не предусмотренных функционированием системы, а также на другие ПЭВМ;
записывать на ключевой носитель постороннюю информацию.
V. ТРЕБОВАНИЯ БЕЗОПАСНОСТИ К ПЭВМ,
ИСПОЛЬЗУЕМОЙ ДЛЯ ЭЛЕКТРОННОГО
ДОКУМЕНТООБОРОТА
18. ПЭВМ, используемая для электронного документооборота, должна быть оснащена программой защиты от вирусов и вредоносных программ.
19. На ПЭВМ необходимо периодически обновлять базу данных и саму программу защиты от вирусов и вредоносных программ.
20. До начала процесса электронного документооборота ПЭВМ подлежит проверке на наличие вирусов и других вредоносных программ.
21. В случае временного использования другой ПЭВМ для электронного документооборота не допускается сохранение файлов на ее жестком диске.
И ХРАНЕНИЮ ЛОГИНОВ И ПАРОЛЕЙ ДОСТУПА
22. Конфиденциальность логина и пароля доступа участника электронного документооборота обеспечивается самим участником путем неразглашения и хранения в тайне логина и пароля.
23. Пароль доступа должен состоять из комбинации цифр и букв в количестве не менее чем 6 символов, исключая какую-либо закономерность.
VII. ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПОМЕЩЕНИЙ
И ТЕХНИЧЕСКИХ СРЕДСТВ
24. Участниками электронного документооборота должны быть определены помещения для размещения технических средств электронного документооборота, а также посредством устройств контроля доступа должны быть приняты меры по исключению несанкционированного доступа.
25. Для обеспечения защиты указанных помещений должны быть реализованы следующие меры:
на входные двери должны быть установлены замки, гарантирующие надежную защиту помещений в нерабочее время. Для контроля за входом в помещения должны быть установлены замки или другие средства современных систем контроля и регистрации доступа;
помещения должны быть оборудованы сигнализацией и по окончании рабочего дня опечатаны и сданы под охрану.
VIII. КОНТРОЛЬ ЗА ОБЕСПЕЧЕНИЕМ БЕЗОПАСНОСТИ
ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА
26. Контроль за обеспечением безопасности электронного документооборота является неотъемлемой составной частью общего комплекса мер безопасности и осуществляется в рамках всего комплекса технологических, организационных, технических и программных мер и средств защиты на этапах подготовки, обработки, передачи и хранения электронных документов.
27. Контроль за обеспечением безопасности процесса электронного документооборота в Государственном налоговом комитете Республики Узбекистан осуществляется специалистами службы информационной защиты.
28. Настоящая Инструкция согласована с Министерством финансов Республики Узбекистан.
"Собрание законодательства Республики Узбекистан",
2007 г., N 33-34, ст. 349