4. ТРЕБОВАНИЯ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ СДАЧЕ ОТЧЕТНОСТИ СТРАХОВАТЕЛЯМИ В ОРГАНЫ ПФР С ИСПОЛЬЗОВАНИЕМ УСЛУГ УДОСТОВЕРЯЮЩИХ ЦЕНТРОВ И ОРГАНИЗАЦИЙ

4.1. В целях обеспечения защиты персональных данных при сдаче отчетности страхователями в органы ПФР с использованием услуг удостоверяющих центров и организаций в соответствии с Федеральными законами от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования", от 30.04.2008 N 56-ФЗ "О дополнительных страховых взносах на накопительную часть трудовой пенсии и государственной поддержке формирования пенсионных накоплений", от 24.07.2009 N 212-ФЗ "О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования", от 10.01.2002 N 1-ФЗ "Об электронной цифровой подписи", от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 N 152-ФЗ "О персональных данных", Приказом ФАПСИ от 13.06.2001 N 152, Приказом ФСБ России от 09.02.2005 N 66 и руководящими документами ПФР по защите информации устанавливаются следующие требования по информационной безопасности:

4.1.1. Услуги при сдаче отчетности страхователями в органы ПФР должны предоставляться организациями, являющимися юридическими лицами, имеющими необходимые лицензии и сертификаты на используемое программное обеспечение и технические средства.

4.1.2. Устанавливаемое на АРМ сотрудников органов ПФР прикладное программное обеспечение, реализующее технологию приема отчетности от страхователей в территориальные органы ПФР и имеющее в своем составе СКЗИ, должно иметь заключение о корректности встраивания СКЗИ. Заключение о корректности встраивания на СКЗИ класса КС-1 и КС-2 готовится разработчиком технологии сдачи отчетности при наличии соответствующей лицензии ФСБ России либо организацией, имеющей соответствующую лицензию ФСБ России (если встраиванием криптосредств со стороны ФСБ России не предусмотрен техническим заданием на разработку (модернизацию) ПО или информационной системы).

В случае некорректной работы СКЗИ, выявленной в ходе тестирования технологии сдачи отчетности или при ее эксплуатации в территориальных органах ПФР, Управление по защите информации может рекомендовать разработчику технологии направить материалы заключения о корректности встраивания СКЗИ на экспертизу в ФСБ России.

4.1.3. Технологии сдачи отчетности от страхователей в органы ПФР должны предусматривать использование только сертифицированных СКЗИ, обеспечивающих технологическую совместимость с СКЗИ, принятыми в системе ПФР ("Домен-К", "Верба-OW"), на уровне процедур шифрования и электронной цифровой подписи. Конкретные типы СКЗИ, предлагаемые операторами к использованию, должны согласовываться с Управлением по защите информации ПФР, выполняющим функции координирующего органа криптографической защиты с правами, предусмотренными п. 9 Приказа ФАПСИ от 23.06.2001 N 152.

4.1.4. Удостоверяющие центры (УЦ), оказывающие услуги страхователям или организациям по сдаче отчетности в органы ПФР, должны провести кросс-сертификацию с одним из доверенных удостоверяющих центров ПФР. Порядок проведения кросс-сертификации УЦ определяется технологическими документами УЦ ПФР.

4.1.5. Управление ключами шифрования, сертификатами ключей подписи (передача действующих сертификатов ключей подписи и списков отозванных сертификатов между операторами и органами ПФР) должно осуществляться в соответствии с Регламентом работы УЦ ПФР.

4.1.6. Генерация (выработка) ключей шифрования и ЭЦП должна производиться страхователями самостоятельно на своих рабочих местах с последующей передачей в УЦ открытого ключа.

Изготовление закрытых ключей ЭЦП и шифрования удостоверяющим центром допускается только при включении этой услуги в договор со страхователем. При этом существенным условием оказания услуги является обязанность обеспечения УЦ конфиденциальности представляемых ключей и обеспечение безусловного их уничтожения в аппаратно-программных средствах УЦ после переноса на передаваемый страхователю ключевой носитель.

4.1.7. Все передаваемые сведения в открытом виде могут быть представлены только на рабочих местах страхователей и сотрудников органов ПФР. Сведения страхователей должны быть защищены и недоступны для третьих лиц, включая операторов, оказывающих услуги при сдаче отчетности. Программно-аппаратные средства операторов, используемые при информационном обмене между страхователем и органом ПФР, не должны осуществлять следующие действия: расшифровывать - зашифровывать (перешифровывать), снимать ЭЦП и переподписывать другой ЭЦП.

4.1.8. Технологическая проверка полноты и достоверности подготовленных сведений осуществляется встроенными средствами контроля непосредственно на рабочих местах страхователей или сотрудников органов ПФР без привлечения услуг операторов.

АРМы страхователей и работников ПФР должны иметь возможность автономный работы для формирования (приема) отчета, его подписи, шифрования (расшифрования) с последующим сохранением на внешние машинные носители информации (режим off-line).

4.1.9. Взаимодействие программно-аппаратных средств операторов с КСПД ПФР должно осуществляться только через сертифицированные средства межсетевой защиты.

4.1.10. Для обеспечения гарантированной доставки данных между транспортным сервером оператора и сотрудниками органов ПФР рекомендуется использовать транспортный уровень MFTP технологии ViPNet.

В случае использования сетевых протоколов SMTP/POP3 или HTTP обмен должен осуществляться через транспортные серверы организаций или органов ПФР.

Должны быть приняты меры гарантирующие доставку данных в обе стороны, исключающие рассылку СПАМа на рабочие места участников обмена информацией и обеспечена антивирусная защита трафика обмена как на стороне оператора, так и на стороне органа ПФР.

4.1.11. Операторы обязаны исключить хранение и архивирование на своих программно-аппаратных средствах зашифрованных посылок содержащих персональные данные свыше времени, необходимого для их гарантированной доставки (гарантия доставки - получение соответствующей квитанции).

4.1.12. Технологии по бесконтактной сдаче отчетности страхователями в органы ПФР с использованием услуг операторов, до их внедрения (приема в опытную и промышленную эксплуатацию) должны быть представлены в Департамент организации персонифицированного учета, взаимодействия со страхователями и взыскания недоимки и в Управление по защите информации ПФР для проведения стендовых испытаний, оценки организационной и технологической документации на соответствие требованиям ПФР и получения заключения о возможности использования в системе ПФР.

4.1.13. При изменениях программного обеспечения или технологии, затрагивающих вопросы защиты информации, оператор обязан письменно известить о произведенных изменениях Управление по защите информации ПФР до начала использования измененного программного обеспечения или технологии в системе сдачи отчетности в органы ПФР.

По решению Управления по защите информации могут быть проведены дополнительные стендовые испытания с выдачей заключения (предписания) на внесение изменений в представленное программное обеспечение или технологию. Оператор, предложивший изменения обязан провести доработки в соответствии с рекомендациями заключения (предписания).

4.1.14. Координирующий орган криптографической защиты - Управление по защите информации ПФР имеет право проверки выполнения операторами настоящих Требований и в случае их нарушения, приостановки использования технологии сдачи отчетности до устранения выявленных несоответствий.

4.2. При организации приема отчетности от страхователей с использованием услуг операторов между органом ПФР и оператором заключается Соглашение с приложением к нему технологии подготовки, пересылки и обработки информационных посылок и регламента обеспечения защиты информации, в которых должны быть учтены требования, изложенные в данном Регламенте.

4.3. Участники электронного документооборота с ПФР, сдающие отчетность без использования услуг организаций, руководствуются ранее изданными нормативными документами ПФР, а также указаниями Управления по защите информации - координирующего органа криптографической защиты ПФР.