4.2. Управление ключевой информацией

4.2.1. Управление ключевой информацией осуществляют администраторы безопасности информации, уполномоченные лица УЦ ФК и администраторы АРМ Участника.

4.2.2. Ключевая информация содержит сведения конфиденциального характера, хранится на учтенных в установленном порядке носителях ключевой информации и не подлежит передаче третьим лицам.

4.2.3. Носители ключевой информации относятся к материальным носителям, содержащим информацию ограниченного распространения. При обращении с ними должны выполняться требования "Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", утвержденной Приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13.06.2001 N 152 (далее - Инструкция N 152), иных документов, регламентирующих порядок обращения с информацией ограниченного распространения в федеральных органах исполнительной власти, и настоящих Правил.

4.2.4. Учет носителей ключевой информации осуществляют администраторы безопасности информации и администраторы АРМ Участника по соответствующим учетным формам.

4.2.5. Требования по организации хранения и использования носителей ключевой информации.

4.2.5.1. Порядок хранения и использования носителей ключевой информации должен исключать возможность несанкционированного доступа к ним.

4.2.5.2. Во время работы с носителями ключевой информации доступ к ним посторонних лиц должен быть исключен.

4.2.5.3. Не разрешается:

- производить несанкционированное копирование носителей ключевой информации;

- знакомить или передавать носители ключевой информации лицам, к ним не допущенным;

- выводить ключи ЭП на дисплей или принтер;

- вставлять носитель ключевой информации в считывающее устройство других компьютеров;

- оставлять носитель ключевой информации без присмотра на рабочем месте;

- записывать на носитель ключевой информации посторонние файлы.

4.2.6. Порядок работы с ключами аутентификации для организации шифрованной связи (при использовании аппаратно-программного комплекса шифрования (далее - АПКШ) "Континент").

4.2.6.1. В качестве ключей и сертификата аутентификации могут использоваться сертификаты, выданные удостоверяющим центром Федерального казначейства с наличием в их составе идентификатора "аутентификация клиента". Порядок получения плановой смены ключей и сертификатов, в указанном пункте описан в Регламенте удостоверяющего центра Федерального казначейства.

4.2.6.2. Формирование комплекта ключей аутентификации и запроса на получение сертификата открытого ключа аутентификации осуществляется администратором АРМ Участника с последующей передачей запроса администратору безопасности информации Представителя Организатора любым доступным способом (администратор безопасности информации Представителя Организатора может формировать ключи аутентификации, соответствующий запрос и сертификат только для обеспечения проверки подключения АРМ Участника и проведения тестового обмена ЭД с Участником по защищенным каналам связи).

4.2.6.3. Мероприятия по обеспечению удаленного защищенного доступа к информационным ресурсам Организатора и выпуску сертификата открытого ключа аутентификации осуществляются администратором безопасности информации Организатора в соответствии с эксплуатационной документацией на СКЗИ.

4.2.6.4. Передача сертификата открытого ключа аутентификации администратору АРМ Участника или представителю Участника, действующего на основании доверенности, осуществляется администратором безопасности информации Представителя Организатора любым доступным способом. Срок действия ключа аутентификации и соответствующего сертификата - один год и три месяца.

4.2.6.5. За две недели до окончания срока действия ключей аутентификации администратор АРМ Участника осуществляет формирование нового комплекта ключей и соответствующего запроса на получение сертификата открытого ключа аутентификации, который направляет администратору безопасности информации Представителя Организатора.

4.2.6.6. О всех случаях компрометации закрытых ключей аутентификации администратор АРМ Участника извещает администратора безопасности информации Организатора. В этом случае формируется новый комплект ключей аутентификации в соответствии с п. 4.2.6.2.

4.2.7. Порядок работы с ключами ЭП определяется Регламентом УЦ ФК. При этом документы, необходимые для получения Сертификатов, представляются Участником в РЦР Представителя Организатора.

4.2.8. Все работы, связанные с управлением списком отозванных сертификатов и поддержанием его в актуальном состоянии, обеспечиваются УЦ ФК.

4.3. Порядок действий при компрометации и отзыве ключей ЭП определяется Регламентом УЦ ФК. При этом взаимодействие Участника осуществляется с РЦР Представителя Организатора.

4.4. Порядок действий при компрометации закрытых ключей аутентификации.

4.4.1. При компрометации закрытого ключа аутентификации уполномоченное лицо Участника немедленно прекращает его использование и незамедлительно сообщает об этом администратору АРМ Участника, а тот, в свою очередь, - администратору безопасности информации Организатора.

4.4.2. После получения от владельца Сертификата Участника сообщения о компрометации закрытого ключа аутентификации администратор безопасности информации Организатора проверяет достоверность полученного сообщения. В случае подтверждения полученной информации инициируется процедура отзыва или приостановления действия соответствующего Сертификата.

4.4.3. Уведомление о компрометации закрытых ключей аутентификации должно быть подтверждено официальным уведомлением Участника о компрометации в письменном виде, направленном в адрес Организатора.

4.4.4. Использовать скомпрометированные закрытые ключи аутентификации для организации защищенного канала связи запрещается.

4.5.4. В случае компрометации закрытого ключа аутентификации Участник установленным порядком изготавливает новые открытый и закрытый ключи аутентификации.