ПОСТАНОВЛЕНИЕ ГОСУДАРСТВЕННОГО НАЛОГОВОГО КОМИТЕТА РЕСПУБЛИКИ УЗБЕКИСТАН, УЗБЕКСКОГО АГЕНТСТВА СВЯЗИ И ИНФОРМАТИЗАЦИИ

от 4 июля 2007 года №2007-44, 4 июля 2007 года №17-8/1985

Об утверждении Инструкции для участников электронного документооборота по обеспечению информационной безопасности при представлении финансовой отчетности и налоговых расчетов в электронной форме

В соответствии с Налоговым Кодексом Республики Узбекистан, законами Республики Узбекистан "О государственной налоговой службе", "Об электронной цифровой подписи", "Об электронном документообороте", постановлением Президента Республики Узбекистан от 15.06.2005 г. NПП-100 "О совершенствовании системы отчетности, представляемой субъектами предпринимательства, и усилении ответственности за ее незаконное истребование" (Собрание законодательства Республики Узбекистан, 2005 г., N23-24, ст. 168) и постановлением Кабинета Министров Республики Узбекистан от 04.08.2006 г. N157 "О дальнейшем совершенствовании информационного обслуживания налогоплательщиков и информационной системы органов государственной налоговой службы" постановляем:

1. Утвердить Инструкцию для участников электронного документооборота по обеспечению информационной безопасности при представлении финансовой отчетности и налоговых расчетов в электронной форме согласно приложению.

2. Настоящее постановление вступает в силу по истечении десяти дней с момента его государственной регистрации в Министерстве юстиции Республики Узбекистан.

 

Председатель Государственного налогового комитета

Б.Парпиев

Генеральный директор Узбекского агентства связи и информатизации

А.Арипов

Утверждена постановлением Государственного налогового комитета Республики Узбекистан и Узбекского агентства связи и информатизации от 4 июля 2007 года №2007-44, №17-8/1985

Инструкция для участников электронного документооборота по обеспечению информационной безопасности при представлении финансовой отчетности и налоговых расчетов в электронной форме

Настоящая Инструкция, в соответствии с Налоговым Кодексом Республики Узбекистан, законами Республики Узбекистан "Об электронной цифровой подписи", "Об электронном документообороте", постановлением Президента Республики Узбекистан от 15.06.2005 г. NПП-100 "О совершенствовании системы отчетности, представляемой субъектами предпринимательства, и усилении ответственности за ее незаконное истребование" (Собрание законодательства Республики Узбекистан, 2005 г., N23-24, ст. 168) и постановлением Кабинета Министров Республики Узбекистан от 04.08.2006 г. N157 "О дальнейшем совершенствовании информационного обслуживания налогоплательщиков и информационной системы органов государственной налоговой службы", определяет порядок организации и обеспечения информационной безопасности при представлении финансовой отчетности и налоговых расчетов в электронной форме (далее - налоговая отчетность в электронной форме) посредством телекоммуникационных каналов связи.

Действие настоящей Инструкции распространяется на физические и юридические лица, представляющие налоговую отчетность в электронной форме.

I. Общие положения

1. В целях настоящей Инструкции применяются следующие понятия:

автоматизированное рабочее место (АРМ) - рабочая станция компьютерной сети на базе средств вычислительной техники и специализированных программных средств, отвечающая требованиям эксплуатационной и технической документации;

электронная цифровая подпись (ЭЦП) - подпись в электронном документе, полученная в результате специальных преобразований информации данного электронного документа с использованием закрытого ключа электронной цифровой подписи и позволяющая при помощи открытого ключа электронной цифровой подписи установить отсутствие искажения информации в электронном документе и идентифицировать владельца закрытого ключа электронной цифровой подписи;

владелец закрытого ключа ЭПЦ - физическое лицо, создавшее электронную цифровую подпись (подписывающее электронный документ) и на имя которого Центром регистрации выдан сертификат ключа электронной цифровой подписи;

закрытый ключ ЭЦП - последовательность символов, полученная с использованием средств ЭЦП, известная только подписывающему лицу и предназначенная для создания электронной цифровой подписи в электронном документе;

криптографическая защита информации - комплекс мероприятий, направленных на обеспечение целостности, доступности и конфиденциальности информации, осуществляемых при помощи алгоритмов криптографического преобразования;

компрометация ключа ЭЦП - утрата доверия к тому, что используемые ключи обеспечивают безопасность информации.

К событиям, связанным с компрометацией ключей ЭЦП, относятся, включая, но не ограничиваясь, следующие события:

потеря ключевых носителей;

потеря ключевых носителей с их последующим обнаружением;

увольнение сотрудников, имевших доступ к ключевой информации;

нарушение правил хранения и уничтожения (после окончания срока действия) секретного ключа;

возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;

нарушение печати на сейфе с ключевыми носителями;

случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе, если ключевой носитель вышел из строя, и доказательно не опровергнут факт несанкционированного доступа к нему злоумышленника);

несанкционированный доступ - доступ субъекта к объекту или информации в нарушение установленных в системе правил разграничения доступа;

открытый ключ ЭЦП - последовательность символов, полученная с использованием средств ЭЦП, соответствующая закрытому ключу ЭЦП, доступная любому пользователю информационной системы и предназначенная для подтверждения подлинности ЭЦП в электронном документе;

подтверждение подлинности ЭЦП - положительный результат проверки принадлежности электронной цифровой подписи владельцу закрытого ключа ЭЦП и отсутствия искажений информации в электронном документе;

сертификат ключа ЭЦП (сертификат ключа подписи) - документ, подтверждающий соответствие открытого ключа электронной цифровой подписи закрытому ключу электронной цифровой подписи и выданный Центром регистрации владельцу закрытого ключа электронной цифровой подписи;

средства криптографической защиты информации (СКЗИ) - аппаратные, программные или аппаратно-программные средства, осуществляющие криптографические преобразования информации для обеспечения ее безопасности;

средства ЭЦП - совокупность технических и программных средств, обеспечивающих создание ЭЦП в электронном документе, подтверждение подлинности ЭЦП, создание закрытых и открытых ключей ЭЦП;

формат представления налоговой отчетности в электронной формеформализованное описание состава и структуры показателей налоговой отчетности, представляемых в электронной форме, а также требований к их формированию;

Центр регистрации ключей ЭЦП подписи (далее - Центр регистрации) - юридическое лицо, прошедшее государственную регистрацию в специально уполномоченном органе и выполняющее функции, предусмотренные законодательством;

электронный документ - информация, зафиксированная в электронной форме, подтвержденная электронной цифровой подписью и имеющая другие реквизиты электронного документа, позволяющие его идентифицировать.

2. Участниками электронного документооборота при представлении налоговой отчетности в электронной форме являются:

налогоплательщик - отправитель налоговой отчетности;

органы государственной налоговой службы, осуществляющие прием и обработку налоговой отчетности - получатель налоговой отчетности.

II. Требования к программно-аппаратным средствам представления налоговой отчетности по телекоммуникационным каналам связи

3. Программно-аппаратные средства должны обеспечивать прием и обработку налоговой отчетности в соответствии с форматом представления налоговой отчетности утвержденным в порядке, установленном законодательством.

4. Средства ЭЦП и СКЗИ должны быть совместимы с аналогичными средствами, используемыми в органах государственной налоговой службы.

III. Правила использования средств ЭЦП и СКЗИ

5. Налоговая отчетность представляется в электронной форме по телекоммуникационным каналам связи с использованием средств ЭЦП и СКЗИ.

6. Распространение и учет средств электронной цифровой подписи и средств криптографической защиты информации организуется Центром регистрации в порядке, установленном законодательством, в соответствии с условиями действия лицензии Центра регистрации, а также с требованиями технической документации организаций - разработчиков средств электронной цифровой подписи и средств криптографической защиты информации.

7. К получению, доставке, использованию средств криптографической защиты информации допускается только владелец закрытого ключа электронной цифровой подписи.

IV. Порядок обеспечения информационной безопасности

8. Информационная безопасность должна обеспечиваться комплексом мер:

защитой налоговой отчетности посредством средств ЭЦП и СКЗИ;

установкой устройств контроля доступа к информации.

Информационная безопасность должна строго обеспечиваться участниками электронного документооборота.

9. Установка и настройка СКЗИ на автоматизированное рабочее место, которое предназначено для приема, обработки и передачи данных налоговой отчетности, должны выполняться ответственным лицом в присутствии системного администратора, как у отправителя, так и получателя налоговой отчетности.

Перед вводом в эксплуатацию СКЗИ на автоматизированном рабочем месте необходимо проверить целостность СКЗИ. Запрещается устанавливать СКЗИ, целостность которого нарушена.

10. Автоматизированное рабочее место со встроенными СКЗИ должно использоваться в однопользовательском режиме.

11. Владелец закрытого ключа электронной цифровой подписи, которым является каждый из участников электронного документооборота:

не может использовать для ЭЦП и криптографической защиты информации открытые и закрытые ключи, если ему известно, что эти ключи уже используются в настоящий момент или использовались ранее;

обязан хранить в тайне закрытый ключ;

обязан требовать от Центра регистрации ЭЦП немедленного приостановления действия сертификата ключа при наличии оснований полагать, что тайна закрытого ключа нарушена (компрометация ключа).

12. Участники электронного документооборота должны:

определить и утвердить внутренний порядок учета, хранения и использования ключей ЭЦП и шифрования (кодирования), который должен полностью исключать возможность несанкционированного доступа к ним;

утвердить список лиц, имеющих доступ к ключам ЭЦП и шифрования (кодирования).

13. В помещениях для хранения носителей ключей ЭЦП и шифрования (кодирования) должны устанавливаться сейфы.

14. В случае отсутствия ответственного лица перед загруженной персональной электронной вычислительной машиной (далее - ПЭВМ), предназначенной для электронного документооборота, ответственное лицо должно предварительно блокировать вход в данную ПЭВМ паролем.

15. На ПЭВМ, предназначенной для электронного документооборота, не должно содержаться средств разработки и отладки программных приложений, а также средств, позволяющие осуществлять несанкционированный доступ к системным ресурсам.

16. В случае увольнения сотрудника, имевшего доступ к ключевым носителям, его перевода в другое подразделение (на другую должность) или изменения его функциональных обязанностей, должна быть проведена смена ключей, к которым он имел доступ.

17. Не допускается:

снимать несанкционированные копии с ключевых носителей;

знакомить с содержанием ключевых носителей или передавать ключевые носители лицам, не допущенным к ним;

выводить ключи на экран монитора ПЭВМ или их распечатывать;

устанавливать ключевой носитель в считывающее устройство (дисковод) на ПЭВМ с АРМ, не предусмотренных функционированием системы, а также на другие ПЭВМ;

записывать на ключевой носитель постороннюю информацию.

V. Требования безопасности к ПЭВМ, используемой для электронного документооборота

18. ПЭВМ, используемая для электронного документооборота, должна быть оснащена программой защиты от вирусов и вредоносных программ.

19. На ПЭВМ необходимо периодически обновлять базу данных и саму программу защиты от вирусов и вредоносных программ.

20. До начала процесса электронного документооборота ПЭВМ подлежит проверке на наличие вирусов и других вредоносных программ.

21. В случае временного использования другой ПЭВМ для электронного документооборота не допускается сохранение файлов на ее жестком диске.

VI. Меры по использованию и хранению логинов и паролей доступа

22. Конфиденциальность логина и пароля доступа участника электронного документооборота обеспечивается самим участником путем неразглашения и хранения в тайне логина и пароля.

23. Пароль доступа должен состоять из комбинации цифр и букв в количестве не менее чем 6 символов, исключая какую-либо закономерность.

VII. Обеспечение защиты помещений и технических средств

24. Участниками электронного документооборота должны быть определены помещения для размещения технических средств электронного документооборота, а также посредством устройств контроля доступа должны быть приняты меры по исключению несанкционированного доступа.

25. Для обеспечения защиты указанных помещений должны быть реализованы следующие меры:

на входные двери должны быть установлены замки, гарантирующие надежную защиту помещений в нерабочее время. Для контроля за входом в помещения должны быть установлены замки или другие средства современных систем контроля и регистрации доступа;

помещения должны быть оборудованы сигнализацией и по окончании рабочего дня опечатаны и сданы под охрану.

VIII. Контроль за обеспечением безопасности электронного документооборота

26. Контроль за обеспечением безопасности электронного документооборота является неотъемлемой составной частью общего комплекса мер безопасности и осуществляться в рамках всего комплекса технологических, организационных, технических и программных мер и средств защиты на этапах подготовки, обработки, передачи и хранения электронных документов.

27. Контроль за обеспечением безопасности процесса электронного документооборота в Государственном налоговом комитете Республики Узбекистан осуществляется специалистами службы информационной защиты.

IX. Заключительные положения

28. Настоящая Инструкция согласована с Министерством финансов Республики Узбекистан.