язык интерфейса

Законодательство РУз

Законодательство РУз/ Информация. Информатизация. Связь/ Электронная цифровая подпись. Электронный документооборот/ Инструкция для участников электронного документооборота по обеспечению информационной безопасности при представлении финансовой отчетности и налоговых расчетов в электронной форме (Утверждена Постановлением от 04.07.2007 г. ГНК N 2007-44 и УзАСИ N 17-8/1985, зарегистрированным МЮ 13.08.2007 г. N 1702)

Полный текст документа доступен в платной версии. По вопросам звоните на короткий номер 1172

УТВЕРЖДЕНА

Постановлением от 04.07.2007 г.

ГНК N 2007-44 и УзАСИ N 17-8/1985,

зарегистрированным МЮ

13.08.2007 г. N 1702



ИНСТРУКЦИЯ

для участников электронного документооборота

по обеспечению информационной безопасности

при   представлении   финансовой   отчетности

и налоговых расчетов в электронной форме


          

Настоящая Инструкция, в соответствии с Налоговым кодексом Республики Узбекистан, законами Республики Узбекистан "Об электронной цифровой подписи", "Об электронном документообороте", постановлением Президента Республики Узбекистан от 15 июня 2005 года N ПП-100 "О совершенствовании системы отчетности, представляемой субъектами предпринимательства, и усилении ответственности за ее незаконное истребование" (Собрание законодательства Республики Узбекистан, 2005 г., N 23-24, ст. 168) и постановлением Кабинета Министров Республики Узбекистан от 4 августа 2006 года N 157 "О дальнейшем совершенствовании информационного обслуживания налогоплательщиков и информационной системы органов государственной налоговой службы" определяет порядок организации и обеспечения информационной безопасности при представлении финансовой отчетности и налоговых расчетов в электронной форме (далее - налоговая отчетность в электронной форме) посредством телекоммуникационных каналов связи.

Действие настоящей Инструкции распространяется на физические и юридические лица, представляющие налоговую отчетность в электронной форме.



I. ОБЩИЕ ПОЛОЖЕНИЯ


1. В целях настоящей Инструкции применяются следующие понятия:


автоматизированное рабочее место (АРМ) - рабочая станция компьютерной сети на базе средств вычислительной техники и специализированных программных средств, отвечающая требованиям эксплуатационной и технической документации;


электронная цифровая подпись (ЭЦП) - подпись в электронном документе, полученная в результате специальных преобразований информации данного электронного документа с использованием закрытого ключа электронной цифровой подписи и позволяющая при помощи открытого ключа электронной цифровой подписи установить отсутствие искажения информации в электронном документе и идентифицировать владельца закрытого ключа электронной цифровой подписи.


владелец закрытого ключа ЭЦП - физическое лицо, создавшее электронную цифровую подпись (подписывающее электронный документ) и на имя которого Центром регистрации выдан сертификат ключа электронной цифровой подписи;


закрытый ключ ЭЦП - последовательность символов, полученная с использованием средств ЭЦП, известная только подписывающему лицу и предназначенная для создания электронной цифровой подписи в электронном документе;


криптографическая защита информации - комплекс мероприятий, направленных на обеспечение целостности, доступности и конфиденциальности информации, осуществляемых при помощи алгоритмов криптографического преобразования;


компрометация ключа ЭЦП - утрата доверия к тому, что используемые ключи обеспечивают безопасность информации.

К событиям, связанным с компрометацией ключей ЭЦП относятся, включая, но не ограничиваясь, следующие события:

потеря ключевых носителей;

потеря ключевых носителей с их последующим обнаружением;

увольнение сотрудников, имевших доступ к ключевой информации;

нарушение правил хранения и уничтожения (после окончания срока действия) секретного ключа;

возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;

нарушение печати на сейфе с ключевыми носителями;

случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе, если ключевой носитель вышел из строя, и доказательно не опровергнут факт несанкционированного доступа к нему злоумышленника);


несанкционированный доступ - доступ субъекта к объекту или информации в нарушение установленных в системе правил разграничения доступа;


открытый ключ ЭЦП - последовательность символов, полученная с использованием средств ЭЦП, соответствующая закрытому ключу ЭЦП, доступная любому пользователю информационной системы и предназначенная для подтверждения подлинности ЭЦП в электронном документе;


подтверждение подлинности ЭЦП - положительный результат проверки принадлежности электронной цифровой подписи владельцу закрытого ключа ЭЦП и отсутствия искажений информации в электронном документе;


сертификат ключа ЭЦП (сертификат ключа подписи) - документ, подтверждающий соответствие открытого ключа электронной цифровой подписи закрытому ключу электронной цифровой подписи и выданный Центром регистрации владельцу закрытого ключа электронной цифровой подписи;


средства криптографической защиты информации (СКЗИ) - аппаратные, программные или аппаратно-программные средства, осуществляющие криптографические преобразования информации для обеспечения ее безопасности;


средства ЭЦП - совокупность технических и программных средств, обеспечивающих создание ЭЦП в электронном документе, подтверждение подлинности ЭЦП, создание закрытых и открытых ключей ЭЦП;


формат представления налоговой отчетности в электронной форме - формализованное описание состава и структуры показателей налоговой отчетности, представляемых в электронной форме, а также требований к их формированию;


Центр регистрации ключей ЭЦП подписи (далее - Центр регистрации) - юридическое лицо, прошедшее государственную регистрацию в специально уполномоченном органе и выполняющее функции, предусмотренные законодательством;


электронный документ - информация, зафиксированная в электронной форме, подтвержденная электронной цифровой подписью и имеющая другие реквизиты электронного документа, позволяющие его идентифицировать;


2. Участниками электронного документооборота при представлении налоговой отчетности в электронной форме являются:

налогоплательщик - отправитель налоговой отчетности;

органы государственной налоговой службы, осуществляющие прием и обработку налоговой отчетности - получатель налоговой отчетности.



II. ТРЕБОВАНИЯ К ПРОГРАММНО-АППАРАТНЫМ

СРЕДСТВАМ ПРЕДСТАВЛЕНИЯ НАЛОГОВОЙ

ОТЧЕТНОСТИ ПО ТЕЛЕКОММУНИКАЦИОННЫМ

КАНАЛАМ СВЯЗИ


3. Программно-аппаратные средства должны обеспечивать прием и обработку налоговой отчетности в соответствии с форматом представления налоговой отчетности, утвержденным в порядке, установленном законодательством.


4. Средства ЭЦП и СКЗИ должны быть совместимы с аналогичными средствами, используемыми в органах государственной налоговой службы.



III. ПРАВИЛА ИСПОЛЬЗОВАНИЯ

СРЕДСТВ ЭЦП И СКЗИ


5. Налоговая отчетность представляется в электронной форме по телекоммуникационным каналам связи с использованием средств ЭЦП и СКЗИ.


6. Распространение и учет средств электронной цифровой подписи и средств криптографической защиты информации организуется Центром регистрации в порядке, установленном законодательством, в соответствии с условиями действия лицензии Центра регистрации, а также с требованиями технической документации организаций - разработчиков средств электронной цифровой подписи и средств криптографической защиты информации.


7. К получению, доставке, использованию средств криптографической защиты информации допускается только владелец закрытого ключа электронной цифровой подписи.



IV. ПОРЯДОК ОБЕСПЕЧЕНИЯ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


8. Информационная безопасность должна обеспечиваться комплексом мер:

защитой налоговой отчетности посредством средств ЭЦП и СКЗИ;

установкой устройств контроля доступа к информации.

Информационная безопасность должна строго обеспечиваться участниками электронного документооборота.


9. Установка и настройка СКЗИ на автоматизированное рабочее место, которое предназначено для приема, обработки и передачи данных налоговой отчетности, должны выполняться ответственным лицом в присутствии системного администратора, как у отправителя, так и получателя налоговой отчетности.

Перед вводом в эксплуатацию СКЗИ на автоматизированном рабочем месте необходимо проверить целостность СКЗИ. Запрещается устанавливать СКЗИ, целостность которого нарушена.


10. Автоматизированное рабочее место со встроенными СКЗИ должно использоваться в однопользовательском режиме.


11. Владелец закрытого ключа электронной цифровой подписи, которым является каждый из участников электронного документооборота:

не может использовать для ЭЦП и криптографической защиты информации открытые и закрытые ключи, если ему известно, что эти ключи уже используются в настоящий момент или использовались ранее;

обязан хранить в тайне закрытый ключ;

обязан требовать от Центра регистрации ЭЦП немедленного приостановления действия сертификата ключа при наличии оснований полагать, что тайна закрытого ключа нарушена (компрометация ключа).


12. Участники электронного документооборота должны:

определить и утвердить внутренний порядок учета, хранения и использования ключей ЭЦП и шифрования (кодирования), который должен полностью исключать возможность несанкционированного доступа к ним;

утвердить список лиц, имеющих доступ к ключам ЭЦП и шифрования (кодирования).


13. В помещениях для хранения носителей ключей ЭЦП и шифрования (кодирования) должны устанавливаться сейфы.


14. В случае отсутствия ответственного лица перед загруженной персональной электронной вычислительной машиной (далее - ПЭВМ), предназначенной для электронного документооборота, ответственное лицо должно предварительно блокировать вход в данную ПЭВМ паролем.


15. На ПЭВМ, предназначенной для электронного документооборота, не должно содержаться средств разработки и отладки программных приложений, а также средств, позволяющих осуществлять несанкционированный доступ к системным ресурсам.


16. В случае увольнения сотрудника, имевшего доступ к ключевым носителям, его перевода в другое подразделение (на другую должность) или изменения его функциональных обязанностей, должна быть проведена смена ключей, к которым он имел доступ.


17. Не допускается:

снимать несанкционированные копии с ключевых носителей;

знакомить с содержанием ключевых носителей или передавать ключевые носители лицам, не допущенным к ним;

выводить ключи на экран монитора ПЭВМ или их распечатывать;

устанавливать ключевой носитель в считывающее устройство (дисковод) на ПЭВМ с АРМ, не предусмотренных функционированием системы, а также на другие ПЭВМ;

записывать на ключевой носитель постороннюю информацию.



V. ТРЕБОВАНИЯ БЕЗОПАСНОСТИ К ПЭВМ,

ИСПОЛЬЗУЕМОЙ ДЛЯ ЭЛЕКТРОННОГО

ДОКУМЕНТООБОРОТА


18. ПЭВМ, используемая для электронного документооборота, должна быть оснащена программой защиты от вирусов и вредоносных программ.


19. На ПЭВМ необходимо периодически обновлять базу данных и саму программу защиты от вирусов и вредоносных программ.


20. До начала процесса электронного документооборота ПЭВМ подлежит проверке на наличие вирусов и других вредоносных программ.


21. В случае временного использования другой ПЭВМ для электронного документооборота не допускается сохранение файлов на ее жестком диске.



VI. МЕРЫ ПО ИСПОЛЬЗОВАНИЮ

И ХРАНЕНИЮ ЛОГИНОВ И ПАРОЛЕЙ ДОСТУПА


22. Конфиденциальность логина и пароля доступа участника электронного документооборота обеспечивается самим участником путем неразглашения и хранения в тайне логина и пароля.


23. Пароль доступа должен состоять из комбинации цифр и букв в количестве не менее чем 6 символов, исключая какую-либо закономерность.



VII. ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПОМЕЩЕНИЙ

И ТЕХНИЧЕСКИХ СРЕДСТВ


24. Участниками электронного документооборота должны быть определены помещения для размещения технических средств электронного документооборота, а также посредством устройств контроля доступа должны быть приняты меры по исключению несанкционированного доступа.


25. Для обеспечения защиты указанных помещений должны быть реализованы следующие меры:

на входные двери должны быть установлены замки, гарантирующие надежную защиту помещений в нерабочее время. Для контроля за входом в помещения должны быть установлены замки или другие средства современных систем контроля и регистрации доступа;

помещения должны быть оборудованы сигнализацией и по окончании рабочего дня опечатаны и сданы под охрану.



VIII. КОНТРОЛЬ ЗА ОБЕСПЕЧЕНИЕМ БЕЗОПАСНОСТИ

ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА


26. Контроль за обеспечением безопасности электронного документооборота является неотъемлемой составной частью общего комплекса мер безопасности и осуществляется в рамках всего комплекса технологических, организационных, технических и программных мер и средств защиты на этапах подготовки, обработки, передачи и хранения электронных документов.


27. Контроль за обеспечением безопасности процесса электронного документооборота в Государственном налоговом комитете Республики Узбекистан осуществляется специалистами службы информационной защиты.



IX. ЗАКЛЮЧИТЕЛЬНОЕ ПОЛОЖЕНИЕ


28. Настоящая Инструкция согласована с Министерством финансов Республики Узбекистан.



"Собрание законодательства Республики Узбекистан",

2007 г., N 33-34, ст. 349