Руководство по обеспечению безопасности использования квалифицированной электронной подписи и средств квалифицированной электронной подписи
-
Общие положения
Настоящее руководство составлено в соответствии с требованиями Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» и является средством официального информирования лиц, заинтересованных в получении или владеющих квалифицированной электронной подписью, об условиях, рисках и порядке использования квалифицированной электронной подписи и средств электронной подписи, а так же о мерах, необходимых для обеспечения безопасности при использовании квалифицированной электронной подписи.
Применение квалифицированной электронной подписи в системах юридически значимого электронного документооборота и иных системах, сопровождаются рисками финансовых убытков и иного рода потерь, связанных с признанием недействительности сделок, совершенных с использованием квалифицированной электронной подписи при несанкционированном получении злоумышленником ключа электронной подписи или несанкционированного использования рабочего места пользователя, на котором осуществляется выработка квалифицированной электронной подписи. В связи с этим необходимо выполнение приведенных ниже организационно-технических и административных мер по обеспечению правильного функционирования средств обработки и передачи информации.
-
Требования по размещению
При размещении средств квалифицированной электронной подписи:
– должны быть приняты меры по исключению несанкционированного доступа в помещения, в которых размещены средства квалифицированной электронной подписи, посторонним лицам, не имеющим допуск к работе в этих помещениях. В случае необходимости присутствия посторонних лиц в указанных помещениях должен быть обеспечен контроль за их действиями во избежание негативных воздействий с их стороны на средства электронной подписи, средства криптографической защиты и передаваемую информацию;
– внутренняя планировка, расположение и укомплектованность рабочих мест в помещениях должны обеспечивать исполнителям работ сохранность доверенных им конфиденциальных документов и сведений, включая ключевую информацию.
-
Требования по установке средств квалифицированной электронной подписи, общесистемного и специального программного обеспечения
3.1. При использовании средств квалифицированной электронной подписи должны выполняться следующие меры по защите информации от несанкционированного доступа:
3.1.1. Необходимо разработать и применить политику назначения и смены паролей (для входа в ОС, BIOS, при шифровании на пароле и т.д.), использовать фильтры паролей в соответствии со следующими правилами:
– длина пароля должна быть не менее 6 символов;
– в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
– пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, номера телефонов, даты рождения и т.д.), а также сокращения (USER, ADMIN, root, и т.д.);
–- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;
– личный пароль пользователь не имеет права никому сообщать;
– периодичность смены пароля определяется принятой политикой безопасности, но не должна превышать 90 календарных дней.
3.1.2. При использовании ключей электронных подписей средства вычислительной техники должны быть сконфигурированы с учетом следующих требований:
– не использовать нестандартные, измененные или отладочные версии операционных систем;
– исключить возможность загрузки и использования операционной системы, отличной от предусмотренной штатной работой;
– исключить возможность удаленного управления, администрирования и модификации операционной системы и ее настроек;
– на средствах вычислительной техники с установленными средствами квалифицированной электронной подписи должна быть установлена только одна операционная система;
– все неиспользуемые ресурсы системы необходимо отключить (протоколы, сервисы и т.п.);
– режимы безопасности, реализованные в операционной системе, должны быть настроены на максимальный уровень;
– всем пользователям и группам, зарегистрированным в операционной системе, необходимо назначить минимально возможные для нормальной работы права;
– необходимо предусмотреть меры, максимально ограничивающие доступ к:
– ресурсам системы (в соответствующих условиях возможно полное удаление ресурса или его неиспользуемой части):
– системному реестру;
– файлам и каталогам;
– временным файлам;
– журналам системы;
– файлам подкачки;
– кэшируемой информации (пароли и т.п.);
– отладочной информации.
3.1.3. На средствах вычислительной техники необходимо:
– организовать стирание (по окончании сеанса работы средств квалифицированной электронной подписи) временных файлов и файлов подкачки, формируемых или модифицируемых в процессе их работы. Если это невыполнимо, то на жесткий диск должны распространяться требования, предъявляемые к ключевым носителям;
– исключить попадание в систему программ, позволяющих использовать ошибки операционной системы, для повышения предоставленных привилегий;
– регулярно устанавливать пакеты обновлений безопасности операционной системы (Service Packs, Hot fix и т.п.), обновлять антивирусные базы, а также исследовать информационные ресурсы по вопросам компьютерной безопасности с целью своевременной минимизации опасных последствий.
3.1.4. В случае подключения технических средств с установленными средствами квалифицированной электронной подписи к общедоступным сетям передачи данных необходимо исключить возможность открытия и исполнения файлов и скриптовых объектов, полученных из общедоступных сетей передачи данных, без проведения соответствующих проверок на предмет содержания в них программных закладок и вирусов, загружаемых из сети. С целью исключения возможности несанкционированного доступа к системным ресурсам используемых операционных систем к программному обеспечению, в окружении которого функционируют средства квалифицированной электронной подписи и к компонентам средств квалифицированной электронной подписи со стороны указанных сетей, должны использоваться дополнительные методы и средства защиты (например: установка межсетевых экранов, организация VPN-сетей и т.п.). Все средства защиты, должны иметь сертификат уполномоченного органа по сертификации средств защиты.
3.1.5. Необходимо организовать и использовать:
– систему аудита, организовать регулярный анализ результатов аудита.
– комплекс мероприятий по антивирусной защите.
3.2. Запрещается:
– осуществлять несанкционированное копирование ключевых носителей;
– разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным, выводить ключевую информацию на дисплей и принтер и иные средства отображения информации;
– использовать ключевые носители в режимах, не предусмотренных штатным режимом использования ключевого носителя;
– вносить какие-либо изменения в программное обеспечение средств квалифицированной электронной подписи;
– работать со средствами квалифицированной электронной подписи при включенных в техническое средство штатных средствах выхода в радиоканал;
– записывать на ключевые носители постороннюю информацию;
– оставлять средства вычислительной техники с установленными средствами квалифицированной электронной подписи без контроля после ввода ключевой информации;
– использовать ключ электронной подписи, связанный с сертификатом ключа проверки электронной подписи, Заявление на изменение статуса которого подано в Удостоверяющий центр Федерального казначейства (далее – УЦ ФК), в течение времени, исчисляемого с момента времени подачи Заявления на изменение статуса сертификата в УЦ ФК по момент времени официального уведомления об изменении статуса сертификата, либо об отказе в изменении статуса;
– использовать ключ электронной подписи, связанный с сертификатом ключа проверки электронной подписи, который аннулирован, действие которого прекращено или приостановлено;
– удалять ключевую информацию с ключевого носителя до истечения срока действия, аннулирования или прекращения действия сертификата ключа проверки электронной подписи.
-
Требования по обеспечению информационной безопасности при обращении с носителями ключевой информации, содержащими ключи квалифицированной электронной подписи
4.1. Меры защиты ключей квалифицированной электронной подписи
Ключи квалифицированной электронной подписи при их создании должны записываться на типы ключевых носителей, которые поддерживаются используемым средством квалифицированной электронной подписи согласно технической и эксплуатационной документации к ним.
Ключи квалифицированной электронной подписи на ключевом носителе могут быть защищены паролем (ПИН-кодом). При этом пароль (ПИН-код) формирует лицо, выполняющее процедуру генерации ключей, в соответствии с требованиями на используемое средство квалифицированной электронной подписи.
Ответственность за конфиденциальность сохранения пароля (ПИН-кода) возлагается на владельца ключа квалифицированной электронной подписи.
4.2. Обращение с ключевой информацией и ключевыми носителями
Недопустимо пересылать файлы с ключевой информацией для работы в системах обмена электронными документами по электронной почте сети Интернет или по внутренней электронной почте (кроме запросов на сертификат и открытых ключей).
Ключевая информация должна размещаться на сменном носителе информации (floppy-диск, USB-flash накопитель, e-Token, ru-Token и др.). Размещение ключевой информации на локальном или сетевом диске, а также во встроенной памяти технического средства с установленными средствами квалифицированной электронной подписи, способствует реализации многочисленных сценариев совершения мошеннических действий злоумышленниками.
Носители ключевой информации должны использоваться только их владельцем либо Уполномоченным лицом на использование данного носителя, и храниться в месте не доступном третьим лицам (сейф, опечатываемый бокс, закрывающийся металлический ящик и т.д.).
Носитель ключевой информации должен быть вставлен в считывающее устройство только на время выполнения средствами квалифицированной электронной подписи операций формирования и проверки квалифицированной электронной подписи, шифрования и дешифрования. Размещение носителя ключевой информации в считывателе на продолжительное время существенно повышает риск несанкционированного доступа к ключевой информации третьими лицами.
На носителе ключевой информации недопустимо хранить иную информацию (в том числе рабочие или личные файлы).
4.3. Обеспечение безопасности АРМ с установленными средствами квалифицированной электронной подписи
С целью контроля исходящего и входящего подозрительного трафика, технические средства с установленными средствами квалифицированной электронной подписи должны быть защищены от внешнего доступа программными или аппаратными средствами межсетевого экранирования. Эти средства должны пресекать отправку в Интернет информации, инициированную программами, не имеющими соответствующих полномочий.
На технических средствах, используемых для работы в системах обмена электронными документами:
– на учетные записи пользователей операционной системы должны быть установлены пароли, удовлетворяющие требованиям, приведенным в разделе 3;
– должно быть установлено только лицензионное программное обеспечение;
– должно быть установлено лицензионное антивирусное программное обеспечение с регулярно обновляемыми антивирусными базами данных;
– должны быть отключены все неиспользуемые службы и процессы операционной системы Windows (в т.ч. службы удаленного администрирования и управления, службы общего доступа к ресурсам сети, системные диски и т.д.);
– должны регулярно устанавливаться обновления операционной системы;
– должен быть исключен доступ (физический и/или удаленный) к техническим средствам с установленными средствами квалифицированной электронной подписи и средствами криптографической защиты третьих лиц, не имеющих полномочий для работы в системе обмена электронными документами;
– должна быть активирована подсистема регистрации событий информационной безопасности;
– должна быть включена автоматическая блокировка экрана после ухода ответственного сотрудника с рабочего места.
В качестве автоматизированного рабочего места для работы в системах обмена электронными документами крайне не рекомендуется выбирать переносной компьютер (ноутбук). Если выбран ноутбук, недопустимо его подключение к сетям общего доступа в местах свободного доступа в Интернет (Интернет-кафе, гостиницы, офисные центры и т.д.), при этом для хранения ключевой информации должен использоваться сменный носитель информации.
В случае передачи (списания, сдачи в ремонт) сторонним лицам технических средств, на которых были установлены средства квалифицированной электронной подписи, необходимо гарантированно удалить всю информацию (при условии исправности технических средств), использование которой третьими лицами может потенциально нанести вред организации, в том числе средства квалифицированной электронной подписи, журналы работы систем обмена электронными документами и т.д.).
-
Дополнительные требования
Дополнительные требования по обеспечению информационной безопасности при работе в системах обмена электронными документами могут дополнительно устанавливаться правилами систем ЭДО, требованиями по эксплуатации и безопасности средств квалифицированной электронной подписи.
|
