Руководство по безопасности электронной подписи
Руководство по порядку использования и обеспечению безопасности использования электронных подписей и средств электронной подписи
- Термины и определения
- Владелец сертификата ключа проверки электронной подписи (владелец сертификата) — лицо, которому в установленном Федеральным законом от 06.04.2011 г. № 153-ФЗ "Об электронной подписи" порядке выдан сертификат ключа проверки электронной подписи.
- Ключ электронной подписи — уникальная последовательность символов, предназначенная для создания электронной подписи.
- Ключ проверки электронной подписи — уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее - проверка ЭП).
- Ключевой носитель — физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации.
- Компрометация ключа электронной подписи — утрата доверия к тому, что используемые ключи электронной подписи недоступны посторонним лицам или подозрение, что ключи электронной подписи были временно доступны неуполномоченным лицам. К событиям, связанным c компрометацией ключа электронной подписи, относятся (включая, но не ограничиваясь):
- физическая утрата ключевого носителя;
- потеря ключевого носителя с его последующим обнаружением;
- передача ключа электронной подписи по открытым каналам связи;
- перехват ключа электронной подписи вредоносным программным обеспечением;
- несанкционированный доступ постороннего лица к устройству хранения ключа электронной подписи;
- случаи, когда невозможно достоверно установить, что произошло с ключевым носителем, в том числе случаи выхода ключевого носителя из строя;
- сознательная передача ключа электронной подписи постороннему лицу;
- увольнение сотрудников, имевших доступ к ключу электронной подписи юридического лица;
- нарушение правил хранения ключевой информации.
- Конфиденциальная информация — сведения, независимо от формы их предоставления, которые не могут быть переданы лицом, получившим доступ к данным сведениям, третьим лицам без согласия их владельца, а также информация, доступ к которой ограничен в соответствии с действующим законодательством РФ.
- Несанкционированный доступ к информации — доступ к информации в нарушение должностных полномочий сотрудника или доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации.
- Сертификат ключа проверки электронной подписи (сертификат) — электронный документ или документ на бумажном носителе, выданный удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
- Средства электронной подписи (далее - средства ЭП) — шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следуюших функций: создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.
- Удостоверяющий центр — юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 06.04.2011 № 63-ФЗ "Об электронной подписи".
- Электронный документ — документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах.
- Электронная подпись — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
- Организация работ по обеспечению безопасности использования электронной подписи и средств электронной подписи
- Безопасность использования электронной подписи и средств ЭП должна обеспечиваться на всех этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.
- Правом доступа к рабочим местам с установленными средствами ЭП должны обладать только определенные для эксплуатации лица, прошедшие соответствующую подготовку. Каждый пользователь, применяющий средства ЭП, должен быть ознакомлен с настоящим Руководством и документацией на средства ЭП.
- Требования по размещению технических средств с установленными средствами ЭП.
При размещении технических средств с установленными на них средствами ЭП:
- Должны быть приняты меры по исключению несанкционированного доступа в помещения, в которых размещены технические средства с установленными средствами ЭП, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в этих помещениях.
- Внутренняя планировка, расположение и укомплектованность рабочих мест в помещениях должны обеспечивать исполнителям работ сохранность доверенных им конфиденциальных документов и сведений, включая ключи электронной подписи.
Требования по установке средств ЭП, а также общесистемного и специального программного обеспечения.
- Установку общесистемного и специального программного обеспечения (далее — ПО), а также средств ЭП, должны осуществлять лица, прошедшие соответствующую подготовку и изучившие документацию на соответствующее ПО и средство ЭП.
- При установке средств ЭП следует:
- На технических средствах, предназначенных для работы со средствами ЭП, использовать только лицензионное программное обеспечение фирм - изготовителей.
- На компьютере не должны устанавливаться средства разработки ПО и отладчики. Если средства отладки приложений нужны для технологических потребностей организации, то их использование должно быть санкционировано администратором безопасности. При этом должны быть реализованы меры, исключающие возможность использования этих средств для редактирования кода средств ЭП и приложений, использующих средства ЭП, а также для просмотра кода и областей памяти, используемой средствами ЭП, в процессе обработки средствами ЭП информации и/или при загруженной ключевой информации.
- Предусмотреть меры, исключающие возможность несанкционированного необнаруживаемого изменения аппаратной части технических средств, на которых установлены средства ЭП (например, путем опечатывания системного блока и разъемов компьютера).
- Программное обеспечение, устанавливаемое на компьютер с установленным средством ЭП, не должно содержать возможностей, позволяющих:
- модифицировать содержимое произвольных областей памяти;
- модифицировать собственный код и код других программ;
- модифицировать память, выделенную для других программ;
- передавать управление в область собственных данных и данных других программ;
- несанкционированно модифицировать файлы, содержащие исполняемые коды при их хранении на жестком диске;
- модифицировать настройки операционной системы (далее — ОС);
- использовать недокументированные фирмой-разработчиком функции ОС.
Требования по защите от несанкционированного доступа при эксплуатации средств ЭП.
При организации работ по защите информации от несанкционированного доступа (далее - НСД) необходимо руководствоваться требованиями эксплуатационной документации на соответствующее средство ЭП, а также учитывать следующие общие требования:
- Необходимо использовать пароли, сформированные в соответствии со следующими правилами:
- длина пароля должна быть не менее 6 символов;
- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т. д.), а также общепринятые сокращения (USER, ADMIN, ALEX и т. д.);
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4-х позициях;
- личный пароль пользователь не имеет права сообщать никому;
- периодичность смены пароля определяется принятой политикой безопасности, но не должна превышать 1 года.
- Запрещается:
- оставлять без контроля компьютер или мобильное устройство, на котором эксплуатируются средства ЭП, после ввода ключевой информации либо иной конфиденциальной информации;
- вносить какие-либо изменения в программное обеспечение средств ЭП;
- осуществлять несанкционированное копирование ключевых носителей;
- разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным, выводить ключевую информацию на дисплей, принтер и т.п. иные средства отображения информации;
- использовать ключевые носители в режимах, не предусмотренных функционированием средств ЭП.
- Должна быть исключена установка на компьютере или мобильном устройстве программ, позволяющих, пользуясь особенностями ОС, повышать предоставленные привилегии.
- Необходимо регулярно устанавливать пакеты обновления безопасности ОС (Service Packs, Hot fix и т.п.), обновлять антивирусные базы, а также исследовать информационные ресурсы по вопросам компьютерной безопасности с целью своевременной минимизации опасных последствий от возможного воздействия на ОС.
- При подключении компьютера с установленными средствами ЭП к общедоступным сетям передачи данных, необходимо исключить возможность открытия и исполнения файлов и скриптовых объектов (JavaScript, VBScript, ActiveX), полученных из общедоступных сетей передачи данных, без проведения соответствующих проверок на предмет содержания в них программных закладок и вирусов, загружаемых из сети.
- При использовании средств ЭП на компьютерах, подключенных к общедоступным сетям связи, с целью исключения возможности несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют средства ЭП, и к компонентам средств ЭП со стороны указанных сетей, должны использоваться дополнительные методы и средства защиты (например, установка межсетевых экранов и т.п.). При этом предпочтение должно отдаватъся средствам защиты, имеющим сертификат уполномоченного органа по сертификации.
- Необходимо использовать средства антивирусной защиты.
- Необходимо исключить одновременную работу средств ЭП различных производителей.
- К работе со средствами допускаются лица, изучившие настоящее Руководство и пользовательскую Документацию на средства ЭП.
Требования по защите от несанкционированного доступа к ключевой информации при использовании специализированных ключевых носителей (аппаратных токенов).
- После получения аппаратного токена (типа eToken, JaCarta, Рутокен и пр.) пользователь должен произвести смену предустановленных на нем PIN-кодов пользователя и администратора, используемых для аутентификации. Значения предустановленных PIN-кодов указаны в эксплуатационной документации на соответствующий аппаратный токен.
- PIN-коды должны состоять не менее чем из 6 символов. Символы могут включать в себя как буквы и цифры, так и знаки препинания и т. п., т. е. любые символы, которые можно ввести со стандартной клавиатуры.
- При эксплуатации аппаратного токена необходимо учитывать, что после введения неправильного
PIN-кода пользователя несколько раз подряд токен блокируется. Разблокировать токен можно при помощи PIN-кода администратора или PUK-кода, в случае использования JaCarta-2 SE для ЕГАИС. В случае введения несколько раз подряд неправильного PIN или PUK-кода администратора разблокировка токена становится невозможной.
- В ходе эксплуатации аппаратного токена рекомендуется производить смену действующих PIN-кодов с периодичностью, не превышающей 6 месяцев.
Действия при компрометации ключей электронной подписи.
- Пользователь самостоятельно должен определить факт компрометации ключа электронной подписи, оценить значение этого события и выполнить мероприятия по розыску и локализации последствий компрометации ключа электронной подписи.
- При компрометации ключа электронной подписи пользователь должен немедленно сообщить в Удостоверяющий центр о факте компрометации. Информация о компрометации должна передаваться в Удостоверяющий центр способом, определенным Регламентом Удостоверяющего центра. По получении информации о компрометации ключа электронной подписи Удостоверяющий центр прекращает действие сертификата соответствующего ключа проверки электронной подписи, в результате чего создание действительной электронной подписи с использованием скомпрометированного ключа электронной подписи становится невозможным.