«Руководство по обеспечению безопасности использования квалифицированной электронной подписи и средств квалифицированной электронной подписи»

Казначейство России составило руководство, в котором изложены условия, риски и порядок работы с квалифицированной электронной подписью (КЭП) и средствами электронной подписи, а также меры безопасности при использовании КЭП. Документ адресован всем владельцам КЭП.

В общих положениях руководства отмечено, что при использовании КЭП обладатели сертификатов обязаны исполнять требования:

• инструкции по обеспечению безопасности хранения, обработки и отправки по каналам связи с использованием средств криптозащиты информации, утвержденной Приказом ФАПСИ от 13.06.2001 № 152с;
• положения (ПКЗ-2005), утвержденного Приказом ФСБ РФ от 09.02.2005 № 66;
• эксплуатационной документации к средствам ЭП;
• представленных ниже организационно-технических и административных мер по функционированию средств обработки и передачи информации.

Требования по размещению техники со средствами КЭП:

• исключение несанкционированного доступа;
• планировка рабочих мест должна обеспечить сохранность доверенных исполнителям конфиденциальных документов и сведений, включая ключевую информацию.

Требования по установке средств КЭП общесистемного и специального ПО:

• разработка и применение политики назначения и смены паролей;
• техника должна быть сконфигурирована с учетом стандартных операционных систем (ОС);
• исключена возможность удаленного доступа к управлению, администрированию и модификации ОС;
• на каждом экземпляре техники со средствами КЭП должна использоваться только одна ОС;
• все неиспользуемые сервисы подлежат отключению;
• установлен максимально возможный в ОС уровень режима безопасности;
• ограничен доступ к системному реестру, файлам и каталогам, временным файлам, журналам системы, файлам подкачки, кэшируемой информации.

Запрещено:

• копировать ключевые носители;
• раскрывать и передавать посторонним содержимое носителей;
• выводить ключевую информацию на экран и принтер;
• применять носители в не предусмотренных для них режимах;
• менять ПО средств КЭП;
• записывать на носители постороннюю информацию;
• покидать рабочее место с установленными на компьютере средствами КЭП после ввода ключевой информации;
• использовать ключ ЭП и сертификат, заявление на изменение статуса которого представлено в казначейство в течение времени, установленного с момента подачи заявления до информирования об изменении статуса сертификата либо об отказе в изменении статуса;
• использовать аннулированный, прекращенный или приостановленный ключ проверки;
• удалять ключевую информацию с носителя до истечения срока действия аннулирования или прекращения сертификата.

Требования информационной безопасности с ключами КЭП:

• КЭП при их создании должны записываться на предварительно отформатированные носители, поддерживаемые применяемым средством КЭП;
• на все носители должна быть нанесена маркировка с присвоенным заявителем номером учета;
• носители должны использоваться исключительно их владельцем и храниться в недоступном для посторонних месте (в сейфе, опечатанном боксе и т.д.);
• носитель должен вставляться в считывающее устройство только на время исполнения средствами КЭП операций по их формированию и проверке. Невыполнение этого требования значительно повышает риск доступа к средствам КЭП третьих лиц;
• не допускается хранение на носителе никакой посторонней информации;
• для контроля трафика техника с установленными средствами КЭП должна быть защищена от внешнего доступа средствами межсетевого экранирования. Список необходимых для этого мер указан в документе.

Источник: ВБ