П риложение № 3
к Регламенту
Удостоверяющего центра Федерального казначейства,
утвержденному приказом Федерального казначейства
от «___» ________ 2015 г. №____
Руководство по обеспечению безопасности использования квалифицированной электронной подписи и средств квалифицированной электронной подписи
Общие положения
Настоящее руководство составлено в соответствии с требованиями Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» и является средством официального информирования лиц, заинтересованных в получении или владеющих квалифицированной электронной подписью, об условиях, рисках и порядке использования квалифицированной электронной подписи и средств электронной подписи, а так же о мерах, необходимых для обеспечения безопасности при использовании квалифицированной электронной подписи.
Применение квалифицированной электронной подписи в системах юридически значимого электронного документооборота и иных системах, сопровождаются рисками финансовых убытков и иного рода потерь, связанных с признанием недействительности сделок, совершенных с использованием квалифицированной электронной подписи при несанкционированном получении злоумышленником ключа электронной подписи или несанкционированного использования рабочего места пользователя, на котором осуществляется выработка квалифицированной электронной подписи. В связи с этим необходимо выполнение приведенных ниже организационно-технических и административных мер по обеспечению правильного функционирования средств обработки и передачи информации.
Требования по размещению
При размещении средств квалифицированной электронной подписи:
– должны быть приняты меры по исключению несанкционированного доступа в помещения, в которых размещены средства квалифицированной электронной подписи, посторонним лицам, не имеющим допуск к работе в этих помещениях. В случае необходимости присутствия посторонних лиц в указанных помещениях должен быть обеспечен контроль за их действиями во избежание негативных воздействий с их стороны на средства электронной подписи, средства криптографической защиты и передаваемую информацию;
– внутренняя планировка, расположение и укомплектованность рабочих мест в помещениях должны обеспечивать исполнителям работ сохранность доверенных им конфиденциальных документов и сведений, включая ключевую информацию.
Требования по установке средств квалифицированной электронной подписи, общесистемного и специального программного обеспечения
При использовании средств квалифицированной электронной подписи должны выполняться следующие меры по защите информации от несанкционированного доступа:
Необходимо разработать и применить политику назначения и смены паролей (для входа в ОС, BIOS, при шифровании на пароле и т.д.), использовать фильтры паролей в соответствии со следующими правилами:
– длина пароля должна быть не менее 6 символов;
– в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
– пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, номера телефонов, даты рождения и т.д.), а также сокращения (USER, ADMIN, root, и т.д.);
–- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;
– личный пароль пользователь не имеет права никому сообщать;
– периодичность смены пароля определяется принятой политикой безопасности, но не должна превышать 90 календарных дней.
При использовании ключей электронных подписей средства вычислительной техники должна быть сконфигурирована с учетом следующих требований:
– не использовать нестандартные, измененные или отладочные версии операционных систем;
– исключить возможность загрузки и использования операционной системы, отличной от предусмотренной штатной работой;
– исключить возможность удаленного управления, администрирования и модификации операционной системы и ее настроек;
– на средствах вычислительной техники с установленными средствами квалифицированной электронной подписи должна быть установлена только одна операционная система;
– все неиспользуемые ресурсы системы необходимо отключить (протоколы, сервисы и т.п.);
– режимы безопасности, реализованные в операционной системе, должны быть настроены на максимальный уровень;
– всем пользователям и группам, зарегистрированным в операционной системе, необходимо назначить минимально возможные для нормальной работы права;
– необходимо предусмотреть меры, максимально ограничивающие доступ к:
– ресурсам системы (в соответствующих условиях возможно полное удаление ресурса или его неиспользуемой части):
– системному реестру;
– файлам и каталогам;
– временным файлам;
– журналам системы;
– файлам подкачки;
– кэшируемой информации (пароли и т.п.);
– отладочной информации.
Кроме того необходимо организовать стирание (по окончанию сеанса работы средств квалифицированной электронной подписи) временных файлов и файлов подкачки, формируемых или модифицируемых в процессе их работы. Если это невыполнимо, то на жесткий диск должны распространяться требования, предъявляемые к ключевым носителям.
Должно быть исключено попадание в систему программ, позволяющих использовать ошибки операционной системы, для повышения предоставленных привилегий.
Необходимо регулярно устанавливать пакеты обновлений безопасности операционной системы (Service Packs, Hot fix и т.п.), обновлять антивирусные базы, а также исследовать информационные ресурсы по вопросам компьютерной безопасности с целью своевременной минимизации опасных последствий.
В случае подключения технических средств с установленными средствами квалифицированной электронной подписи к общедоступным сетям передачи данных необходимо исключить возможность открытия и исполнения файлов и скриптовых объектов, полученных из общедоступных сетей передачи данных, без проведения соответствующих проверок на предмет содержания в них программных закладок и вирусов, загружаемых из сети. С целью исключения возможности несанкционированного доступа к системным ресурсам используемых операционных систем к программному обеспечению, в окружении которого функционируют средства квалифицированной электронной подписи и к компонентам средств квалифицированной электронной подписи со стороны указанных сетей, должны использоваться дополнительные методы и средства защиты (например: установка межсетевых экранов, организация VPN-сетей и т.п.). Все средства защиты, должны иметь сертификат уполномоченного органа по сертификации средств защиты.
Организовать и использовать систему аудита, организовать регулярный анализ результатов аудита.
Организовать и использовать комплекс мероприятий по антивирусной защите.
ЗАПРЕЩАЕТСЯ:
– осуществлять несанкционированное копирование ключевых носителей;
– разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным, выводить ключевую информацию на дисплей и принтер и иные средства отображения информации;
– использовать ключевые носители в режимах, не предусмотренных штатным режимом использования ключевого носителя;
– вносить какие-либо изменения в программное обеспечение средств квалифицированной электронной подписи;
– работать со средствами квалифицированной электронной подписи при включенных в техническое средство штатных средствах выхода в радиоканал;
– записывать на ключевые носители постороннюю информацию;
– оставлять средства вычислительной техники с установленными средствами квалифицированной электронной подписи без контроля после ввода ключевой информации.
|
