Казначейство России составило руководство, в котором изложены условия, риски и порядок работы с квалифицированной электронной подписью (КЭП) и средствами электронной подписи, а также меры безопасности при использовании КЭП. Документ адресован всем владельцам КЭП.

В общих положениях руководства отмечено, что при использовании КЭП обладатели сертификатов обязаны исполнять требования:

  • инструкции по обеспечению безопасности хранения, обработки и отправки по каналам связи с использованием средств криптозащиты информации, утвержденной Приказом ФАПСИ от 13.06.2001 № 152с;
  • положения (ПКЗ-2005), утвержденного Приказом ФСБ РФ от 09.02.2005 № 66;
  • эксплуатационной документации к средствам ЭП;
  • представленных ниже организационно-технических и административных мер по функционированию средств обработки и передачи информации.

Требования по размещению техники со средствами КЭП:

  • исключение несанкционированного доступа;
  • планировка рабочих мест должна обеспечить сохранность доверенных исполнителям конфиденциальных документов и сведений, включая ключевую информацию.

Требования по установке средств КЭП общесистемного и специального ПО:

  • разработка и применение политики назначения и смены паролей;
  • техника должна быть сконфигурирована с учетом стандартных операционных систем (ОС);
  • исключена возможность удаленного доступа к управлению, администрированию и модификации ОС;
  • на каждом экземпляре техники со средствами КЭП должна использоваться только одна ОС;
  • все неиспользуемые сервисы подлежат отключению;
  • установлен максимально возможный в ОС уровень режима безопасности;
  • ограничен доступ к системному реестру, файлам и каталогам, временным файлам, журналам системы, файлам подкачки, кэшируемой информации.

Запрещено:

  • копировать ключевые носители;
  • раскрывать и передавать посторонним содержимое носителей;
  • выводить ключевую информацию на экран и принтер;
  • применять носители в не предусмотренных для них режимах;
  • менять ПО средств КЭП;
  • записывать на носители постороннюю информацию;
  • покидать рабочее место с установленными на компьютере средствами КЭП после ввода ключевой информации;
  • использовать ключ ЭП и сертификат, заявление на изменение статуса которого представлено в казначейство в течение времени, установленного с момента подачи заявления до информирования об изменении статуса сертификата либо об отказе в изменении статуса;
  • использовать аннулированный, прекращенный или приостановленный ключ проверки;
  • удалять ключевую информацию с носителя до истечения срока действия аннулирования или прекращения сертификата.

Требования информационной безопасности с ключами КЭП:

  • КЭП при их создании должны записываться на предварительно отформатированные носители, поддерживаемые применяемым средством КЭП;
  • на все носители должна быть нанесена маркировка с присвоенным заявителем номером учета;
  • носители должны использоваться исключительно их владельцем и храниться в недоступном для посторонних месте (в сейфе, опечатанном боксе и т.д.);
  • носитель должен вставляться в считывающее устройство только на время исполнения средствами КЭП операций по их формированию и проверке. Невыполнение этого требования значительно повышает риск доступа к средствам КЭП третьих лиц;
  • не допускается хранение на носителе никакой посторонней информации;
  • для контроля трафика техника с установленными средствами КЭП должна быть защищена от внешнего доступа средствами межсетевого экранирования. Список необходимых для этого мер указан в документе.

«РУКОВОДСТВО по обеспечению безопасности использования квалифицированной электронной подписи и средств квалифицированной электронной подписи»

 

Документ включен в СПС «КонсультантПлюс»

 

Казначейство выпустило руководство по работе с квалифицированной электронной подписью

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *