Безопасность электронной подписи

Руководство по безопасности электронной подписи

Руководство по порядку использования и обеспечению безопасности использования электронных подписей и средств электронной подписи

  1. Термины и определения
    1. Владелец сертификата ключа проверки электронной подписи (владелец сертификата) — лицо, которому в установленном Федеральным законом от 06.04.2011 г. № 153-ФЗ "Об электронной подписи" порядке выдан сертификат ключа проверки электронной подписи.
    2. Ключ электронной подписи — уникальная последовательность символов, предназначенная для создания электронной подписи.
    3. Ключ проверки электронной подписи — уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее - проверка ЭП).
    4. Ключевой носитель — физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации, в том числе носитель информации в составе мобильного устройства с установленным на нем приложением IDPoint.
    5. Компрометация ключа электронной подписи — утрата доверия к тому, что используемые ключи электронной подписи недоступны посторонним лицам или подозрение, что ключи электронной подписи были временно доступны неуполномоченным лицам. К событиям, связанным c компрометацией ключа электронной подписи, относятся (включая, но не ограничиваясь):
      • физическая утрата ключевого носителя;
      • потеря ключевого носителя с его последующим обнаружением;
      • передача ключа электронной подписи по открытым каналам связи;
      • перехват ключа электронной подписи вредоносным программным обеспечением;
      • несанкционированный доступ постороннего лица к устройству хранения ключа электронной подписи;
      • случаи, когда невозможно достоверно установить, что произошло с ключевым носителем, в том числе случаи выхода ключевого носителя из строя;
      • сознательная передача ключа электронной подписи постороннему лицу;
      • увольнение сотрудников, имевших доступ к ключу электронной подписи юридического лица;
      • нарушение правил хранения ключевой информации.
    6. Конфиденциальная информация — сведения, независимо от формы их предоставления, которые не могут быть переданы лицом, получившим доступ к данным сведениям, третьим лицам без согласия их владельца, а также информация, доступ к которой ограничен в соответствии с действующим законодательством РФ.
    7. Мобильное приложение IDPoint — программное приложение, предназначенное для установки (загрузки) на мобильное устройство, предоставляющее пользователю возможность создать усиленную квалифицированную электронную подпись, а также осуществлять операции подписи документов в электронном виде с использованием электронных подписей, сформированных в приложении.
    8. Несанкционированный доступ к информации — доступ к информации в нарушение должностных полномочий сотрудника или доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации.
    9. Сертификат ключа проверки электронной подписи (сертификат) — электронный документ или документ на бумажном носителе, выданный удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
    10. Средства электронной подписи (далее - средства ЭП) — шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следуюших функций: создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.
    11. Удостоверяющий центр — юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 06.04.2011 № 63-ФЗ "Об электронной подписи".
    12. Электронный документ — документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах.
    13. Электронная подпись — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
  2. Риски, связанные с использованием электронной подписи.

    К основным рискам, связанным с использованием электронной подписи, относятся:

    1. Несанкционированное подписание электронного документа электронной подписью, которое может быть произведено в результате:
      • компрометации ключа электронной подписи;
      • подмены подписываемого документа в результате работы на компьютере или мобильном устройстве вредоносного программного обеспечения.
    2. Негативные последствия, вызванные невозможностью подписания электронного документа электронной подписью‚ обусловленной следующими событиями:
      • уничтожение (удаление с ключевого носителя) ключа и/или сертификата ключа проверки электронной подписи;
      • неисправность ключевого носителя, на котором хранятся ключ и/или сертификат ключа проверки электронной подписи;
      • блокировка ключевого носителя, вызванная неоднократным вводом некорректного кода доступа (пароля или ПИН-кода);
      • физическая утрата ключевого носителя.
    3. Риск фальсификации электронной подписи.

      Данный риск является скорее гипотетическим, но при использовании несертифицированного средства ЭП или использовании средства ЭП, полученного нелегально, в том числе и не определенным для данного средства способом, может породить следующие реальные риски:

      • Риски отказа автора от своей электронной подписи под электронным документом или признания электронной подписи под электронным документом недействительной, которые могут быть аргументированы возможностью подделки электронной подписи при использовании несертифицированных или полученных нелегальным путем средств ЭП (т.е. не обладающих гарантированной криптографической стойкостью).
      • Риск отказа автора от содержания подписанного электронной подписью электронного документа, которое может быть аргументировано возможностью модификации подписываемого документа при использовании несертифицированных или полученных нелегальным путем средств ЭП (т.е. обладающего недекларированными возможностями).

      В целях снижения рисков, связанных с использованием электронной подписи, необходимо выполнение комплекса организационно-технических и административных мер по обеспечению безопасности использования электронной подписи и средств электронной подписи.

  3. Порядок получения сертифицированных средств ЭП.

    Возможны два легальных способа получения средств ЭП:

    1. Путем загрузки дистрибутива средства ЭП из точки распространения на Интернет-ресурсе производителя. Такой способ получения средства электронной подписи является легитимным только в отношении тех средств ЭП, распространение которых через сеть Интернет согласовано с Федеральной службой безопасности РФ. В настоящее время легитимно распространяемыми через сеть Интернет средствами ЭП являются ViPNet CSP и IDPoint.
    2. На инсталлирующих средства ЭП носителях информации. Распространение инсталлирующих средства ЭП носителей осуществляется организациями, имеющими лицензию Федеральной службы безопасности РФ на выполнение соответствующего вида работ и оказания услуг в отношении шифровальных (криптографических) средств.
  4. Организация работ по обеспечению безопасности использования электронной подписи и средств электронной подписи.
    1. Безопасность использования электронной подписи и средств ЭП должна обеспечиваться на всех этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.
    2. Правом доступа к рабочим местам с установленными средствами ЭП должны обладать только определенные для эксплуатации лица, прошедшие соответствующую подготовку. Каждый пользователь, применяющий средства ЭП, должен быть ознакомлен с настоящим Руководством и документацией на средства ЭП.
  5. Требования по размещению технических средств с установленными средствами ЭП.

    При размещении технических средств с установленными на них средствами ЭП:

    1. Должны быть приняты меры по исключению несанкционированного доступа в помещения, в которых размещены технические средства с установленными средствами ЭП, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в этих помещениях.
    2. Внутренняя планировка, расположение и укомплектованность рабочих мест в помещениях должны обеспечивать исполнителям работ сохранность доверенных им конфиденциальных документов и сведений, включая ключи электронной подписи.
  6. Требования по установке средств ЭП, а также общесистемного и специального программного обеспечения.
    1. Установку общесистемного и специального программного обеспечения (далее — ПО), а также средств ЭП, должны осуществлять лица, прошедшие соответствующую подготовку и изучившие документацию на соответствующее ПО и средство ЭП.
    2. При установке средств ЭП следует:
      • На технических средствах, предназначенных для работы со средствами ЭП, использовать только лицензионное программное обеспечение фирм - изготовителей.
      • На компьютере не должны устанавливаться средства разработки ПО и отладчики. Если средства отладки приложений нужны для технологических потребностей организации, то их использование должно быть санкционировано администратором безопасности. При этом должны быть реализованы меры, исключающие возможность использования этих средств для редактирования кода средств ЭП и приложений, использующих средства ЭП, а также для просмотра кода и областей памяти, используемой средствами ЭП, в процессе обработки средствами ЭП информации и/или при загруженной ключевой информации.
      • Предусмотреть меры, исключающие возможность несанкционированного необнаруживаемого изменения аппаратной части технических средств, на которых установлены средства ЭП (например, путем опечатывания системного блока и разъемов компьютера).
      • Программное обеспечение, устанавливаемое на компьютер с установленным средством ЭП, не должно содержать возможностей, позволяющих:
        • модифицировать содержимое произвольных областей памяти;
        • модифицировать собственный код и код других программ;
        • модифицировать память, выделенную для других программ;
        • передавать управление в область собственных данных и данных других программ;
        • несанкционированно модифицировать файлы, содержащие исполняемые коды при их хранении на жестком диске;
        • модифицировать настройки операционной системы (далее — ОС);
        • использовать недокументированные фирмой-разработчиком функции ОС.
      • Мобильное приложение IDPoint должно загружаться только из магазинов приложений GooglePlay и AppStore.
  7. Требования по защите от несанкционированного доступа при эксплуатации средств ЭП.

    При организации работ по защите информации от несанкционированного доступа (далее - НСД) необходимо руководствоваться требованиями эксплуатационной документации на соответствующее средство ЭП, а также учитывать следующие общие требования:

    1. Необходимо использовать пароли, сформированные в соответствии со следующими правилами:
      • длина пароля должна быть не менее 6 символов;
      • в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
      • пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т. д.), а также общепринятые сокращения (USER, ADMIN, ALEX и т. д.);
      • при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4-х позициях;
      • личный пароль пользователь не имеет права сообщать никому;
      • периодичность смены пароля определяется принятой политикой безопасности, но не должна превышать 1 года.
    2. Запрещается:
      • оставлять без контроля компьютер или мобильное устройство, на котором эксплуатируются средства ЭП, после ввода ключевой информации либо иной конфиденциальной информации;
      • вносить какие-либо изменения в программное обеспечение средств ЭП;
      • осуществлять несанкционированное копирование ключевых носителей;
      • разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным, выводить ключевую информацию на дисплей, принтер и т.п. иные средства отображения информации;
      • использовать ключевые носители в режимах, не предусмотренных функционированием средств ЭП.
    3. Должна быть исключена установка на компьютере или мобильном устройстве программ, позволяющих, пользуясь особенностями ОС, повышать предоставленные привилегии.
    4. Необходимо регулярно устанавливать пакеты обновления безопасности ОС (Service Packs, Hot fix и т.п.), обновлять антивирусные базы, а также исследовать информационные ресурсы по вопросам компьютерной безопасности с целью своевременной минимизации опасных последствий от возможного воздействия на ОС.
    5. При подключении компьютера с установленными средствами ЭП к общедоступным сетям передачи данных, необходимо исключить возможность открытия и исполнения файлов и скриптовых объектов (JavaScript, VBScript, ActiveX), полученных из общедоступных сетей передачи данных, без проведения соответствующих проверок на предмет содержания в них программных закладок и вирусов, загружаемых из сети.
    6. При использовании средств ЭП на компьютерах, подключенных к общедоступным сетям связи, с целью исключения возможности несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют средства ЭП, и к компонентам средств ЭП со стороны указанных сетей, должны использоваться дополнительные методы и средства защиты (например, установка межсетевых экранов и т.п.). При этом предпочтение должно отдаватъся средствам защиты, имеющим сертификат уполномоченного органа по сертификации.
    7. Необходимо использовать средства антивирусной защиты.
    8. Необходимо исключить одновременную работу средств ЭП различных производителей.
    9. К работе со средствами допускаются лица, изучившие настоящее Руководство и пользовательскую Документацию на средства ЭП.
  8. Требования по защите от несанкционированного доступа к ключевой информации при использовании специализированных ключевых носителей (аппаратных токенов).
    1. После получения аппаратного токена (типа eToken, JaCarta, Рутокен и пр.) пользователь должен произвести смену предустановленных на нем PIN-кодов пользователя и администратора, используемых для аутентификации. Значения предустановленных PIN-кодов указаны в эксплуатационной документации на соответствующий аппаратный токен.
    2. PIN-коды должны состоять не менее чем из 6 символов. Символы могут включать в себя как буквы и цифры, так и знаки препинания и т. п., т. е. любые символы, которые можно ввести со стандартной клавиатуры.
    3. При эксплуатации аппаратного токена необходимо учитывать, что после введения неправильного PIN-кода пользователя несколько раз подряд токен блокируется. Разблокировать токен можно при помощи PIN-кода администратора или PUK-кода, в случае использования JaCarta-2 SE для ЕГАИС. В случае введения несколько раз подряд неправильного PIN или PUK-кода администратора разблокировка токена становится невозможной.
    4. В ходе эксплуатации аппаратного токена рекомендуется производить смену действующих PIN-кодов с периодичностью, не превышающей 6 месяцев.
  9. Действия при компрометации ключей электронной подписи.
    1. Пользователь самостоятельно должен определить факт компрометации ключа электронной подписи, оценить значение этого события и выполнить мероприятия по розыску и локализации последствий компрометации ключа электронной подписи.
    2. При компрометации ключа электронной подписи пользователь должен немедленно сообщить в Удостоверяющий центр о факте компрометации. Информация о компрометации должна передаваться в Удостоверяющий центр способом, определенным Регламентом Удостоверяющего центра. По получении информации о компрометации ключа электронной подписи Удостоверяющий центр прекращает действие сертификата соответствующего ключа проверки электронной подписи, в результате чего создание действительной электронной подписи с использованием скомпрометированного ключа электронной подписи становится невозможным.
Яндекс.Метрика
Ваше сообщение или вопрос
Ваш e-mail: Ваш вопрос или сообщение:

Указывая персональные данные, вы соглашаетесь на их обработку.

Ваше сообщение отправлено
Закрыть