Приложение N 21. Руководство по обеспечению безопасности использования электронной подписи и средств электронной подписи. Регламент Удостоверяющего центра Министерства информационной политики и массовых коммуникаций Чувашской Республики от 3 июля 2013 г.

Приложение N 21

Руководство
по обеспечению безопасности использования электронной подписи и средств электронной подписи

1. Общие принципы обеспечения информационной безопасности при организации электронного взаимодействия с использованием электронной подписи

Организация электронного взаимодействия с использованием электронной подписи должна осуществляться с учетом требований федеральных законов "Об электронной подписи", "Об информации, информационных технологиях и о защите информации", Постановления Правительства Российской Федерации "Об электронной подписи, используемой органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой, о порядке ее использования, а также об установлении требований к обеспечению совместимости средств электронной подписи" от 9 февраля 2012 года N 111, Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13 июня 2001 г. N 152 (далее - Инструкция ФАПСИ N 152), других федеральных законов и нормативных правовых актов, осуществляющих правовое регулирование отношений в области обеспечения защиты информации и использования электронной подписи, руководящих документов ФСТЭК России и ФСБ России, эксплуатационной и технической документации на используемые средства электронной подписи, средства криптографической защиты информации (далее - СКЗИ).

Если иное не установлено федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или решением о создании корпоративной информационной системы, порядок использования электронной подписи в корпоративной информационной системе может устанавливаться оператором этой системы или соглашением между участниками электронного взаимодействия в ней.

2. Риски, связанные с использованием электронной подписи и средств электронной подписи

В случае, если электронное взаимодействие с использованием электронной подписи осуществляется без учета требований нормативных правовых актов, регулирующих отношения в области использования электронных подписей, могут возникнуть или существенно возрасти риски, связанные с использованием электронной подписи, основными из которых могут являться:

- риски, связанные с проверкой принадлежности ключа электронной подписи, с помощью которой подписан электронный документ, Владельцу сертификата. Лицо, владеющее сертификатом ключа проверки электронной подписи и соответствующим ему ключом электронной подписи, которым был подписан электронный документ, может заявить о том, что электронная подпись, содержащаяся в электронном документе, создана с использованием ключа электронной подписи, который не принадлежит данному Владельцу сертификата;

- риски, связанные с внесенными в электронный документ изменениями, произведенными после его подписания. Лицо, ключом электронной подписи которого был подписан электронный документ, может заявить о том, что содержание документа было изменено и не соответствует содержанию документа, подписанному данным лицом;

- риски, связанные с признанием электронного документа, содержащего электронную подпись. Одна из сторон может заявить о том, что подписанный электронной подписью документ не может порождать юридически значимых последствий или считаться достаточным доказательством в суде;

- риски, связанные с несоответствием условий использования электронной подписи установленному порядку. В случае, если порядок использования электронной подписи и средств электронной подписи не соответствует требованиям нормативных правовых актов Российской Федерации, осуществляющих правовое регулирование отношений в использовании электронной подписи или не соответствует порядку использования электронной подписи, определяемому соглашениями сторон, юридическая значимость подписанных электронной подписью документов может быть поставлена под сомнение;

- риски, связанные с нарушением конфиденциальности ключей электронной подписи (использование ключей электронной подписи без согласия владельца). В случае нарушения конфиденциальности ключей электронной подписи, в том числе компрометации ключей, несанкционированного доступа к ключевым носителям или средствам электронной подписи, может быть принят в исполнение подписанный электронной подписью документ, порождающий юридически значимые последствия и исходящий от имени лица, ключ которого был скомпрометирован;

- риски, связанные с несовместимостью средств электронной подписи, используемых сторонами для организации электронного взаимодействия. Несовместимость средств электронной подписи, протоколов и форматов данных, используемых сторонами для организации электронного взаимодействия, может привести к невозможности проверки электронной подписи или к ее некорректной проверке;

- риски, связанные с определением полномочий лица, подписавшего электронной подписью документ. В случае, если участниками межведомственного электронного взаимодействия не определены лица, участвующие в электронном взаимодействии, полномочия данных лиц по подписанию электронных документов от имени участника межведомственного электронного взаимодействия, а также в случае, если полномочия лица по подписанию электронных документов прекращены, одна из сторон может заявить, что полученный электронный документ содержит электронную подпись лица, не уполномоченного на подписание данного документа, и не может быть принят в исполнение;

- риски, связанные с использованием сертификатов ключей электронной подписи и ключей электронной подписи, прекративших свое действие. В случае использования для подписания электронных документов ключа электронной подписи, прекратившего свое действие на момент подписания, либо, если момент подписания электронного документа не определен, использования сертификата ключа проверки электронной подписи, недействительного на день проверки электронной подписи, сторона, получившая подписанный электронной подписью документ, может заявить о непризнании такого документа юридически значимым.

В целях минимизации и исключения вышеуказанных рисков участникам электронного взаимодействия необходимо предусмотреть обеспечение комплекса правовых и организационно-технических мероприятий по обеспечению информационной безопасности при осуществлении электронного взаимодействия с использованием электронной подписи и средств электронной подписи.

Электронное взаимодействие с использованием электронной подписи, осуществляемое с учетом требований Федерального закона "Об электронной подписи", других федеральных законов, принимаемых в соответствии с ними нормативных правовых актов, регулирующих отношения в области использования электронных подписей, позволяет обеспечить:

- неотказуемость от электронного документа, содержащего электронную подпись. Электронная подпись позволяет определить лицо, подписавшее электронный документ;

- целостность электронного документа. Электронная подпись позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания.

В случае необходимости обеспечения конфиденциальности передаваемой информации ключи электронной подписи и СКЗИ могут использоваться для шифрования электронных документов или для организации передачи данных по защищенным каналам связи.

Средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом "Об электронной подписи", позволяют:

- установить факт изменения подписанного электронного документа после момента его подписания;

- обеспечить практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа ее проверки.

При создании электронной подписи средства электронной подписи:

- показывают лицу, подписывающему электронный документ, содержание информации, которую он подписывает;

- создают электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи;

- однозначно показывают, что электронная подпись создана.

При проверке электронной подписи средства электронной подписи:

- показывают содержание электронного документа, подписанного электронной подписью;

- показывают информацию о внесении изменений в подписанный электронной подписью электронный документ;

- указывают на лицо, с использованием ключа электронной подписи которого подписаны электронные документы.

Одной из составных частей инфраструктуры открытых ключей и системы криптографической защиты информации является удостоверяющий центр, выполняющий функции по изготовлению и обслуживанию сертификатов ключей проверки электронных подписей, используемых участниками электронного взаимодействия.

Удостоверяющий центр осуществляет свою деятельность в строгом соответствии с нормативными правовыми актами Российской Федерации, руководящими документами, эксплуатационной документацией на используемые средства, Регламентом Удостоверяющего центра и другими документами, регулирующими вопросы использования электронной подписи.

Сертификаты ключей проверки электронных подписей, изготавливаемые Удостоверяющим центром, заверяются электронной подписью уполномоченного лица удостоверяющего центра, что подтверждает факт принадлежности ключа электронной подписи конкретному лицу участника электронного взаимодействия. Использование сертификатов позволяет участника электронного взаимодействия идентифицировать лицо, подписавшее электронной подписью документ, а также позволяет подтвердить целостность (неизменность) содержания подписанного электронного документа при проверке электронной подписи. Таким образом, при соблюдении требований нормативных правовых актов, регулирующих отношения в области использования электронных подписей, исключаются риски, связанные с подтверждением подлинности и отказом от содержимого документа, и исключаются риски, связанные с юридической значимостью электронных документов.

3. Требования и рекомендации по обеспечению информационной безопасности при использовании средств электронной подписи

В организации, эксплуатирующей средства электронной подписи (СКЗИ), должны быть предусмотрены организационные и организационно-технические мероприятия, направленные на обеспечение информационной безопасности при использовании средств электронной подписи и определяющие требования к ответственным лицам, автоматизированным рабочим местам пользователей (далее также - АРМ), системному и прикладному программному обеспечению, условиям хранения и использования средств электронной подписи, ключей электронной подписи и ключевых носителей.

3.1. Требования и рекомендации по назначению ответственных лиц.

В организации должны быть определены лица, наделенные полномочиями по подписанию электронных документов электронной подписью, лица, ответственные за осуществление электронного взаимодействии с использованием электронной подписи и имеющих доступ к ключевым носителям, а также лица, ответственные за организацию работ по защите информации и соблюдению условий хранения и использования ключей электронной подписи и средств электронной подписи.

К работе со средствами электронной подписи должны допускаться лица, прошедшие соответствующее обучение и ознакомленные с Инструкцией ФАПСИ N 152, другими нормативными правовыми актами и руководящими документами, в том числе внутренними организационными документами и инструкциями по защите информации и использованию электронной подписи, а также эксплуатационной документацией на используемые средства электронной подписи и Регламентом Удостоверяющего центра.

В организации, эксплуатирующей СКЗИ, должен быть назначен администратор информационной безопасности, на которого возлагаются задачи организации работ по защите информации, подготовки соответствующих инструкций, обучения и инструктажа пользователей, ведению журналов учета СКЗИ, настройке системного, прикладного программного обеспечения, СКЗИ и средств защиты от несанкционированного доступа, устанавливаемого на АРМ пользователей, контролю за соблюдением требований по безопасности, а также взаимодействия с удостоверяющим центром по вопросам использования электронной подписи.

3.2. Требования и рекомендации к помещениям и размещению технических средств АРМ.

Помещения, в которых расположены АРМ, предназначенные для работы со средствами электронной подписи (далее - спецпомещения), должны соответствовать требованиям Инструкции ФАПСИ N 152. Должен быть исключен бесконтрольный допуск лиц, не допущенных к работе в указанных спецпомещениях. В случае необходимости присутствия посторонних лиц в спецпомещениях должен быть обеспечен контроль за их действиями.

Спецпомещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие спецпомещений в нерабочее время. Окна спецпомещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, необходимо оборудовать металлическими решетками, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в спецпомещения.

Размещение АРМ должно производиться с учетом размеров контролируемой зоны и исключать возможность просмотра посторонними лицами работ, осуществляемых на АРМ.

Спецпомещения рекомендуется оснащать охранной сигнализацией, связанной со службой охраны здания или дежурным по организации.

3.3. Требования и рекомендации к АРМ пользователей.

Не допускается оставлять без контроля АРМ при включенном питании и подключенными ключевыми носителями. Перед уходом пользователь должен выключить АРМ либо заблокировать рабочую станцию с использованием средств защиты информации от несанкционированного доступа или с использованием средств операционной системы. Рекомендуется настроить автоматическое включение экранной заставки, защищенной паролем.

На АРМ пользователей рекомендуется установить сертифицированные средства защиты информации от несанкционированного доступа (далее - СЗИ от НСД), такими как электронный замок "Соболь", СЗИ от НСД Secret Net, КСЗИ "Панцирь-К", либо других аналогичных средств защиты, а также сертифицированным антивирусным программным обеспечением.

В целях исключения возможности несанкционированного изменения аппаратной части системного блока администратору рекомендуется предусмотреть опечатывание системного блока АРМ.

Необходимо предусмотреть организацию парольной защиты при включении АРМ и загрузке операционной системы с использованием СЗИ от НСД (средств доверенной загрузки), либо средств BIOS и средств операционной системы (далее также - ОС), также рекомендуется определить установки, исключающие возможность загрузки операционной системы, отличной от установленной на жестком диске, отключить возможность загрузки с внешних съемных дисков, привода CD-ROM, исключить нестандартные виды загрузки ОС, включая сетевую загрузку.

3.4. Требования и рекомендации по настройке системного и прикладного программного обеспечения.

На технических средствах АРМ с установленными средствами электронной подписи необходимо использовать только лицензионное программное обеспечение фирм-изготовителей, полученное из доверенных источников. Не допускается использовать нестандартные, измененные или отладочные версии операционной системы.

Не допускается установка на АРМ средств разработки и отладки программного обеспечения. Необходимо исключить возможность установки средств, позволяющих осуществлять несанкционированный доступ к системным ресурсам, а также вредоносного программного обеспечения, позволяющего несанкционированно получать привилегии администратора.

Рекомендуется ограничить возможности пользователя запуском только тех приложений, которые разрешены администратором безопасности.

Необходимо регулярно отслеживать и устанавливать обновления безопасности для программного обеспечения АРМ (Service Packs, Hot fix и т.п.), обновлять антивирусные базы.

3.4.1. Настройка операционной системы АРМ.

До начала использования средств электронной подписи администратор информационной безопасности должен произвести настройку операционной системы, в среде которой планируется использовать СКЗИ, и осуществлять периодический контроль настроек в соответствии со следующими рекомендациями:

- правом установки и настройки ОС и средств электронной подписи должен обладать только администратор безопасности;

- в целях возможности разграничения прав доступа рекомендуется использовать средства, входящие в состав СЗИ от НСД, для работы ОС рекомендуется использование файловой системы NTFS;

- всем пользователям и группам, зарегистрированным в ОС, необходимо назначить минимально возможные для работы права;

- все привилегии группы Everyone должны быть удалены;

- необходимо исключить использование режима автоматического входа пользователя в операционную систему при ее загрузке без ввода пароля;

- рекомендуется переименовать стандартную учетную запись Administrator;

- рекомендуется отключить учетная запись для гостевого входа Guest;

- исключить возможность удаленного управления, администрирования и модификации ОС и ее настроек, системного реестра, для всех, включая группу Administrators;

- все неиспользуемые ресурсы системы необходимо отключить (протоколы, службы, сервисы и т.п.);

- должно быть исключено или ограничено использование пользователями сервиса Scheduler (планировщик задач). При использовании данного сервиса состав запускаемого программного обеспечения на АРМ согласовывается с администратором информационной безопасности;

- рекомендуется организовать удаление временных файлов и файлов подкачки, формируемых или модифицируемых в процессе работы средств электронной подписи. Если это невыполнимо, то ОС должна использоваться в однопользовательском режиме и на жесткий диск должны распространяться требования, предъявляемые к ключевым носителям;

- должны быть отключены средства удаленного администрирования, в т.ч. подключение к рабочему столу с использованием службы терминалов, в случае если такое подключение осуществляется без использования защищенных каналов связи;

- должны быть установлены ограничения на доступ пользователей к системному реестру путем настройки прав доступа к системному реестру;

- на все директории, содержащие системные файлы Windows и программы из комплекта СКЗИ, должны быть установлены права доступа, запрещающие запись всем пользователям, кроме администратора (Administrator), создателя/владельца (Creator/Owner) и системы (System);

- необходимо обеспечить ведение журналов аудита в ОС, при этом она должна быть настроена на завершение работы при переполнении журналов;

- настройка параметров системного реестра производится в соответствии с эксплуатационной документацией на средства электронной подписи.

3.4.2. Требования и рекомендации при организации парольной защиты.

Рекомендуется разработать и применить политику назначения и смены паролей (для входа в ОС, BIOS, при шифровании на пароле и т.д.), использовать правила формирования и хранения паролей в соответствии со следующими правилами:

- длина пароля должна быть не менее 8 символов;

- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т.д.), а также общепринятые сокращения (USER, ADMIN, ALEX и т.д.);

- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4-х позициях;

- пользователь должен обеспечивать конфиденциальность паролей, не допускается хранить записанные пароли в легкодоступных местах;

- периодичность смены пароля определяется принятой политикой безопасности (инструкцией по организации парольной защиты), но не должна превышать 6 месяцев.

- указанная политика должна применяться для всех учетных записей пользователей, зарегистрированных в операционной системе.

3.4.3. Установка и настройка средств электронной подписи.

Установка и настройка средств электронной подписи (СКЗИ) должна выполняться администратором информационной безопасности либо лицом, ответственным за работоспособность АРМ и прошедшим соответствующее обучение.

Установка средств электронной подписи должна производиться только с дистрибутива, полученного по доверенному каналу, в соответствии с эксплуатационной документацией на средства электронной подписи.

При установке средств электронной подписи должен быть обеспечен контроль целостности устанавливаемого программного обеспечения.

Перед установкой средств электронной подписи необходимо произвести проверку ОС на отсутствие вредоносных программ с помощью антивирусных средств.

После завершения установки осуществляются настройка и контроль работоспособности средств электронной подписи.

3.5. Подключение АРМ к сетям общего пользования.

Не рекомендуется подключать к сетям общего пользования АРМ пользователя средств электронной подписи. В случае необходимости подключения АРМ к сетям связи общего пользования такое подключение рекомендуется производить с использованием сертифицированного межсетевого экрана.

В случае подключения АРМ с установленными средствами электронной подписи к общедоступным сетям передачи данных необходимо ограничить возможность открытия и исполнения файлов и скриптовых объектов (JavaScript, VBScript, ActiveX и т.д.), полученных из сетей общего пользования, без проведения соответствующих проверок на предмет содержания в них программных закладок и вредоносных программ.

3.6. Обращение с ключевыми носителями.

В организации должен быть определен и утвержден порядок учета, хранения и использования носителей ключевой информации, который должен исключать возможность несанкционированного доступа к ним.

Для хранения ключевых носителей в помещениях должны устанавливаться надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствами.

В качестве ключевых носителей рекомендуется использовать сертифицированные USB-ключи и смарт-карты (например eToken, ruToken)

Запрещается:

- выполнять копирование информации с ключевых носителей, которое несанкционированно администратором информационной безопасности;

- знакомить с содержанием ключевых носителей или передавать ключевые носители лицам, к ним не допущенным;

- устанавливать ключевой носитель в другие ПЭВМ, не предназначенные для работы с ключевой информацией;

- записывать на ключевой носитель постороннюю информацию;

- использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой информации с использованием средств электронной подписи либо средств, гарантирующих практическую невозможность восстановления информации с ключевых носителей.

Владелец сертификата обязан:

- хранить в тайне ключ электронной подписи;

- немедленно обратиться в удостоверяющий центр для приостановления действия сертификата ключа проверки электронной подписи или его отзыва в случае компрометации ключа электронной подписи или при наличии оснований полагать, что конфиденциальность данного ключа нарушена;

- не использовать ключ проверки электронной подписи, связанный с сертификатом ключа проверки электронной подписи, который отозван или действие которого приостановлено.

3.7. Учет и контроль.

Действия, связанные с хранением и эксплуатацией средств электронной подписи и ключей электронной подписи, должны фиксироваться в журналах поэкземплярного учета, ведение которого осуществляется администратором информационной безопасности в соответствии с Инструкцией ФАПСИ N 152.

Администратор информационной безопасности должен периодически, не реже одного раза в два месяца, проводить проверку установленного программного обеспечения, журналов аудита операционной системы и средств защиты информации на всех АРМ пользователей, осуществлять контроль за условиями использования и хранения ключевых носителей, а также проводить периодическое тестирование технических и программных средств защиты информации.

В случае обнаружения постороннего программного обеспечения, нарушения целостности программного обеспечения либо выявления факта повреждения печатей на системных блоках работа на АРМ должна быть прекращена. По данному факту должно быть проведено служебное расследование комиссией, назначенной руководителем организации, а также организованы работы по анализу и устранению выявленных нарушений.