Приложение 2. Руководство по обеспечению безопасности использования усиленной электронной подписи. Приказ министерства финансов Краснодарского края от 03.02.2023 N 41 "Об утверждении Регламента органа криптографической защиты информации министерства финансов Краснодарского края"

Приложение 2
к Регламенту органа
криптографической
защиты информации
министерства финансов
Краснодарского края

Руководство
по обеспечению безопасности использования усиленной электронной подписи

1. Общие положения

Настоящее руководство, составленное в соответствии с требованиями Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" и рекомендациями приказа Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", является средством официального информирования лиц, заинтересованных в получении или владеющих сертификатом ключа проверки ЭП, об условиях, рисках и порядке использования ЭП и средств ЭП, а также о мерах, необходимых для обеспечения безопасности при использовании ЭП.

Применение ЭП в системах юридически значимого электронного документооборота и иных системах сопровождаются рисками финансовых убытков и иного рода потерь, связанных с признанием недействительности сделок, совершенных с использованием ЭП, при несанкционированном получении злоумышленником ключа ЭП или несанкционированного использования АРМ обмена ЭД, на котором осуществляется формирование ЭП. В связи с этим необходимо выполнение приведенных ниже организационно-технических и административных мер по обеспечению правильного функционирования средств обработки и передачи информации.

2. Требования к защите технических средств и порядок доступа в спецпомещения

2.1. Обеспечение сохранности средств ЭП и ключевых документов к ним достигается:

определением лиц, допущенных к работе с АРМ обмена ЭД;

ответственным хранением ключевых носителей;

учетом ключевых носителей и контролем за их использованием;

организацией работ по обеспечению безопасности информации.

2.2. Хранение ключевых документов, эксплуатационной и технической документации, установочных дисков (средств ЭП, программного обеспечения АРМ обмена ЭД) необходимо осуществлять в недоступном от посторонних лиц месте.

2.3. В случае несанкционированного доступа к документам, указанным в пункте 2.2, администратор ИБ должен оценить возможность компрометации хранящихся ключевых документов, составить акт и принять меры по замене скомпрометированных ключевых документов.

3. Требования по обеспечению безопасности информации на автоматизированном рабочем месте

3.1. Для обеспечения безопасности информации приказом руководителя участника ЭВ назначаются:

администратор ИБ, а также лицо, исполняющее обязанности администратора ИБ в его отсутствие;

уполномоченные работники, имеющие право использовать ЭП при обмене ЭД с Министерством, знающие правила использования средств ЭП и владеющие практическими навыками работы на средствах вычислительной техники.

3.2. К работе со средствами ЭП допускаются лица, изучившие правила работы с ними, ознакомлены с Регламентом органа криптографической защиты информации Министерства.

3.3. Установка и эксплуатация средств ЭП производится в соответствии с требованиями законодательства Российской Федерации, технической (эксплуатационной) документации и рекомендациями ОКЗИ.

Установка программного обеспечения, конфигурация операционной системы и периодический контроль произведенных настроек, должен выполняться администратором ИБ в соответствии со следующими требованиями:

на технических средствах, на которые устанавливаются средства ЭП, должно использоваться лицензионное общесистемное программное обеспечение;

установка программного обеспечения средств ЭП должна производиться только с дистрибутива, полученного на законных основаниях, при этом должны быть обеспечены меры, исключающие внесение изменений в средства ЭП после их установки;

должна быть исключена возможность загрузки и использования операционной системы в режимах, отличных от предусмотренной штатной работой;

все неиспользуемые службы и процессы операционной системы Windows (в том числе службы удаленного администрирования и управления, службы общего доступа к ресурсам сети) должны быть отключены;

должно устанавливаться лицензионное антивирусное программное обеспечение с регулярно обновляемыми антивирусными базами данных;

режимы безопасности, реализованные в операционной системе, должны быть настроены на максимальный уровень;

всем уполномоченным работникам, имеющим учетную запись в операционной системе, необходимо назначить минимально возможные для нормальной работы права;

должна быть активирована подсистема регистрации событий информационной безопасности;

должна быть включена автоматическая блокировка экрана после ухода уполномоченного работника с рабочего места.

3.4. Программное обеспечение, используемое на технических средствах с установленными средствами ЭП, не должно содержать возможностей, позволяющих:

изменять содержимое произвольных областей памяти;

изменять собственный код и код других подпрограмм;

изменять память выделенную для других подпрограмм;

передавать управление в области собственных данных и данных других подпрограмм;

несанкционированно изменять файлы, содержащие исполняемые коды при их хранении на жестком диске;

повышать предоставленные пользователям привилегии;

изменять настройки операционной системы;

использовать недокументированные функции операционной системы.

Необходимо регулярно устанавливать пакеты обновлений безопасности операционной системы (Service Packs, Hot fix и т.п.).

На АРМ обмена ЭД должны быть предусмотрены меры, максимально ограничивающие доступ к нижеперечисленным ресурсам системы АРМ обмена ЭД:

системному реестру;

к системным файлам и каталогам;

временным файлам;

журналам системы;

файлам подкачки;

кэшируемой информации (пароли и т.п.);

отладочной информации.

3.5. К АРМ обмена ЭД должен быть исключен доступ (физический и (или) удаленный) третьих лиц, не имеющих полномочий для работы на них.

Технические средства АРМ обмена ЭД (системный блок) должны быть оборудованы средствами контроля вскрытия (опечатаны, опломбированы таким образом, чтобы его можно было визуально контролировать).

3.6. В случае подключения АРМ обмена ЭД к общедоступным сетям передачи данных (Интернет), необходимо исключить возможность открытия и исполнения файлов и скриптовых объектов, полученных из общедоступных сетей передачи данных, без проведения соответствующих проверок на предмет содержания в них программных закладок и вирусов.

3.7. При использовании АРМ обмена ЭД должна быть разработана и использована политика назначения и смены паролей. При этом должны выполняться следующие требования:

длина пароля должна быть не менее 8 символов;

в числе символов пароля обязательно должны присутствовать буквы (в верхнем и нижнем регистрах), цифры и служебные символы;

пароль не должен включать в себя легко вычисляемые сочетания символов (например: имена, фамилии, номера телефонов, даты рождения), а также сокращения, например: USER. ADMIN, root и т.д.;

периодичность смены пароля определяется принятой политикой безопасности участника ЭВ.

3.8. Уполномоченным работникам запрещается:

после ввода ключевой информации оставлять технические средства с установленными средствами ЭП без контроля;

осуществлять несанкционированное администратором ИБ копирование ключевых носителей;

разглашать содержимое носителей ключевой информации или передавать ключевые носители лицам, не допущенным к ним, а также выводить ключевую информацию на дисплей, принтер и иные средства отображения информации;

сообщать кому-либо пароли, полученные от администратора ИБ или работника ОКЗИ, а также PIN-коды, назначенные при формировании ключевых документов;

использовать ключевые носители в режимах, не предусмотренных функционированием АРМ обмена ЭД;

записывать на ключевые носители постороннюю информацию;

подключать к техническим средствам с установленными средствами ЭП и средствами криптографической защиты дополнительные устройства и соединители, не предусмотренные штатной комплектацией;

вносить какие-либо изменения в программное обеспечение средств ЭП;

изменять режимы работы средств ЭП;

обрабатывать на АРМ обмена ЭД информацию, содержащую служебную и государственную тайну;

осуществлять несанкционированное вскрытие корпуса АРМ обмена ЭД.

4. Требования по обеспечению информационной безопасности при использовании ключей электронной подписи

4.1. Для записи и хранения ключей ЭП должны использоваться специальные отчуждаемые ключевые носители (например: eToken, RuToken, и т.п.) согласно технической и эксплуатационной документации к ним. Запрещается использовать в качестве ключевого носителя дискеты, память компьютера, реестр компьютера, USB-Flash накопители и другие носители, не предназначенные для хранения ключевой информации.

4.2. Ключи ЭП на ключевом носителе должны защищаться паролем (PIN-кодом). Пароль (PIN-код) к ключевому носителю назначает работник, являющийся владельцем ключей ЭП на этом носителе.

Если процедуру генерации ключей работника Министерства выполняет работник ОКЗИ, то он должен сообщить владельцу ключа ЭП сформированный пароль (PIN-код) к ключевому носителю. В этом случае, ответственность за конфиденциальность пароля (PIN-кода) к ключевому носителю возлагается и на владельца ключа ЭП и работника ОКЗИ.

4.3. Запрещается пересылать файлы с ключевой информацией для работы в системах обмена ЭД по электронной почте сети Интернет или по внутренней электронной почте (кроме запросов на сертификат и открытых ключей).

4.4. Ключ ЭП должен использоваться только его владельцем, либо лицом, уполномоченным на его использование, с согласия владельца ключа ЭП.

Полномочие или согласие по использованию ключа ЭП другим лицом должны быть документально подтверждены.

4.5. Носитель ключевой информации должен быть вставлен в считывающее устройство только на время выполнения средствами ЭП операций формирования и проверки ЭП.

4.6. Обязанность администратора ИБ по изготовлению ключей ЭП, их хранению, приему и выдаче уполномоченным работникам должна быть отражена в распорядительных документах участника ЭВ.

4.7. Запрещается записывать или копировать ключи ЭП на неучтенные ключевые носители.

4.8. Работники Министерства, не имеющие хранилищ индивидуального пользования, исключающих бесконтрольный доступ к ключам ЭП, на период отпуска ключевые носители сдают на хранение в ОКЗИ по лицевому счету.

5. Требования к порядку учета и хранения ключевых документов

5.1. Программное обеспечение на средства ЭП, эксплуатационная и техническая документация к ним, а также ключевые документы участника ЭВ подлежат учету в журнале поэкземплярного учета СКЗИ, определенного приложением 2 к Приказу ФАПСИ N 152.

Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования, например, eToken, RuToken, Data Key, Smart Card и т.п.

Если один и тот же клю