Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Распоряжение финансового управления мэрии г. Череповца от 16 августа 2018 г. N 39 "О безбумажной технологии документооборота с главными распорядителями, получателями средств городского бюджета, муниципальными бюджетными и автономными учреждениями города" (с изменениями и дополнениями)
- Приложение 1. Соглашение об обмене электронными платежными документами в автоматизированной системе "Бюджет", автоматизированной системе "Удаленное рабочее место"
- Приложение 3. Рекомендации по информационной безопасности при использовании средств и ключей ЭП
Приложение 3. Рекомендации по информационной безопасности при использовании средств и ключей ЭП
Приложение 3
к Соглашению
от ___________ N___
Рекомендации
по информационной безопасности при использовании средств и ключей ЭП
1. Рекомендации по размещению средств ЭП.
1.1. Размещение, охрана и специальное оборудование помещения, в котором установлены средства ЭП, должны обеспечивать сохранность информации, невозможность неконтролируемого проникновения в эти помещения.
1.2. Эти помещения должны находиться в контролируемой зоне, иметь прочные входные двери, на которые устанавливаются надёжные замки. Двери и окна помещений оборудуются охранной сигнализацией. При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п. окна помещений рекомендуется оборудовать внутренними (раздвижными) решётками.
1.3. Для хранения ключей ЭП в помещениях рекомендуется устанавливать надёжные металлические хранилища, оборудованные внутренними замками с двумя экземплярами ключей.
1.4. По окончании рабочего дня помещение, в котором установлены средства ЭП и хранилища с ключами ЭП, рекомендуется закрывать и ставить под сигнализацию, извещатели которой могут выходить на посты ведомственной или военизированной охраны. Порядок охраны устанавливается на местах.
1.5. Рекомендуется двери помещений во время работы с ключами ЭП держать закрытыми, присутствие посторонних лиц, не имеющих доступа к ключевой информации, исключить.
1.6. Хранение ключей ЭП допускается в одном хранилище с другими документами, при этом отдельно от них и в упаковке, исключающей возможность негласного доступа к ним.
1.7. Для размещения средств ЭП рекомендуется использовать внутренние помещения здания (не граничащие с наружными стенами). Средства ЭП рекомендуется размещать, возможно, ближе к центру помещения и на удалении от наружных стен и стен, смежных с помещениями, где возможно пребывание посторонних лиц, не допущенных к информации ограниченного доступа.
1.8. В помещении, где размещаются средства ЭП, рекомендуется ограничивать применение электро -, радио - и другой аппаратуры.
Внешние модемы следует устанавливать в пределах контролируемой зоны на расстоянии не менее 1 м от средств ЭП.
2. Руководство по применению паролей.
2.1. Общие положения.
2.1.1. Пароль является средством защиты доступа к средствам вычислительной техники и информационным ресурсам и представляет собой символьную последовательность (буквенную, цифровую или смешанную), предъявляемую пользователем в ответ на соответствующий запрос. При положительном результате проверки достоверности предъявленного пользователем пароля:
система управления доступом предоставляет пользователю закрепленные за ним права доступа;
пользователь регистрируется встроенными средствами регистрации (если они имеются).
2.1.2. Пароль эффективен как средство защиты только при правильном его использовании. Пользователи несут полную ответственность за правильность использования паролей, которыми они владеют.
2.1.3. Пароль принадлежит только одному пользователю и применяется для его персонального доступа к средствам вычислительной техники и информационным ресурсам.
2.2. Использование паролей.
Правильное использование пароля заключается в выполнении следующих требований:
пароль должен быть известен только его владельцу;
запрещается сообщать пароль кому бы то ни было;
пользователь должен принять все меры для того, чтобы исключить возможность разглашения принадлежащего ему пароля;
символьная последовательность, составляющая пароль, должна иметь такую длину и содержание, чтобы нельзя было узнать её по её части или владея косвенной информацией о ней, а также нельзя было просто подобрать. Например, нельзя применять пароли, состоящие из одних и тех же или чередующихся символов. Не рекомендуется применять в качестве паролей общеупотребительные слова, основывать пароли на общеизвестных ассоциациях. Длина паролей, используемых для включения компьютера должна быть не менее 8 символов. Длина паролей, используемых для доступа к средствам ЭП должна быть не менее 8 символов;
не следует использовать один и тот же пароль для различных учётных записей; пароли, используемые для доступа к средствам ЭП, должны периодически меняться. Периодичность смены пароля должна быть не реже, чем раз в квартал. В случае разглашения пароля он должен заменяться немедленно; пароли, используемые для доступа к компьютеру, заменяются в случае разглашения.
2.3. Резервирование паролей.
2.3.1. По решению руководителя Клиента, либо руководителя структурного подразделения Клиента (далее - руководитель) может применяться резервирование некоторых паролей, таких, как пароли администраторов серверов и автоматизированных систем, пароли ответственных должностных лиц, пароли отдельных пользователей, выполняющих важные функции, единственно возможные пароли.
2.3.2. Для резервирования пароля:
лист с записью пароля вкладывается владельцем в конверт. Конверт не должен допускать просмотр записи пароля на просвет. Если конверт недостаточно плотный, в него может быть также вложен лист темной бумаги. Конверт заклеивается. На конверте владелец пароля указывает свою должность, фамилию и инициалы, наименование информационного средства, которое защищается этим паролем, текущие дату и время, при необходимости - другие данные, и заверяет запись личной подписью;
конверт передаётся для хранения руководителю или лицу, им для этого назначенному, и учитывается в специальном разделе Журнала учёта средств защиты информации. Учётный номер (сквозной по журналу) проставляется ответственным за хранение на конверте.
2.3.3. Конверты с паролями хранятся в сейфе. Ответственный за хранение не реже чем один раз в неделю проверяет их наличие по журналу учёта.
2.3.4. При замене пароля конверт передаётся владельцу пароля, который уничтожает лист с резервным паролем, о чем делается запись в журнале учёта. Новый резервный пароль подготавливается к хранению в порядке указанном в пункте 2.3.2. настоящих требований. Новый конверт учитывается в журнале учёта отдельной позицией.
2.3.5. Вскрытие конверта с паролем производится по решению руководителя подразделения в случае необходимости использования прав доступа его владельца в отсутствие самого владельца, если иными способами получить доступ невозможно. Для вскрытия конверта назначается комиссия не менее чем из трёх сотрудников подразделения. О вскрытии конверта комиссией составляется акт, утверждаемый руководителем подразделения, который по окончании работы комиссии хранится в документах руководителя или лица им назначенного.
2.3.6. С целью сохранения прав доступа, закреплённых за пользователем, которому принадлежал пароль, на время его отсутствия назначается сотрудник, который заменяет пароль владельца на свой собственный. По прибытии владельца ему возвращаются его права доступа, и он назначает новый пароль.
2.4. Для доступа к особо критичным средствам вычислительной техники и информации вместо пароля должны применяться средства сильной аутентификации (автоматическая выработка случайных паролей максимальной длины и их хранение на аппаратных носителях: touch-memory, смарт-картах и т.п.).
3. Рекомендации по применению ЭП.
3.1. Использование ЭП в качестве аналога собственноручной подписи предполагает визуальный контроль владельцем СКП содержания электронного документа перед его подписанием и отправкой.
3.2. Владельцем СКП может являться руководитель или сотрудник, которому от имени Клиента предоставлено право удостоверения соответствия электронных документов оригиналам.
При изменении реквизитов владельца ключа (смена руководителя организации, названия и т. д.), а также компрометации закрытого ключа требуется отозвать текущий сертификат и оформить новый.
3.3. В системах ЭПД использование ЭП должно осуществляться с соблюдением следующих принципов безопасности:
3.3.1. Сотрудники, имеющие права защиты (удостоверения содержания) электронных платёжных документов, назначаются приказами или распоряжениями руководства Клиента. При этом руководитель несет персональную ответственность за подбор указанных сотрудников. Эти сотрудники могут не быть должностными лицами, обладающими правами первой и второй подписи оригинальных платежных документов (бумажных). Формирование (подготовка исходного текста) и отправка ЭПД может осуществляться как указанными лицами, так и другими сотрудниками, которым это поручено руководителем Клиента.
3.3.2. Основанием для защиты и передачи электронного платежного документа по системе электронного документооборота является либо наличие полностью надлежаще оформленного и подписанного уполномоченными лицами соответствующего бумажного документа, либо наличие соответствующего электронного документа (или его заверенной распечатки), полученного с соблюдением пункта 3.1 настоящих требований.
3.4. Допускается назначение доверенного лица владельцем СКП, в случае если владельцем СКП является руководитель Клиента.
3.4.1 Доверенные лица имеют право подписи электронных документов ключом владельца при наличии распечаток этих документов на бумажном носителе, подписанных владельцем СКП и заверенных печатью Клиента. Владелец СКП (доверенное лицо), подписавший электронный документ, несет ответственность за содержание подписанного электронного платежного документа.
3.4.2. Назначение доверенных лиц оформляется распоряжением руководителя Клиента, с указанием на право удостоверения подлинности электронных платежных документов (в соответствии с п. 3.2 настоящих рекомендаций).
3.4.3. Передача носителя с ключом ЭП от владельца СКП доверенному лицу и наоборот должна фиксироваться владельцем СКП в специально предназначенном для этого журнале. Данный журнал может оформляться в произвольном виде, но с обязательными полями: "тип носителя ЭП", "идентификатор ЭП", "дата и время передачи носителя", "фамилия, инициалы и подпись лица, принявшего носитель".
3.5. Основными угрозами при использовании ЭП для защиты систем электронного документооборота являются компрометация ключей ЭП отправителей электронных документов и внедрение в базы ключей проверки ЭП получателей электронных документов фальшивых или выведенных из действия сертификатов ключей проверки ЭП, а также нарушение целостности программного обеспечения, реализующего функции формирования и проверки ЭП.
3.6. В процессе всего периода использования и хранения ключей ЭП должна быть обеспечена их надежная защита от компрометации.
3.7. Носители ключей ЭП должны храниться в сейфах (металлических шкафах), а при нахождении носителей вне сейфов владельцы СКП (доверенные лица) должны принять необходимые меры, направленные на исключение компрометации ключа ЭП.
3.8. При хранении в сейфе (металлическом шкафу) коллективного пользования носитель ключа ЭП должен быть помещен в опечатанный конверт, пенал или другие средства, позволяющие обнаружить несанкционированный доступ к носителю ключа со стороны других пользователей сейфа.
3.9. Владелец СКП несет ответственность за соблюдение правил хранения носителя ключа ЭП и правильность его использования.