Современные технологии
на защите Вашего бизнеса
Тверь, пр-т Комсомольский, 11 кор.1 Тверь, ул. 2-я Серова, 12
4822 509-509 4822 509-000 тех.п. 509-823
Заказать звонок

Заказать звонок

Ваш телефон:
Современные технологии
на защите Вашего бизнеса

РУКОВОДСТВО

по обеспечению безопасности использования электронной подписи

и средств электронной подписи

 

Использование электронныхподписейсопровождаетсярискамифинансовых потерьпринесанкционированном получениизлоумышленникамиключей электроннойподписиили несанкционированногоиспользованиярабочего  места пользователя, на котором осуществляется  выработка электронной подписи. В целях минимизации  рисков необходимопринять меры по обеспечению безопасности использованияэлектронныхподписей. Настоящее руководство предназначено для обязательного ознакомления владельцу сертификата ЭП и сотруднику организации, ответственному за информационную безопасность.

Порядок действий пользователя

Пользователи Удостоверяющего центра получаютсредства  криптографическойзащиты информации(далее–СКЗИ), сертифицированные впорядке,установленном законодательствомРоссийской Федерации.

Владелец сертификата ключа проверки электронной подписи обязан:

  • Не использовать для электронной подписи и шифрования ключи, если ему известно, что эти ключи уже используются или использовались ранее.
  • Хранить в тайне закрытый ключ.
  • Немедленно требовать приостановления действия сертификата ключа при наличии оснований полагать, что тайна закрытого ключа нарушена (компрометация ключа).
  • Обновлять (перевыпускать) ключ и сертификат ключа проверки подписи в соответствии с установленным регламентом.

Рекомендуется:

  • Установка и настройка СКЗИ на рабочем месте должна выполняться в присутствии администратора.
  • Перед установкой необходимо проверить целостность программного обеспечения СКЗИ.
  • Запрещается устанавливать СКЗИ, целостность которого нарушена.

Компрометация ключа

Компрометация ключа – это утрата доверия к тому, что используемый ключ обеспечивает безопасность информации. К событиям, связанным с компрометацией ключей относятся, включая, но не ограничиваясь, следующие:

  • Потеря ключевых носителей.
  • Потеря ключевых носителей с их последующим обнаружением.
  • Увольнение сотрудников, имеющих доступ к ключевой информации.
  • Нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа.
  • Возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи.
  • Нарушение печати на сейфе с ключевыми носителями.
  • Случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника).

Рекомендуемые меры по обеспечению информационной безопасности в организации

  • Администрирование компьютера должно осуществляться доверенными лицами.
    • ПЭВМ,  на    которых  используется  СКЗИ,  должны  соответствовать требованиямпо  защитеинформации в соответствии с эксплуатационной документацией на СКЗИ.
    • На рабочих местах,предназначенныхдляработыс СКЗИ,должно использоваться   только   лицензионное   программное   обеспечение, установлены   сертифицированные   ФСБ    России    средства антивируснойзащиты, внедренаполитиканазначенияисменыпаролей.
  • Системныеблоки  ПЭВМс СКЗИдолжныбытьоборудованысредствами контроляихвскрытия
  • Хранение ключевых носителей осуществляется в запираемыхшкафах  (хранилищах,сейфах) индивидуального пользования.
  • В случае увольнения или перевода в другое подразделение сотрудника, имевшего доступ к ключевым носителям, должна быть проведена смена ключей, к которым он имел доступ.
  • НЕ допускается:

ü       Делать несанкционированные копии с ключевых носителей.

ü       Знакомить с содержанием или передавать ключевые носители лицам, к ним не допущенным.

ü       Выводить секретные ключи на принтер

ü       Устанавливать ключевой носитель в ПЭВМ, не предназначенные для работы с СКЗИ.

ü       Записывать на ключевой носитель постороннюю информацию

ü       ОставлятьбезконтроляПЭВМ,накоторыхэксплуатируется СКЗИ,послеввода ключевой информации.

ü       Хранить пароли в виде записей на бумажных носителях, находящихся в общедоступных местах или в незащищенных файлах компьютера.

Нормативныессылки

1. ФедеральныйзаконРФот06.04.2011№63-ФЗ«Обэлектроннойподписи».

2. ЗаконРФ"Oбинформации,информационныхтехнологияхиозащитеинформации",27.07.2006 №149-ФЗ.

3. Положение   о   разработке,   производстве,   реализации   и   эксплуатации    шифровальных (криптографических)средствзащитыинформации(ПКЗ-2005),утвержденноеприказомФСБРоссииот 09.02.2005  №66.

4. Инструкцияоборганизациииобеспечениибезопасностихраненияобработкиипередачипо каналамсвязисиспользованием СКЗИинформациисограниченнымдоступом,несодержащейсведений, составляющихгосударственнуютайну,утвержденнаяприказомФАПСИот13.06.2001№152.

5. Эксплуатационнаядокументацияна СКЗИ  Крипто Про CSP.