РУКОВОДСТВО
по обеспечению безопасности использования квалифицированной
электронной подписи и средств квалифицированной электронной подписи
Оренбург, 2017 г.
Содержание
1. Общие положения 2
2. Основные термины и определения 2
3. Организационно-технические меры обеспечения безопасности квалифицированной электронной подписи и средств квалифицированной электронной подписи 4
4. Требования по установке средств электронной подписи, общесистемного и специального программного обеспечения на ПЭВМ 6
Основные термины и определения
Администратор защиты (безопасности) информации | лицо, ответственное за защиту автоматизированной системы от несанкционированного доступа к информации. |
Владелец сертификата ключа проверки электронной подписи | лицо, которому в установленном законом порядке выдан сертификат ключа проверки электронной подписи. |
Квалифицированный сертификат ключа проверки электронной подписи (квалифицированный сертификат) | сертификат ключа проверки электронной подписи, выданный аккредитованным УЦ или доверенным лицом аккредитованного УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи. |
Ключ проверки электронной подписи | уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее – проверка электронной подписи); |
Ключ электронной подписи (КЭП) | уникальная последовательность символов, предназначенная для создания электронной подписи. |
Ключевая информация | специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока. |
Ключевой документ | физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости – контрольную, служебную и технологическую информацию. |
Ключевой носитель | физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). |
Криптографический ключ (криптоключ) | совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе; |
Конфиденциальность информации | обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя |
Персональная электронно вычислительная машина (ПЭВМ) | персональный компьютер пользователя. |
Пользователь УЦ | физическое лицо, уполномоченное организации-заявителя, присоединившимся к Регламенту УЦ и зарегистрированным в УЦ, а также являющийся владельцем сертификата ключа проверки электронной подписи. |
Сертификат ключа проверки электронной подписи (сертификат ключа подписи) | электронный документ или документ на бумажном носителе, выданный УЦ либо доверенным лицом УЦ и подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи. |
Синхропосылка | начальное заполнение одного из регистров шифрователя или значения исходных открытых параметров алгоритма криптографического преобразования. |
Средства электронной подписи | шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций – создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи. |
Удостоверяющий центр (УЦ) | юридическое лицо или индивидуальный предприниматель, осуществляющий функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные законодательством РФ в области электронной подписи. |
Электронная подпись (ЭП) | информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. |
Настоящее «Руководство по обеспечению безопасности использования квалифицированной электронной подписи и средств квалифицированной электронной подписи» (далее – Руководство) разработано в соответствии со следующими нормативно-правовыми актами:
- Федеральный закон от 01.01.2001 г. «Об информации, информационных технологиях и о защите информации»; Федеральный закон от 01.01.2001 г. «О персональных данных»;
- Федеральный закон от 01.01.2001 г. 3 «Об электронной подписи»; Приказ ФСБ России от 01.01.2001 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»; Приказ ФАПСИ от 01.01.01 г. № 000 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
Руководство предназначено для обязательного ознакомления Пользователей УЦ, получивших и использующих квалифицированную электронную подпись и/или средства квалифицированной электронной подписи.
Организационно-технические меры обеспечения безопасности квалифицированной электронной подписи и средств квалифицированной электронной подписиОхрана и организация режима в помещениях, где размещены средства электронной подписи или хранятся ключевые документы к ним (далее – спецпомещение), должны обеспечивать сохранность конфиденциальной информации, средств электронной подписи, ключевых документов и исключать возможность бесконтрольного проникновения в них посторонних лиц, а так же просмотра посторонними лицами ведущихся там работ.
Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны, если таковые имеются.
Спецпомещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие спецпомещений в нерабочее время. Окна спецпомещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, необходимо оборудовать металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в спецпомещения.
Для хранения ключевых документов, эксплуатационной и технической документации, инсталлирующих средства электронной подписи носителей, следует иметь необходимое число надежных металлических хранилищ, оборудованных внутренними замками с двумя экземплярами ключей и кодовыми замками или приспособлениями для опечатывания замочных скважин. Один экземпляр ключа от хранилища должен находиться у сотрудника, ответственного за хранилище. Дубликаты ключей от хранилищ сотрудники хранят в сейфе работника, ответственного за информационную безопасность в организации (далее - администратор безопасности информации).
Должно быть предусмотрено раздельное безопасное хранение действующих и резервных ключевых документов, предназначенных для применения в случае компрометации.
По окончании рабочего дня спецпомещения и установленные в них хранилища должны быть закрыты, хранилища опечатаны. Находящиеся в пользовании ключи от хранилищ должны быть сданы под расписку в соответствующем журнале лицу, уполномоченному (дежурному), который хранит эти ключи в личном или специально выделенном хранилище.
При обнаружении признаков, указывающих на возможное несанкционированное проникновение в эти спецпомещения или хранилища посторонних лиц, о случившемся должно быть немедленно сообщено администратору безопасности информации.
Администратор безопасности информации, должен оценить возможность компрометации хранящихся ключевых и других документов, составить акт и принять, при необходимости, меры к локализации последствий компрометации конфиденциальной информации и к замене скомпрометированных криптоключей.
Размещение и монтаж средств электронной подписи, а также другого оборудования, функционирующего со средствами электронной подписи, в спецпомещениях Пользователей УЦ, должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными средствами электронной подписи.
На время отсутствия Пользователей УЦ должны быть предусмотрены организационно - технические меры, исключающие возможность использования средств электронной подписи посторонними лицами, ключевые документы должны быть убраны в опечатываемое хранилище.
В случае увольнения, Пользователь УЦ обязан сдать администратору безопасности информации, средства электронной подписи, эксплуатационную и техническую документацию к ним, ключевые документы.
Используемые или хранимые средства электронной подписи, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету, в соответствии с требованиями «Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
При увольнении или переводе в другое подразделение (на другую должность), изменении функциональных обязанностей работника, имевшего доступ к ключевым документам, должна быть проведена смена ключей электронной подписи.
Требования по установке средств электронной подписи, общесистемного и специального программного обеспечения на ПЭВМ
ПЭВМ со средствами электронной подписи должны быть оснащены средствами контроля вскрытия (опечатаны, опломбированы), при выявлении факта несанкционированного вскрытия работа на такой ПЭВМ должна быть прекращена.
Инсталляция средств электронной подписи на ПЭВМ производится только с дистрибутива, полученного по доверенному каналу.
На ПЭВМ, предназначенных для работы со средствами электронной подписи необходимо использовать только лицензионное программное обеспечение фирм – изготовителей.
На ПЭВМ не должны устанавливаться средства разработки ПО и отладчики. Если средства отладки приложений нужны для технологических потребностей организации, то их использование должно быть санкционировано администратором безопасности информации. При этом должны быть реализованы меры, исключающие возможность использования этих средств для редактирования кода и памяти средств электронной подписи и приложений, использующих средства электронной подписи, а также для просмотра кода и памяти средств электронной подписи и приложений, использующих средства электронной подписи, в процессе обработки средствами электронной подписи защищаемой информации и/или при загруженной ключевой информации.
Программное обеспечение, устанавливаемое на ПЭВМ со средствами электронной подписи не должно содержать возможностей, позволяющих:
- модифицировать содержимое произвольных областей памяти; модифицировать собственный код и код других подпрограмм; модифицировать память, выделенную для других подпрограмм; передавать управление в область собственных данных и данных других подпрограмм; несанкционированно модифицировать файлы, содержащие исполняемые коды при их хранении на жестком диске; повышать предоставленные привилегии; модифицировать настройки операционной системы (далее – ОС); использовать недокументированные фирмой-разработчиком функции ОС.
При использовании средств электронной подписи должны выполняться следующие меры по защите информации от несанкционированного доступа (далее - НСД).
Необходимо разработать и применить политику назначения и смены паролей (для входа в ОС, BIOS, при шифровании на пароле и т. д.), использовать фильтры паролей в соответствии со следующими правилами:
- длина пароля должна быть не менее 6 символов; в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т. п.); пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т. д.), а также общепринятые сокращения (USER, ADMIN, ALEX и т. д.); при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4-x позициях; личный пароль пользователь не имеет права сообщать никому; периодичность смены пароля определяется принятой политикой безопасности, но не должна превышать 6 месяцев.
Средствами BIOS должна быть исключена возможность работы на ПЭВМ со средствами электронной подписи, если во время её начальной загрузки не проходят встроенные тесты.
В качестве меры по усилению защиты от НСД следует запретить сохранение паролей, используемых в работе средств электронной подписи.
Запрещается:
- оставлять без контроля вычислительные средства, на которых эксплуатируется средство электронной подписи, после ввода ключевой информации либо иной конфиденциальной информации; вносить какие-либо изменения в программное обеспечение средств электронной подписи; осуществлять несанкционированное администратором безопасности копирование ключевых носителей; разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным, выводить ключевую информацию на дисплей, принтер и т. п. иные средства отображения информации; использовать ключевые носители в режимах, не предусмотренных функционированием средств электронной подписи; записывать на ключевые носители постороннюю информацию;
Администратор безопасности информации должен сконфигурировать операционную систему, в среде которой планируется использовать средства электронной подписи, и осуществлять периодический контроль сделанных настроек в соответствии со следующими требованиями:
- не использовать нестандартные, измененные или отладочные версии ОС; исключить возможность загрузки и использования ОС, отличной от предусмотренной штатной работой; исключить возможность удаленного управления, администрирования и модификации ОС и её настроек; на ПЭВМ должна быть установлена только одна операционная система; правом установки и настройки ОС и средств электронной подписи должен обладать только администратор безопасности; все неиспользуемые ресурсы системы необходимо отключить (протоколы, сервисы и т. п.); режимы безопасности, реализованные в ОС, должны быть настроены на максимальный уровень; всем пользователям и группам, зарегистрированным в ОС, необходимо назначить минимально возможные для нормальной работы права; необходимо предусмотреть меры, максимально ограничивающие доступ к следующим ресурсам системы (в соответствующих условиях возможно полное удаление ресурса или его неиспользуемой части):
- системный реестр; файлы и каталоги; временные файлы; журналы системы; файлы подкачки; кэшируемая информация (пароли и т. п.); отладочная информация.
Необходимо организовать стирание (по окончании сеанса работы средств электронной подписи) временных файлов и файлов подкачки, формируемых или модифицируемых в процессе работы средств электронной подписи. Если это не выполнимо, то на жесткий диск должны распространяться требования, предъявляемые к ключевым носителям:
- должно быть исключено попадание в систему программ, позволяющих, пользуясь ошибками ОС, повышать предоставленные привилегии. необходимо регулярно устанавливать пакеты обновления безопасности ОС (Service Packs, Hot fix и т. п.), обновлять антивирусные базы, а также исследовать информационные ресурсы по вопросам компьютерной безопасности с целью своевременной минимизации опасных последствий от возможного воздействия на ОС. в случае подключения ПЭВМ с установленным средствами электронной подписи к общедоступным сетям передачи данных, необходимо исключить возможность открытия и исполнения файлов и скриптовых объектов (например, JavaScript, VBScript, ActiveX), полученных из общедоступных сетей передачи данных, без проведения соответствующих проверок на предмет содержания в них программных закладок и вирусов, загружаемых из сети. при использовании средств электронной подписи на ПЭВМ, подключенных к общедоступным сетям связи, с целью исключения возможности несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют средства электронной подписи, и к компонентам средств электронной подписи со стороны указанных сетей, должны использоваться дополнительные методы и средства защиты (например: установка межсетевых экранов, организация VPN сетей и т. п.). При этом предпочтение должно отдаваться средствам защиты, имеющим сертификат уполномоченного органа по сертификации. организовать и использовать систему аудита, организовать регулярный анализ результатов аудита. организовать и использовать комплекс мероприятий антивирусной защиты. должно быть запрещено использование средств электронной подписи для защиты речевой информации. должна быть запрещена работа средств электронной подписи при включенных в ПЭВМ штатных средствах выхода в радиоканал.
Рекомендуется аппаратуру, на которой устанавливается средство электронной подписи, проверить на отсутствие аппаратных закладок.
Пользователю УЦ не допускается:
1. Осуществлять несанкционированное копирование ключевых носителей.
2. Разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным, выводить ключевую информацию на дисплей и принтер (за исключением случаев, предусмотренных данными правилами).
3. Вставлять ключевой носитель в устройство считывания в режимах, не предусмотренных штатным режимом использования ключевого носителя.
4. Подключать к ПЭВМ дополнительные устройства и соединители, не предусмотренные штатной комплектацией.
5. Работать на компьютере, если во время его начальной загрузки не проходит встроенный тест ОЗУ, предусмотренный в ПЭВМ.
6. Вносить какие-либо изменения в программное обеспечение средств электронной подписи.
7. Изменять настройки, установленные программой установки средств электронной подписи или администратором.
8. Использовать синхропосылки, вырабатываемые не средствами электронной подписи.
9. Обрабатывать на ПЭВМ, оснащенной средствами электронной подписи, информацию, содержащую государственную тайну.
10. Использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой информации средствами электронной подписи.
11. Осуществлять несанкционированное вскрытие системных блоков ПЭВМ.
12. Приносить и использовать в помещении, где размещены средства электронной подписи, радиотелефоны и другую радиопередающую аппаратуру (требование носит рекомендательный характер).
Перечень рекомендаций, приведенных в настоящем документе, не является исчерпывающим. Пользователь УЦ обязан выполнять иные действия, предусмотренные нормативными документами в области защиты информации по предотвращению несанкционированного использования электронной подписи и средств электронной подписи. Пользователь УЦ также обязан в полной мере выполнять требования технической документации на используемые средства электронной подписи.
