Использование ЭЦП на различных уровнях документооборота

реклама
Приложение
к приказу ФСТ России
от «___» ____200 г. №___
Порядок использования электронной цифровой подписи в Единой
информационно-аналитической системе
«ФСТ России-РЭК-субъекты регулирования»
I. Общие положения
1. Настоящий Порядок использования электронной цифровой подписи в
Единой информационно-аналитической системе «ФСТ России-РЭК-субъекты
регулирования» (далее – Порядок) разработан в соответствии с Федеральным
законом от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи»
(Собрание законодательства Российской Федерации, 2002, № 2, ст. 127; 2007, №46,
ст. 5554) (далее – Федеральный закон № 1-ФЗ).
2. Настоящий Порядок предназначен для использования организациями,
представляющими
субъекты),
статистическую
органами
отчетность
государственного
(далее
регулирования
-
отчитывающиеся
тарифов
субъектов
Российской Федерации и органами регулирования муниципальных образований,
Федеральной
службой
по
тарифам
при
представлении
статистической
информации в электронном виде в рамках Единой информационно-аналитической
системы «ФСТ России-РЭК-субъекты регулирования».
3. Понятия, используемые в Порядке, соответствуют определениям, данным
в Федеральном законе № 1-ФЗ, и иных нормативных правовых актов.
4. В настоящем Порядке используются следующие термины и определения:
3
Электронный
документ
(ЭД)
-
документ,
в
котором
информация
представлена в электронно-цифровой форме.
Электронная цифровая подпись (ЭЦП) - реквизит электронного документа,
предназначенный для защиты данного электронного документа от подделки,
полученный в результате криптографического преобразования информации с
использованием закрытого ключа электронной цифровой подписи и позволяющий
идентифицировать владельца сертификата ключа подписи, а также установить
отсутствие искажения информации в электронном документе.
Владелец сертификата ключа подписи - физическое лицо, на имя которого
удостоверяющим центром выдан сертификат ключа подписи и которое владеет
соответствующим
закрытым
ключом
электронной
цифровой
подписи,
позволяющим с помощью средств электронной цифровой подписи создавать свою
электронную цифровую подпись в электронных документах (подписывать
электронные документы).
СКЗИ (средство ЭЦП) - аппаратные и (или) программные средства,
обеспечивающие реализацию хотя бы одной из следующих функций - создание
электронной цифровой подписи в электронном документе с использованием
закрытого
ключа
электронной
цифровой
подписи,
подтверждение
с
использованием открытого ключа электронной цифровой подписи подлинности
электронной цифровой подписи в электронном документе, создание закрытых и
открытых ключей электронных цифровых подписей.
Сертификат ключа подписи (средства ЭЦП) - документ на бумажном
носителе или электронный документ с электронной цифровой подписью
уполномоченного лица удостоверяющего центра, которые включают в себя
открытый
ключ
удостоверяющим
электронной
центром
цифровой
участнику
подписи
и
которые
информационной
выдаются
системы
для
подтверждения подлинности электронной цифровой подписи и идентификации
владельца сертификата ключа подписи.
4
Ключи ЭЦП - открытый и закрытый ключи ЭЦП.
Ключи шифрования - открытый и закрытый ключи шифрования.
Закрытый ключ ЭЦП - уникальная последовательность символов, известная
владельцу сертификата ключа подписи и предназначенная для создания в
электронных документах электронной цифровой подписи с использованием
средств электронной цифровой подписи.
Закрытый ключ шифрования - уникальная последовательность символов,
известная только Уполномоченному представителю Абонента и предназначенная
для шифрования потока данных.
Открытый
ключ
ЭЦП
-
уникальная
последовательность
символов,
соответствующая закрытому ключу электронной цифровой подписи, доступная
любому
пользователю
информационной
системы
и
предназначенная
для
подтверждения с использованием средств электронной цифровой подписи
подлинности электронной цифровой подписи в электронном документе.
Открытый ключ шифрования - уникальная последовательность символов,
соответствующая
закрытому
ключу
шифрования,
предназначенная
для
шифрования потока данных.
ЕИАС ФСТ России - корпоративная единая информационно – аналитическая
система «ФСТ – РЭК – Субъекты регулирования», владельцем которой является
ФСТ России, представляющая собой совокупность вычислительных средств,
программного обеспечения, баз данных, телекоммуникационных средств, другого
оборудования,
и
предназначенная
для
формирования,
приема-передачи
электронных документов, заверенных электронной цифровой подписью, а также
для обработки и получения информации.
Сторона (Стороны) - ФСТ России, органы государственного регулирования
тарифов
субъектов
Российской
Федерации
и
органы
регулирования
муниципальных образований, субъекты регулирования.
РЭК - региональная энергетическая комиссия - орган государственного
5
регулирования тарифов субъекта Российской Федерации.
Абонент - физическое или юридическое лицо, заключившее с владельцем
системы соглашение об использовании ЕИАС ФСТ России.
АРМ Специалиста - программный комплекс, предназначенный для
обеспечения приема/передачи, формирования сообщений в форме электронного
документа, создания ЭЦП, проверки на подлинность электронных документов,
направляемых ФСТ России, РЭК и Абонентом друг другу, а также получения
информации посредством системы ЕИАС ФСТ России.
Уполномоченный
представитель
Абонента
-
лицо,
уполномоченное
Абонентом на совершение от имени Абонента – юридического лица действий,
предусмотренных законодательством Российской Федерации, посредством обмена
электронными документами, подписанными ЭЦП.
Обработка
заявления
на
аннулирование
(отзыв),
приостановление/
возобновление действия сертификата ключа подписи - совокупность действий по
занесению сведений об аннулировании (отзыве), приостановлении/возобновлении
действия сертификата ключа подписи в реестр удостоверяющего центра и
уведомлению
пользователя
об
аннулировании
(отзыве),
приостановлении/возобновлении действия сертификата ключа подписи.
Удостоверяющий центр (УЦ) - юридическое лицо, выполняющее функции,
предусмотренные Федеральным законом №1-ФЗ.
Оператор Удостоверяющего Центра - работник удостоверяющего центра,
занимающийся
рассмотрением
и
обработкой
заявлений
на
изготовление,
аннулирование (отзыв), приостановление/возобновление действия сертификатов
ключей подписи.
Список отозванных сертификатов (СОС) - электронный документ с
электронной цифровой подписью Уполномоченного лица Удостоверяющего
Центра, включающий в себя список серийных номеров сертификатов ключей
подписи, которые на определенный момент времени были аннулированы
6
(отозваны), или действие которых было приостановлено.
Идентификатор области применения (OID) - идентификатор, определяющий
отношения, при осуществлении которых электронный документ с электронной
цифровой подписью будет иметь юридическое значение.
5. Настоящий Порядок определяет:
- порядок создания и использования ЭЦП в процессе организации
информационного обмена при представлении юридическими лицами, их
филиалами
и
представительствами,
гражданами,
занимающимися
предпринимательской деятельностью без образования юридического лица,
статистической информации в электронном виде по телекоммуникационным
каналам связи (далее - представление статистической информации в электронном
виде) в ЕИАС ФСТ России;
- порядок подключения организаций к системе информационного обмена
электронными документами с ЭЦП по телекоммуникационным каналам связи;
- порядок организации защиты информации в ЕИАС ФСТ России при
обмене электронными документами.
6.
Участниками
информационного
обмена
при
представлении
статистической информации в электронном виде являются:
6.1. организации, представляющие статистическую отчетность (далее отчитывающиеся субъекты);
6.2. органы государственного регулирования тарифов субъектов Российской
Федерации и органы регулирования муниципальных образований;
6.3. Федеральная служба по тарифам.
7.
Информационный
обмен
происходит
с
участием
организаций,
осуществляющих передачу статистической информации в электронном виде по
каналам связи от отчитывающихся субъектов в органы государственного
регулирования тарифов субъектов Российской Федерации и ФСТ России. Данные
организации предоставляют в ФСТ России следующие документы:
7
7.1. лицензии уполномоченного федерального органа исполнительной
власти на телематические услуги связи;
7.2. лицензии уполномоченного федерального органа исполнительной
власти на право предоставления услуг в области шифрования информации;
7.3. сертификаты программного обеспечения, позволяющего обеспечить
передачу статистической отчетности в электронном виде и выдачу участникам
информационного обмена соответствующих подтверждений;
7.4. подтверждающие наличие телекоммуникационной инфраструктуры,
обеспечивающей предоставление заявленного перечня услуг и техническую
возможность их предоставления (средства предоставления услуг должны иметь
соответствующие
сертификаты
уполномоченного
федерального
органа
исполнительной власти в области связи и массовых коммуникаций);
7.5. подтверждающие наличие штатного подразделения, обеспечивающего
эффективную эксплуатацию телекоммуникационной инфраструктуры;
7.6. подтверждающие наличие технологических и кадровых возможностей
поддержки заявленного количества абонентов в системе.
Порядок использования услуг указанных организаций определяется ФСТ
России.
8.
Отношения
между
участниками
информационного
обмена
при
представлении статистической информации в электронном виде регулируются:
Гражданским кодексом Российской Федерации, Федеральным законом №1-ФЗ,
Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации,
информационных
технологиях
и
о
защите
информации»
(Собрание
законодательства Российской Федерации, 2006, №31 (часть 1), ст. 3448),
Положением об условиях предоставления в обязательном порядке первичных
статистических данных и административных данных субъектам официального
статистического учета, утвержденным постановлением Правительства Российской
Федерации от 18 августа 2008 г. № 620 (Собрание законодательства Российской
8
Федерации, 2008, №34, ст. 3929), иными нормативными правовыми актами, а
также настоящим Порядком.
8. Сбор статистической информации от организаций в электронном виде
осуществляется через систему ЕИАС ФСТ России. Порядок регистрации
организации в системе ЕИАС ФСТ России приведен в Приложении 1 к
настоящему Порядку.
10. Представление статистической информации в электронном виде
осуществляется по инициативе отчитывающего субъекта и при наличии у него и
РЭК совместимых технических средств и возможностей для ее приема и
обработки в соответствии со стандартами, форматами и процедурами, принятыми
в ФСТ России.
11. При представлении статистической информации в электронном виде в
соответствии с настоящим Порядком использования ЭЦП, отчитывающийся
субъект не обязан представлять ее в ФСТ России или РЭК на бумажном носителе.
12. При представлении статистической информации в электронном виде, в
соответствии с Порядком, Стороны обеспечивают хранение ее в электронном виде
в порядке, установленном ФСТ России.
13.
При
представлении
отчитывающимся
субъектом
статистической
информации в электронном виде ФСТ России или РЭК обязаны:
13.1. принять статистическую информацию в электронном виде после
проверки корректности ЭЦП отчитывающегося субъекта;
13.2.
подтвердить
принятие
отчета
информации.
9
о
получении
статистической
II.Требования к организациям, предоставляющим отчитывающимся
субъектам услуги удостоверяющего центра электронной цифровой подписи
14. Деятельность Удостоверяющего центра (далее - УЦ), предоставляющего
отчитывающимся субъектам услуги по изготовлению электронной цифровой
подписи, должна осуществляться в соответствии с законодательством Российской
Федерации, нормативными правовыми актами Российской Федерации и ФСТ
России,
регламентирующими
деятельность
в
области
электронного
документооборота с использованием электронной цифровой подписи.
15. Порядок использования услуг указанных организаций определяется ФСТ
России, с учетом специфики данного региона.
16. УЦ должен располагать средствами для выдачи ЭЦП, совместимых с
ЕИАС ФСТ России.
17. По решению ФСТ России УЦ присоединяется к Сети доверенных
удостоверяющих центров ЕИАС ФСТ России.
18. Построение Сети доверенных УЦ направлено на создание единого
пространства доверия сертификатов ключей подписей, изданных УЦ, в целях
обеспечения требуемого уровня качества и надежности, а также для расширения
функциональности сервисов, предоставляемых субъектам регулирования в
системе
юридически
значимого
электронного
документооборота
(обмена
информацией) между субъектами регулирования (юридическими лицами, их
филиалами
и
представительствами,
гражданами,
занимающимися
предпринимательской деятельностью без образования юридического лица),
Федеральной службой по тарифам и РЭК, органы регулирования муниципальных
образований.
19. В Сеть доверенных УЦ могут входить действующие УЦ органов
государственной
власти
и
органов
местного
10
самоуправления,
а
также
коммерческие УЦ, при условии выполнения ими требований настоящего Порядка,
а также нормативных правовых актов ФСТ России.
20. УЦ, входящие в Сеть доверенных удостоверяющих центров ЕИАС ФСТ
России, регистрируются в Реестре доверенных удостоверяющих центров ЕИАС
ФСТ России. Реестр доверенных удостоверяющих центров утверждается приказом
ФСТ России, обновляется по мере регистрации в нем УЦ и публикуется на сайте
ЕИАС ФСТ России.
III. Правила использования средств ЭЦП
21. Представление статистической информации в электронном виде
допускается
при
обязательном
использовании
сертифицированных
уполномоченными федеральными органами исполнительной власти средств
электронной цифровой подписи, позволяющих идентифицировать владельца
сертификата ключа подписи, а также установить отсутствие искажения
информации, содержащейся в статистической информации в электронном виде.
22. Идентификация сертификата ключа подписи осуществляется по
значению объектного идентификатора (OID) с областью допустимых применений,
соответствующих областям применения системы ЕИАС ФСТ России. Объектные
идентификаторы (OID), зарегистрированные в УЦ, определяют отношения, при
осуществлении которых электронный документ с электронной цифровой
подписью будет иметь юридическое значение.
23. Распространение и учет средств ЭЦП организуется УЦ ЭЦП в
соответствии с нормативными правовыми актами уполномоченных федеральных
органов исполнительной власти, а также требованиями технической документации
организаций - разработчиков средств ЭЦП.
11
24. Применение отчитывающимися субъектами средств ЭЦП в рамках
системы ЕИАС ФСТ России в электронном виде по телекоммуникационным
каналам связи не требует получения специальной лицензии.
25. С целью защиты информации, содержащейся в статистической
отчетности, при передаче ее по каналам связи участниками обмена информацией
применяются средства криптографической защиты информации (далее - СКЗИ),
сертифицированные уполномоченными федеральными органами исполнительной
власти.
26. Использование, учет, распространение и техническое обслуживание
СКЗИ и средств ЭЦП при представлении статистической информации в
электронном виде осуществляются в соответствии с требованиями Федерального
закона №1-ФЗ.
IV. Взаимодействие участников информационного обмена при
представлении статистической информации в электронном виде
27. Представление статистической информации в электронном виде по
телекоммуникационным
отчитывающегося
каналам
субъекта
к
связи
осуществляется
общедоступным
при
системам
подключении
связи,
наличии
необходимых аппаратных средств, а также соответствующего программного
обеспечения, которое осуществляет:
27.1. формирование статистической информации в соответствии со
стандартами, форматами и процедурами, принятыми для ЕИАС ФСТ России, для
их
последующей
передачи
в
виде
электронных
документов
по
телекоммуникационным каналам связи;
27.2. формирование электронной цифровой подписи и заверение её
отчетных данных;
12
27.3. шифрование информации, передаваемой по телекоммуникационным
каналам связи;
27.4.
проверку
электронной
цифровой
подписи
под
получаемыми
документами.
28. Отчитывающийся субъект представляет статистическую информацию в
электронном виде в ФСТ России и/или РЭК соответствующего субъекта
Российской Федерации.
29. Датой представления статистической информации в электронном виде
является дата ее получения в ФСТ России или РЭК.
30.
Электронный
документ
считается
исходящим
от
участника
информационного обмена, если он подписан действующей ЭЦП, принадлежащей
уполномоченному лицу данного участника.
31. Риск неправомерного подписания электронного документа ЭЦП несет
участник
информационного
обмена,
на
уполномоченное
лицо
которого
зарегистрирован сертификат соответствующего ключа подписи.
32. Участник информационного обмена обязан обеспечить соблюдение
правил безопасности информации на рабочем месте абонента, согласно
инструкции, установленной Приложением 3 к настоящему Порядку.
33. Открытый ключ считается действующим, если до момента получения
адресатом электронного документа, подписанного ЭЦП, соблюдаются следующие
условия:
33.1. Наступил момент времени начала действия закрытого ключа;
33.2. Срок действия закрытого ключа не истек;
33.3. Сертификат ключа подписи, соответствующий данному закрытому
ключу не аннулирован (отозван) и действие его не приостановлено.
34. Участники информационного обмена обеспечивают сохранность
открытых ключей ЭЦП и их сертификатов в течение всего периода хранения
электронных документов в хранилище.
13
35. При представлении статистической информации в электронном виде по
телекоммуникационным каналам связи отчитывающийся субъект и ФСТ России
руководствуются порядком электронного документооборота, описанным в
Приложении 2 к настоящему Порядку, а также иными нормативными правовыми
актами ФСТ России.
36. Статистическая информация считается представленной в ФСТ России,
если отчитывающийся субъект получил подтверждение ЕИАС ФСТ России о
принятии статистической отчетности.
37. Отчет, содержащий статистическую информацию в электронном виде,
считается принятым, если отчитывающийся субъект не получает дополнительных
уведомлений, кроме уведомления о принятии статистической отчетности.
14
Приложение №1
к Порядку использования электронной цифровой подписи
в Единой информационно-аналитической системе
«ФСТ России-РЭК-субъекты регулирования»
Порядок регистрации организации в ЕИАС ФСТ России
1. Для представления статистической информации в электронном виде по
телекоммуникационным каналам связи отчитывающийся субъект регистрируется
в ЕИАС ФСТ России и подключается к системе.
2. Подключение отчитывающего субъекта к системе электронного сбора
осуществляется на основании заявления. Заявление оформляется от имени
руководителя организации и должно содержать данные о подключаемой
организации согласно предоставляемой форме, размещенной на сайте ФСТ
России.
3. Заявление направляется в ФСТ России или в соответствующий РЭК с
функционирующей полной версией регионального сегмента ЕИАС ФСТ России.
4. Отчитывающийся субъект самостоятельно регистрируется на сайте
ЕИАС ФСТ России и по электронной почте получает реквизиты для доступа к
личному кабинету организации на сайте.
5. Необходимое программное обеспечение Crypto-pro CSP и АРМ
Специалиста действующей версии предоставляет ФСТ России и устанавливается
самостоятельно или с помощью службы технической поддержки ЕИАС ФСТ
России.
6. При отсутствии действующего сертификата ЭЦП отчитывающемуся
субъекту необходимо получить электронную цифровую подпись в УЦ. Список
рекомендуемых УЦ предоставляет ФСТ России.
15
7.
Открытый
ключ
ЭЦП
направляется
ФСТ
России
или
в
соответствующий РЭК с функционирующей полной версией регионального
сегмента ЕИАС ФСТ России.
8. В завершении процедуры регистрации отчитывающейся субъект
проходит тестирование технической готовности применения ЕИАС ФСТ России.
16
Приложение № 2
к Порядку использования электронной цифровой подписи
в Единой информационно-аналитической системе
«ФСТ России-РЭК-субъекты регулирования»
Порядок электронного документооборота
при представлении информации в электронном виде
1. Работники организации, прошедшей регистрацию в ЕИАС ФСТ России,
заполняют отчет с использованием программного обеспечения, совместимого с
ЕИАС ФСТ России. Открытый ключ ЭЦП организации размещается в
репозитории открытых ключей ФСТ России или РЭК с функционирующей полной
версией регионального сегмента ЕИАС ФСТ России.
2. Заполненный электронный отчет подписывается ЭЦП организации.
Отчеты, не заверенные ЭЦП, не являются электронным документом и
рассматриваются исключительно как техническая копия бумажного отчета.
3. Проверка ЭЦП проводится в автоматическом режиме. При проверке
ЭЦП используется открытый ключ ЭЦП организации, хранящийся в репозитории
открытых ключей.
4. При ошибках, связанных с использованием ЭЦП, на электронный адрес
организации высылается сообщение об ошибке (содержащее описание ошибки).
Организация обязана предпринять меры для представления статистической
отчетности в установленные сроки, в том числе и используя другие способы сдачи
статистической отчетности (предоставить отчет в бумажном виде).
5. В случае корректности ЭЦП отчет получает статус «Документ успешно
доставлен
в
регулирующий
орган».
Экземпляр
уведомления
о
приеме
статистической информации и сведения о присвоении статуса отчету в
электронном виде сохраняются в хранилище ЕИАС ФСТ России.
17
Приложение № 3
к Порядку использования электронной цифровой подписи
в Единой информационно-аналитической системе
«ФСТ России-РЭК-субъекты регулирования»
Инструкция по безопасности на рабочем месте абонента
Автоматизированное рабочее место абонента системы ЕИАС ФСТ России
использует средства криптографической защиты информации (СКЗИ) для
обеспечения
целостности,
авторства
и
конфиденциальности
информации,
передаваемой в рамках информационной системы.
Порядок обеспечения информационной безопасности при работе в системе
ЕИАС ФСТ России определяется на основе рекомендаций по организационнотехническим мерам защиты, изложенных в данном разделе, эксплуатационной
документации
на
программу
крипто-провайдера,
рекомендательных
и
нормативных материалов уполномоченных федеральных органов исполнительной
власти по организации защиты информации.
Владелец сертификата ключа обязан:
1. Не использовать для электронной цифровой подписи и шифрования
открытые и закрытые ключи, если ему известно, что эти ключи используются или
использовались ранее.
2. Хранить в тайне закрытый ключ.
3. Хранить в секрете и не передавать третьим лицам пароль и носитель с
секретным ключом ЭЦП.
4.
Знать
и
соблюдать
утвержденный
порядок
учета,
хранения,
использования носителей ключевой информации с закрытыми ключами ЭЦП и
шифрования.
18
5. Не оставлять копии ключей ЭЦП на жестких дисках компьютера или
ноутбука. В случае, если закрытый ключ хранится на жестком диске ноутбука,
обеспечить хранение такого ноутбука в сейфе.
6. Не оставлять носители ключей ЭЦП без присмотра в течении и по
окончании рабочего дня.
7. После окончания работы в системе АРМ-Специалиста обязательно
закрывать окно системы с помощью кнопки «Выход».
8. Не отвечать на подозрительные письма с просьбой выслать
конфиденциальные данные или сообщить свой пароль.
9. Уведомить ответственного работника Службы безопасности о попытках
узнать конфиденциальные данные или пароль, о попытках завладения носителями
ключей ЭЦП или получить доступ к системе, использующей СКЗИ.
10. Знать способ связи с РЦ и УЦ.
11. Знать процедуры отправки запросов заявления на аннулирование
(отзыв), приостановление/возобновление действия сертификата ключа подписи.
11. Немедленно (не позднее следующего дня с момента обнаружения)
требовать приостановления действия сертификата ключа при наличии оснований
полагать, что тайна закрытого ключа нарушена (компрометация ключа).
Письменно (по факсу, электронной почте) и устно (по телефону) уведомлять
уполномоченного работника ЦР о случае компрометации ключа и направить
заявление на отзыв и выдачу нового ключа ЭЦП.
12. Обеспечивать своевременное обновление сертификата ключа подписи.
13. Обеспечивать своевременную регистрацию в ЕИАС ФСТ России
нового сертификата ключа подписи.
Обязательно:
1. Установка и настройка СКЗИ на Автоматизированное рабочее место
(АРМ) должна выполняться в присутствии администратора. Перед установкой
19
необходимо
проверить
целостность
программного
обеспечения
СКЗИ.
Запрещается устанавливать СКЗИ, целостность которого нарушена.
2. В организации должен быть определен и утвержден порядок учета,
хранения использования носителей ключевой информации с закрытыми ключами
ЭЦП и шифрования, который должен полностью исключать возможность
несанкционированного доступа к ним.
3. Должен быть утвержден список лиц, имеющих доступ к ключевой
информации.
4. Для хранения носителей закрытых ключей ЭЦП и шифрования в
помещениях должны устанавливаться надежные металлические хранилища
(сейфы), оборудованные надежными запирающими устройствами с двумя
экземплярами ключей (один у исполнителя, другой в службе безопасности).
5. Использовать АРМ со встроенными средствами криптографической
защиты
в
однопользовательском
режиме.
В
отдельных
случаях,
при
необходимости использования АРМ несколькими лицами, эти лица должны
обладать равными правами доступа к информации.
6. При загрузке операционной системы и при возвращении после
временного отсутствия пользователя на рабочем месте должен запрашиваться
пароль, состоящий не менее чем из 6 символов. В отдельных случаях при
невозможности использования парольной защиты, допускается загрузка ОС без
запроса
пароля.
При
этом
должны
быть
реализованы
дополнительные
организационно-режимные меры, исключающие несанкционированный доступ к
этим АРМ.
7. Должны быть приняты меры по исключению несанкционированного
доступа в помещения, в которых установлены технические средства АРМ со
встроенными СКЗИ.
20
8. Должны быть предусмотрены меры, исключающие возможность
несанкционированного
изменения
аппаратной
части
рабочей
станции
с
установленными СКЗИ:
9. Установленное на АРМ программное обеспечение не должно содержать
средств разработки и отладки приложений, а также средств, позволяющих
осуществлять несанкционированный доступ к системным ресурсам.
10. Администрирование должно осуществляться уполномоченными
лицами.
11. Средствами BIOS исключить возможность сетевой загрузки ОС
рабочей станции.
12. Средствами BIOS исключать возможность работы на ПЭВМ, если во
время ее начальной загрузки не проходят встроенные тесты.
13.
Вхождение
пользователей
в
режим
конфигурирования
BIOS
штатными средствами BIOS должно осуществляться только с использованием
парольной защиты при длине пароля не менее 6 символов.
14. При использовании ОС Windows 98/МЕ/NT/2000/XP все пользователи
рабочей станции должны иметь право доступа ко всей конфиденциальной
информации, обрабатываемой на этой станции.
15. При использовании ОС Windows NT/2000/XP принять меры,
исключающие доступ пользователя к системному реестру.
16. Ограничить либо исключить использование программного продукта
Sсheduler (планировщик заданий), входящего в состав ОС Windows. При
использовании Sсheduler состав запускаемого программного обеспечения на АРМ
согласовывается с администратором безопасности.
17. При использовании ОС Windows NT/2000/XP исключить возможность
удаленного редактирования системного реестра пользователями (исключая
администратора).
21
18. При использовании ОС Windows NT/2000/XP переименовать
пользователя Administrator, отключить учетную запись для гостевого входа
(Guest).
19. В случае увольнения или перевода в другое подразделение (на другую
должность), изменения функциональных обязанностей работника, имевшего
доступ к ключевым носителям (ЭЦП и шифрования), должна быть проведена
смена ключей, к которым он имел доступ.
20. Использовать программное обеспечение из проверенных и надежных
источников и выполнять регулярные обновления.
21. Использовать современные антивирусные средства и своевременно их
обновлять. (Внимание: действие вирусов может быть направлено на запоминание
и передачу третьим лицам информации о паролях).
22. Устанавливать и использовать персональный брандмауэр (firewall) на
компьютерах для входа в Интернет.
Не допускается:
1. Снимать несанкционированные копии с ключевых носителей.
2. Знакомить с содержанием ключевых носителей или передавать
ключевые носители лицам, к ним не допущенным.
3. Выводить секретные ключи на дисплей (монитор) ПЭВМ или принтер.
4. Устанавливать ключевой носитель в считывающее устройство
(дисковод) ПЭВМ АРМ, не предусмотренных функционированием системы, а
также в другие ПЭВМ.
5. Записывать на ключевой носитель постороннюю информацию.
6. Хранить пароли в виде записей на бумажном носителе.
Пароли должны учитываться, обновляться и храниться в соответствии с
нормативными
документами
организации,
осуществления
информационной
регламентирующими
безопасности.
22
Действия,
порядок
связанные
с
эксплуатацией СКЗИ, должны фиксироваться в журнале, который ведет лицо,
ответственное за обеспечение информационной безопасности.
В журнал кроме этого записываются факты компрометации ключевых
документов, нештатные ситуации, происходящие в системе и связанные с
использованием СКЗИ, проведение регламентных работ, данные о полученных у
администратора безопасности организации ключевых носителях, нештатных
ситуациях, произошедших на АРМ, с установленным ПО СКЗИ.
В журнале должна быть зафиксирована следующая информация:
1. Дата, время.
2. Запись о компрометации ключа.
3. Запись об изготовлении личного ключевого носителя пользователя,
идентификатор носителя.
4.
Запись
об
изготовлении
копий
личного
ключевого
носителя
пользователя, идентификатор носителя.
5. Запись об изготовлении резервного ключевого носителя пользователя,
идентификатор носителя.
6. Запись о получении сертификата открытого ключа ЭЦП, полный номер
ключевого носителя, соответствующий сертификату.
7. Записи, отражающие выдачу на руки пользователям (ответственным
исполнителям) и сдачу ими на хранение личных ключевых носителей, включая
резервные ключевые носители.
8. События, происходившие на АРМ пользователя с установленным ПО
СКЗИ, с указанием причин и предпринятых действий.
23
Скачать