"Руководство по обеспечению безопасности использования квалифицированной электронной подписи и средств квалифицированной электронной подписи" (утв. Банком России 15.09.2021 N ТРД-57-6-4/2053)
Заместитель Председателя
Банка России
Г.А.ЗУБАРЕВ
АККРЕДИТОВАННОГО УДОСТОВЕРЯЮЩЕГО ЦЕНТРА ЦЕНТРАЛЬНОГО БАНКА
РОССИЙСКОЙ ФЕДЕРАЦИИ
ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИСПОЛЬЗОВАНИЯ КВАЛИФИЦИРОВАННОЙ
ЭЛЕКТРОННОЙ ПОДПИСИ И СРЕДСТВ КВАЛИФИЦИРОВАННОЙ
ЭЛЕКТРОННОЙ ПОДПИСИ
15 сентября 2021 г. N ТРД-57-6-4/2053
Настоящее руководство подготовлено в соответствии с частью 4 статьи 18 Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон) и предназначено для официального информирования владельцев квалифицированных сертификатов ключей проверки электронной подписи (далее - квалифицированный сертификат), выдаваемых аккредитованным удостоверяющий центром Банка России, о рисках, условиях и правилах применения электронной подписи (далее - ЭП) и средств квалифицированной ЭП, а также о мерах, необходимых для обеспечения безопасности использования квалифицированной ЭП и средств квалифицированной ЭП.
Определение понятий "квалифицированная электронная подпись", "средство электронной подписи" содержится в статье 2 Федерального закона.
При использовании в правоотношениях квалифицированной ЭП, использовании и эксплуатации средств квалифицированной ЭП владельцы квалифицированных сертификатов и средств квалифицированной ЭП должны соблюдать требования:
- Федерального закона от 06.04.2011 N 63-ФЗ "Об электронной подписи"
- Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13.06.2001 N 152;
- Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденного приказом ФСБ России от 09.02.2005 N 66;
- эксплуатационной документации на средства ЭП;
2 Требования к помещениям и размещению средств ЭП
При размещении в помещении средств вычислительной техники (далее - СВТ) с установленными на них средствами квалифицированной ЭП:
- должны быть предусмотрены меры, исключающие возможность несанкционированного доступа и пребывания в помещении лиц, не имеющих допуск к работе в этом помещении. При необходимости пребывания указанных лиц в помещении должен быть обеспечен контроль их действий в целях недопущения с их стороны несанкционированных воздействий на средства ЭП, иные средства криптографической защиты информации (далее - СКЗИ), ключевую информацию;
- входные двери помещений должны быть оснащены устройствами, обеспечивающими контроль доступа в нерабочее время.
3 Требования по установке и эксплуатации средств квалифицированной ЭП, общесистемного и специального программного обеспечения
3.1 При установке и использовании на СВТ средств квалифицированной ЭП должны выполняться следующие меры по защите информации:
1) в отношении СВТ должны соблюдаться правила:
- не допускается установка операционных систем (далее - ОС), не предусмотренных документацией на средства ЭП, либо измененных или отладочных версий ОС, указанных в документации;
- не допускается установка программных средств, реализующих функции удаленного управления, администрирование, модификацию ОС и ее настроек, а также среды разработки;
- не допускается установка нескольких ОС;
- неиспользуемые ресурсы СВТ должны быть отключены (протоколы, сервисы и т.п.);
- реализованные на СВТ режимы безопасности должны быть настроены на максимальный уровень;
- зарегистрированным пользователям СВТ назначаются минимально возможные для нормальной работы права;
- предоставление минимальных прав доступа к ресурсам СВТ, включая доступ к системному реестру, файлам и каталогам, временным файлам, файлам подкачки и т.п.
- по окончании сеанса работы с использованием средств квалифицированной ЭП удалить временные файлы и файлы подкачки. Если это невыполнимо, то на жесткий диск должны распространяться требования, предъявляемые к ключевым носителям;
- исключить установку и выполнение на СВТ программ, позволяющих повысить привилегии пользователям СВТ;
- регулярно устанавливать обновления ОС, прикладных систем, антивирусные базы.
3) на СВТ следует использовать парольную защиту (для входа в ОС, BIOS, при шифровании на пароле и т.д.), обеспечивающую возможность реализации следующей политики:
- длина пароля должна быть не менее 8 символов;
- в последовательности символов пароля должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, номера телефонов, даты рождения и т.д.), а также распространенные сокращения (USER, ADMIN, root, и т.д.);
- осуществлять периодическую смену пароля в соответствии с регламентом, установленным в технической документации организации (рекомендуется не реже 1 раза в год);
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях.
3.2 При необходимости подключения СВТ с установленными на них средствами квалифицированной ЭП к общедоступным сетям передачи данных (в том числе сети Интернет) такое подключение необходимо осуществлять при использовании средств защиты от сетевых атак. При работе на указанных СВТ необходимо исключить возможность открытия и исполнения файлов и иных получаемых по сети объектов без предварительной их проверки сертифицированными средствами антивирусной защиты.
3.3 Необходимо организовать сбор событий (лог-файлы) в отношении СВТ, на которых установлены средства ЭП и регулярное проведение их анализа.
- использовать несертифицированные средства квалифицированной ЭП;
- вносить любые изменения в программное обеспечение средств квалифицированной ЭП;
- осуществлять несанкционированное копирование ключей;
- передавать ключевые документы (ключевые носители) лицам, к ним не допущенным, выводить ключевую информацию на печатающие устройства, иные средства отображения информации;
- использовать ключевые носители в режимах, не предусмотренных штатным режимом их использования;
- записывать на ключевые носители постороннюю информацию;
- оставлять СВТ с установленными на них средствами квалифицированной ЭП без контроля после ввода ключевой информации;
- использовать ключ ЭП, связанный с квалифицированным сертификатом ключа проверки ЭП, в отношении которого в аккредитованном удостоверяющем центре Банка России зарегистрировано заявление о прекращении его действия.
4 Требования по обеспечению информационной безопасности при обращении с носителями ключевой информации, содержащими ключи квалифицированной ЭП
Создаваемые ключи квалифицированной ЭП должны записываться на ключевые носители (далее - КН), имеющее подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности. Не допускается хранение на носителе ключевой информации любой иной информации (в том числе рабочих или личных файлов).
Типы КН, функциональных ключевых носителей (далее - ФКН), которые поддерживаются применяемым средством квалифицированной ЭП, устанавливаются согласно технической и эксплуатационной документации на средство ЭП.
КН, ФКН должны иметь маркировку, обеспечивающую возможность их учета в организации, использующей средства ЭП.
Ключи квалифицированной ЭП, содержащиеся на КН (ФКН), рекомендуется защищать паролем (ПИН-кодом). При этом лицо, выполняющее процедуру генерации ключей ЭП, обязано сбросить заводской ПИН-код и сформировать новый ПИН-код. В случае, если создание ключа ЭП осуществляется заявителем на средствах аккредитованного удостоверяющего центра Банка России, должны быть приняты меры, исключающие возможность несанкционированного доступа иных лиц к ключу ЭП, записанному на КН (ФКН).
Ответственность за обеспечение конфиденциальности пароля (ПИН-кода) и ключа квалифицированной ЭП возлагается на владельца ключа квалифицированной ЭП.
4.2 Обращение с ключевой информацией и ключевыми носителями.
Запрещается пересылать файлы с ключевой информацией по незащищенным каналам связи (сеть Интернет, корпоративная почта). Данное требование не распространяется на ключи проверки ЭП, содержащиеся в квалифицированном сертификате.
Размещение ключевой информации на локальном диске СВТ или сетевом диске, а также во встроенной памяти технического средства с установленными средствами квалифицированной ЭП, крайне не рекомендуется, в связи с тем, что создает предпосылки для совершения нарушителями злоумышленных действий.
КН (ФКН) должны использоваться только владельцем ключа ЭП, размещенного на КН (ФКН), и храниться в нерабочие периоды времени в месте, исключающем возможность его бесконтрольного использования. В частности, одним из способов контроля сохранности ключей ЭП, содержащегося на КН (ФКН) является хранение КН (ФКН) в сейфе (металлическом шкафу, колбе), опечатываемом личной печатью владельца ключа ЭП (владельца КН либо ФКН).
В целях минимизации случаев компрометации ключа ЭП, содержащегося на КН (ФКН), рекомендуется вставлять носитель в считывающее устройство только в необходимых случаях, а именно на период выполнения операций формирования и проверки квалифицированной ЭП. В прочее время КН (ФКН) рекомендуется изымать из считывателя в целях исключения риска несанкционированного доступа к КН (ФКН) и его содержимому третьими лицами.
4.3 Обеспечение безопасности СВТ с установленными средствами квалифицированной ЭП.
С целью контроля исходящего и входящего трафика, СВТ с установленными средствами квалифицированной ЭП должны быть защищены от несанкционированного доступа программными или аппаратными средствами.
СВТ, используемые для работы в автоматизированных системах, должны удовлетворять требованиям:
- возможность запуска ОС, входа в систему с использованием парольной защиты, удовлетворяющей требованиям, приведенным в разделе 3 настоящего руководства;
- применение только лицензионного программного обеспечения;
- применение только лицензионных средств антивирусной защиты и регулярно обновляемых антивирусных баз данных (сигнатур);
- отключение всех неиспользуемых служб и процессов, порождаемых ОС, в т.ч. службы удаленного администрирования и управления, службы общего доступа к ресурсам сети, системные диски и т.д.) и включение реально требуемых;
- регулярные обновления ОС, прикладных систем;
- лицам, не имеющим полномочий для работы с СВТ с установленными средствами квалифицированной ЭП, исключен физический доступ к СВТ;
- на СВТ активированы средства регистрации событий информационной безопасности;
- включена автоматическая блокировка СВТ по истечении заданного периода времени неактивности (рекомендуемое время неактивности - не более 10 минут).
В случае передачи (списания, сдачи в ремонт) сторонним лицам СВТ, на которых были установлены средства квалифицированной ЭП, необходимо гарантированно удалить всю информацию (при условии исправности технических средств), использование которой третьими лицами может потенциально нанести вред организации, в том числе средства квалифицированной ЭП, журналы работы систем обмена электронными документами и так далее.
Под компрометацией ключа ЭП понимается утрата доверия к тому, что используемые ключи ЭП обеспечивают безопасность информации. Компрометация ключей ЭП происходит, как правило, вследствие событий:
- потеря КН (ФКН) либо потеря КН (ФКН) с их последующим обнаружением;
- увольнение работника, имевшего доступ к ключевой информации;
- нарушение целостности печати хранилища КН (ФКН) вследствие несанкционированного вскрытия;
- отсутствие контроля в отношении места нахождения КН (ФКН) в течение неопределенного времени;
- нарушение правил уничтожения ключей ЭП (после окончания срока их действия);
- подозрения на утечку информации или ее искажение в системе конфиденциальной связи;
- нарушение работоспособности КН (ФКН) при допущении условия возможных несанкционированных воздействий на носитель;
- другие события утраты доверия к ключевой информации, согласно эксплуатационной документации на используемое СКЗИ.
В первых четырех случаях компрометация ключа ЭП носит явный характер и реагирование в этих случаях должно заключаться в немедленном обращении владельца ключа ЭП в аккредитованный удостоверяющий центр Банка России в целях прекращения действия квалифицированного сертификата.
Прочие случаи должны рассматриваться и анализироваться в каждом конкретном случае. Использование ключа ЭП может быть продолжено только в случаях обоснованной уверенности в сохранении свойств безопасности ключа ЭП.
ФЗ о страховых пенсиях
ФЗ о пожарной безопасности
ФЗ об ОСАГО
ФЗ об образовании
ФЗ о государственной гражданской службе
ФЗ о государственном оборонном заказе
О защите прав потребителей
ФЗ о противодействии коррупции
ФЗ о рекламе
ФЗ об охране окружающей среды
ФЗ о полиции
ФЗ о бухгалтерском учете
ФЗ о защите конкуренции
ФЗ о лицензировании отдельных видов деятельности
ФЗ об ООО
ФЗ о закупках товаров, работ, услуг отдельными видами юридических лиц
ФЗ о прокуратуре
ФЗ о несостоятельности (банкротстве)
ФЗ о персональных данных
ФЗ о госзакупках
ФЗ об исполнительном производстве
ФЗ о воинской службе
ФЗ о банках и банковской деятельности
Уменьшение неустойки
Проценты по денежному обязательству
Ответственность за неисполнение денежного обязательства
Уклонение от исполнения административного наказания
Расторжение трудового договора по инициативе работодателя
Предоставление субсидий юридическим лицам, индивидуальным предпринимателям, физическим лицам
Управление транспортным средством водителем, находящимся в состоянии опьянения, передача управления транспортным средством лицу, находящемуся в состоянии опьянения
Особенности правового положения казенных учреждений
Общие основания прекращения трудового договора
Порядок рассмотрения сообщения о преступлении
Судебный порядок рассмотрения жалоб
Основания отказа в возбуждении уголовного дела или прекращения уголовного дела
Документы, прилагаемые к исковому заявлению
Изменение основания или предмета иска, изменение размера исковых требований, отказ от иска, признание иска, мировое соглашение
Форма и содержание искового заявления