СКЗИ. Положение


Положение по обеспечению безопасности при работе СКЗИ.


Общие положения

  • Настоящее Положение регламентирует порядок обеспечения безопасности при обработке и передаче информации с использованием средств криптографической защиты информации и электронной цифровой подписи.
  • Безопасность электронного документооборота обеспечивается созданием системы, включающей в себя комплекс технологических, организационных, технических и программных мер и средств защиты на этапах подготовки, обработки, передачи и хранения электронных документов.
  • Средства защиты информации от несанкционированного доступа, применяемые для защиты электронных документов, должны иметь сертификат Федеральной службы технического и экспортного контроля (Гостехкомиссии России) или иного уполномоченного органа. Криптографическая защита электронных платежных документов обеспечивается только на основе использования средств криптографической защиты информации, имеющих соответствующий сертификат ФАПСИ или ФСБ России.
  • Обязанности по администрированию средств защиты электронных платежных документов возлагаются на администраторов информационной безопасности. Администратор информационной безопасности действует на основании, утвержденного директором организации “Положения об администраторе информационной безопасности”.

Обеспечение информационной безопасности при внедрении и эксплуатации систем обработки и передачи электронных документов

2.1 Технологические меры защиты:

  • процесс обмена электронными документами (в том числе на внешних носителях) между участниками электронного документооборота, осуществляется в соответствии с заключенными договорами;
  • основанием для принятия электронного документа является положительный результат проверки электронной цифровой подписи отправителя документа;
  • электронные документы (файлы), поступающие из внешних источников, равно как и содержащие их носители (контейнеры) подвергаются антивирусному контролю.

2.2 Организационные меры защиты:

  • технологические процессы подготовки, ввода и обработки электронных документов, а также установки, настройки, эксплуатации и восстановления средств обработки, регламентированы и обеспечены инструктивными и методическими материалами, которые являются приложением к сертифицированным средствам криптографической защиты информации;
  • исполнители допускаются к работе с средствами криптографической защиты информации после изучения эксплуатационной документации, проверки их знаний и получения специального разрешения. Исполнители дают подписку о неразглашении конфиденциальной информации;
  • для сокращения возможности компрометации шифрключей не реже одного раза в год проводиться плановая смена ключей. Старые открытые ключи шифрования и подписи хранятся для разбора конфликтных ситуаций в соответствии со сроком хранения документов, но не менее пяти лет;
  • в случае прекращения (по любым причинам) полномочий сотрудника, имевшего доступ к системе защищенного электронного документооборота, производиться замена всех кодов, паролей и ключей, к работе с которыми был допущен сотрудник;
  • для регистрации абонентов сети защищенного электронного документооборота, движения электронных документов, отражения событий в сети связи ведутся соответствующие журналы (в электронном или бумажном виде).

2.3 Технические меры защиты:

  • помещения, в которых размещены средства криптографической защиты информации, должны обеспечивать безопасность информации, шифрключей, сведение к минимуму возможности неконтролируемого доступа к средствам криптографической защиты информации, просмотра процедур работы с средствами криптографической защиты информации посторонними лицами;
  • входные двери помещений оборудуются замками, гарантирующими надежное закрытие помещения в нерабочее время. Для контроля за входом устанавливаются шифрзамки. Окна и двери оборудуются охранной сигнализацией, связанной с пультом централизованного наблюдения и охраны организации. При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п., окна помещений оборудуются металлическими решетками;
  • для хранения шифрключей, нормативной и эксплуатационной документации, помещение обеспечивается металлическими шкафами (хранилищами, сейфами), оборудованными внутренними замками с двумя экземплярами ключей. Дубликаты ключей от хранилищ и входных дверей должны храниться в сейфе администратора информационной безопасности;
  • по окончании рабочего дня помещение закрывается и опечатывается, после чего сдается под охрану; перед вскрытием помещения проверяется целостность оттиска печати и исправность замков;
  • запрещается приносить и использовать в помещении радиотелефоны и другую радиоаппаратуру.

2.4 Программные меры защиты:

  • проверка целостности программного обеспечения средствами криптографической защиты информации должна выполняться при помощи программы, проверяющей электронную подпись соответствующего программного файла (файлов);

2.5 Компрометация ключей

  • Под компрометацией ключей понимается их утрата, хищение, несанкционированное копирование, передача по каналам связи в открытом виде, любые другие виды разглашения ключевой информации, а также случаи, когда нельзя достоверно установить, что не произошло перечисленных событий.
  • К событиям, связанным с компрометацией ключей должны быть отнесены следующие факты:
    • утрата ключевых носителей, содержащих ключевую информацию;
    • утрата ключевых носителей, содержащих ключевую информацию с последующим обнаружением;
    • нарушение правил хранения и уничтожения (после окончания срока действия) секретного ключа;
    • увольнение сотрудников, имевших доступ к ключевой информации;
    • возникновение подозрений на утечку информации или ее искажение в системе связи;
    • нерасшифрование входящих или исходящих сообщений;
    • нарушение печати на сейфе с ключевыми носителями.
  • Первые четыре события трактуются как безусловная компрометация действующих ключей. Остальные события требуют специального рассмотрения в каждом конкретном случае.

Результатом рассмотрения является квалификация или не квалификация данного события как компрометация действующих ключей.

  • При установлении факта компрометации пользователь должен немедленно прекратить связь с пользователями, при взаимодействии с которыми требуется использовать средства криптографической защиты информации, и сообщить о факте компрометации администратору информационной безопасности.
  • По факту компрометации ключей (кроме случая, описанного в п.2.5.2.4) должно быть проведено служебное расследование. Выведенные из действия скомпрометированные ключевые носители после проведения служебного расследования, уничтожаются.

Порядок разбора конфликтных ситуаций, связанных с применением электронной цифровой подписи

  • При использовании электронной цифровой подписи могут возникать конфликтные ситуации, заключающиеся в оспаривании сторонами (участниками обмена) авторства и/или содержимого документа, подписанного электронной цифровой подписью.
  • Разбор конфликтной ситуации заключается в доказательстве авторства подписи конкретного электронного документа конкретным исполнителем.

Разбор подобных конфликтных ситуаций требует применения специального программного обеспечения для выполнения проверок и документирования данных, используемых при выполнении процедуры проверки соответствия электронной цифровой подписи содержимому электронного документа.

Данный разбор основывается на математических свойствах алгоритма электронной цифровой подписи, реализованного в соответствии со стандартами Российской Федерации, гарантирующем невозможность подделки значения электронной цифровой подписи любым лицом, не обладающим секретным ключом подписи.

  • При проверке значения электронной цифровой подписи используется сертификат открытого ключа, парного (соответственного) секретному ключу электронной цифровой подписи.
  • Разбор конфликтной ситуации выполняется комиссией, состоящей из представителей участников обмена и службы информационной безопасности.
  • Разбор конфликтной ситуации выполняется по инициативе любого участника электронного документооборота и состоит из:
  • предъявления претензии одной стороны другой;
  • формирования комиссии;
  • разбора конфликтной ситуации.
    • Разбор конфликтной ситуации проводится с использованием имеющегося в средстве криптографической защиты информации механизма проверки электронной цифровой подписи.
    • Проверка подписанного электронного документа включает в себя выполнение следующих действий:
      • определение сертификата открытого ключа, необходимого для проверки электронной цифровой подписи;
      • проверка электронной цифровой подписи электронного документа с использованием сертификата этого открытого ключа;
      • определение даты формирования электронной цифровой подписи в электронном документе;
      • проверка действительности сертификата открытого ключа электронной цифровой подписи на текущий момент времени;
      • проверка действительности сертификата открытого ключа электронной цифровой подписи на момент формирования электронной цифровой подписи.
    • Если сертификат открытого ключа, с использование которого проверяется электронная цифровая подпись, отозван (скомпрометирован), комиссия принимает решение о действительности электронной цифровой подписи электронного докумнта, используя дату создания документа и дату отзыва сертификата ключа.
    • В случае положительного результата при проверке электронной цифровой подписи документа и отсутствия факта отзыва сертификата открытого ключа авторство подписи под документом считается установленным. При недоступности сертификата открытого ключа пользователя, выполнившего электронную цифровую подпись, доказать авторство документа невозможно. В связи с этим, архив с открытыми ключами необходимо подвергать регулярному резервному копированию и хранить в течение всего установленного срока хранения.

Ответственность участников электронного документооборота

  • За нарушение требований настоящего Положения устанавливается ответственность в соответствии с действующим законодательством и принимаемыми в соответствии с ним нормативными правовыми актами Российской Федерации.

Скачать - кнопка

Скачать ZIP файл (20233)


Пригодились документы — поставь «лайк» или поддержи сайт материально:

5+

Добавить комментарий

Свернуть меню