Инструкция пользователя СКЗИ должностные обязанности и порядок эксплуатации

Понятие ЭЦП

Электронная подпись – это способ подтверждения подлинности конфиденциальной компьютерной документации (не содержащей гостайн).

ЭЦП представляет собой комбинацию криптографических символов, которые невозможно подделать. Такая подпись создается индивидуально для каждого пользователя.

Документ с ЭЦП (электронный или распечатанный на бумаге) имеет юридическую силу. Попытка несанкционированного рассекречивания PIN-кода расценивается как мошенничество, равносильное подделке паспорта.

Основные функции ЭЦП:

• идентификация владельца документа;
• ограничение доступа посторонних лиц к персональным данным или ценной информации;
• проверка подлинности, целостности документа (отсутствия попыток мошенничества).

Регламентация

Правила использования ЭЦП в России регламентируются Федеральным законом № 63 «Об электронной подписи» от 6 апреля 2011 года.

В регламенте перечисляются:

• типы электронных подписей, действительных на территории РФ;
• порядок выдачи, регистрации ЭЦП, а также предоставления сертификата (в котором указаны ПДн владельца, СНИЛС, ИНН, ключ проверки ЭП, способ его создания);
• обязанности и полномочия получателя ЭЦП;
• правила пользования.

Виды

Существует два вида электронной подписи:

• простая (не требующая специального ПО);
• усиленная (создаваемая с помощью криптографических шифровальных программ).
   

Они различаются по особенностям применения, степени защиты данных.

Усиленная электронная подпись подразделяется на:

• квалифицированную;
• неквалифицированную.

Простая

Образцом простой ЭЦП является комбинация логина и пароля, с помощью которой производится идентификация пользователя, входящего, например, в личный кабинет интернет-банка. Нередко для получения доступа требуется введение дополнительного кода, присылаемого на телефон в виде сообщения SMS. Пароли/ коды необходимо хранить в секрете.

Простая подпись заменяет собственноручную, если в документе отсутствует информация, разглашение которой опасно для государства или крайне нежелательно для бизнеса.

Усиленная неквалифицированная

Используется для документации, шифруемой криптографическим методом; содержит:

1. «Закрытый ключ» ЭП – последовательность символов, с помощью которых производится шифрование. Он известен только самому пользователю.
2. «Открытый ключ» проверки подлинности подписи, достоверности документа. Он известен другим пользователям системы. По нему можно установить личность владельца ЭЦП, но нельзя получить закрытый ключ и доступ к зашифрованной информации.
    

Неквалифицированная подпись ставится под документами, которые не заверяются печатью. Она позволяет идентифицировать владельца, подтвердить сохранность данных, отсутствие исправлений после подписания.

Такую ЭЦП используют:

• для утверждения приказов, договоров, ведомостей на зарплату и других внутренних документов предприятия;
• при оплате налогов через личный кабинет ФНС;
• при оформлении соглашений, касающихся бизнес-сотрудничества.

Усиленная квалифицированная

Отличие состоит в том, что:

1. Выдается «сертификат ключа проверки», оформляемый «удостоверяющим центром», зарегистрированным в Минкомсвязи. УЦ – это коммерческая организация, которая создает ЭП по заказам клиентов, берет на себя ответственность за правильное использование подписи. Пользователи некоторых категорий (нотариусы, ИП, юридические лица) могут получать квалифицированный сертификат бесплатно в УЦ ФНС России.
2. Для создания подписи используются только специальные программно-аппаратные средства, разрешенные ФСБ (Приказ № 796 от 27 декабря 2011 г.).
3. Владельцу такой подписи предоставляется максимум юридических прав.
    

Квалифицированную ЭЦП используют при сдаче отчетов надзорным органам, решении судебных споров между предприятиями, обращении в государственные информационные системы (ГИС).

Такая подпись предназначается также для оформления торговых сделок, например, на электронной площадке АСТ ГОЗ (автоматизированной системы оборонных заказов) при Национальном университете «Высшая школа экономики».

СКЗИ в составе ЭЦП

Для создания ЭЦП используются средства криптографической защиты информации (СКЗИ). С их помощью производится:

• шифрование документации (отчетов, накладных, результатов экспертизы);
• расшифровка переписки с компаньонами, налоговыми службами, судебными органами;
• проверка правильности введения ключей ЭП.
   

СКЗИ может быть отдельной программой, которая устанавливается в рабочий компьютер. Для операционных систем Unix, Windows используются программы КриптоПро CSP, Signal-COM CSP, LISSI-CSP, VipNet CSP. Для их установки требуется приобретение лицензии ФСБ России (ст. 12 закона № 99-ФЗ от 4 мая 2011 г.).

Существуют также встроенные СКЗИ (Рутокен ЭЦП, JaCarta SE, Рутокен ЭЦП 2.0). Они закрепляются в электронных устройствах, работают самостоятельно: генерируют ЭП, шифруют, расшифровывают информацию. Отдельной лицензии на приобретение носителей не требуется.

Блоки СКЗИ со встроенными программами шифрования, генерации ключей ЭП используются, к примеру, в тахографах – автомобильных бортовых самописцах. Эти устройства устанавливаются для обеспечения безопасности грузовых, пассажирских транспортных перевозок. С их помощью осуществляется временной контроль за действиями водителей, соблюдением режима труда/ отдыха. Дополнительно фиксируются: скорость движения, расход топлива, время езды, остановок, другие эксплуатационные характеристики, которые можно скачать для контроля.

С помощью СКЗИ производится аутентификация перевозчиков, шифрование отчетов о событиях, происходивших на протяжении рабочей смены. Данные сохраняются в памяти тахографа и на индивидуальной карте водителя. На дисплей выводятся его ПДн, а также показатели режимов. Настройка и сертификация тахографов с блоками СКЗИ (Меркурий ТА-001, КАСБИ ДТ-20М, Штрих Тахо RUS и других) проводятся в специализированной мастерской не реже 1 раза в три года.

На заметку. Тахографы с блоком СКЗИ разрешается использовать только на территории РФ. На транспортных средствах, выезжающих за границу, устанавливаются устройства ЕСТР, отвечающие европейским стандартам.

Приложение к приказу ФАПСИ РФ от 13 июня 2001 г. N 152

ФАПСИ (Федеральное агентство правительственной связи и информации) – это государственный орган, отвечающий за безопасность электронных систем транспортной, энергетической и другой инфраструктуры. В его функции входит выявление, пресечение попыток несанкционированного доступа к информации.

Приказом N 152 была утверждена Инструкция, касающаяся хранения и передачи ценной информации (не представляющей гостайну).  В Приложении изложены правила учета документации, требования к СКЗИ.

Общие положения

В Инструкции говорится о криптозащите информации, доступ к которой ограничен законодательно. При этом не рассматривается охрана гостайн и ценных сведений, имеющихся в российских организациях, действующих за границей.

Данные обрабатываются и передаются с помощью сертифицированных программно-аппаратных средств (таких как «Континент TLS VPN client»).

Организация и обеспечение безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации

Вопросами использования СКЗИ на предприятиях занимаются органы криптозащиты (ОКЗ), лицензированные ФАПСИ. В их обязанности входит обеспечение информационной безопасности с применением СКЗИ и некриптографических средств.

Работники предприятия, получающие доступ к ключевой документации, проходят предварительный инструктаж, под подписку знакомятся с обязательными требованиями.

Они должны:

• держать в секрете шифруемые данные, сведения о криптоключах;
• надежно хранить носители информации, пропуска, ключи от рабочих помещений;
• своевременно выявлять попытки взлома СКЗИ.

Порядок обращения с СКЗИ и криптоключами к ним и мероприятия при компрометации криптоключей

Руководство предприятия должно позаботиться о надежном хранении криптоключей, документов, СКЗИ-оборудования. В качестве ключевых носителей используются дискеты, компакт-диски (Smart Cart, CD-ROM и другие).

Запрещается передача ключей в незашифрованном виде.

Криптодокументация учитывается поэкземплярно. При этом используется так называемый «ключевой блокнот», в котором фиксируются все эпизоды использования носителей для генерации шифровальных ключей.

Ведутся журналы учета СКЗИ и выносимых документов.

Для пользователей заводятся индивидуальные «лицевые счета». Здесь регистрируются информационные носители, за которые они отвечают.

В каждом случае составляется акт передачи СКЗИ от одного пользователя к другому.

Аппаратура, документация находятся в охраняемых помещениях. Исключается возможность непреднамеренного уничтожения ценных материалов.

Предусмотрено наличие резервных документов на случай компрометации криптоключей.

Программно-аппаратные СКЗИ пломбируются. Принимаются меры для предотвращения утечки информации в процессе ее передачи через сотрудников.

Эксплуатационные, технические документы СКЗИ разрешается переправлять по почте заказным письмом или ценной посылкой в прочной упаковке, под грифом «лично». Прилагается сопроводительное письмо с перечнем содержимого.

Послание вскрывается сотрудником органа криптозащиты или непосредственным адресатом-пользователем СКЗИ.

Скомпрометированные криптоключи уничтожаются вместе с устройством-носителем или удаляются с него по специальной технологии.

Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним

Хранилище снабжается прочными дверями с металлическими решетками, кодовыми замками.

Окна оборудуются ставнями, шторами, обеспечивающими невозможность заглядывания внутрь. Устанавливается сигнализация, предупреждающая о попытках незаконного проникновения.

Дверные ключи содержатся в сейфах, выдаются и сдаются представителю органа криптозащиты под расписку.

В помещение не допускаются посторонние. В нерабочее время хранилища опечатываются. Руководство органов криптозащиты извещается о появлении любых признаков незаконного проникновения. Принимаются меры для минимизации последствий утечки информации.

Неиспользуемое криптографическое оборудование отключается от линий связи.

Режим безопасной работы устанавливается руководством предприятия. ОКЗ контролируют соблюдение правил пользования СКЗИ.

Контроль за организацией и обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации

Он осуществляется ФАПСИ. При проверке анализируется:

• безопасность хранения/ обработки данных;
• уровень криптозащиты;
• условия работы с СКЗИ;
• деятельность сотрудников, обслуживающих оборудование криптозащиты.
   

Разрешение на периодическое проведение контрольных проверок дает гендиректор ФАПСИ или его заместители. Для получения допуска к ведению подобного контроля уполномоченный должен предъявить личные документы, а также предписание с печатью ФАПСИ. По результатам анализа составляются акты (справки).

Правила эксплуатации СКЗИ для защиты персональных данных

При выборе шифровальных средств учитываются особенности используемой информационной системы, характер возможных угроз. Работа ведется в соответствии с нормами российского законодательства.

Нормативно-методические документы

Защита ПДн осуществляется с учетом требований, изложенных в таких документах, как:

1. ФЗ N 152 от 27.07.2006 г.
2. Приказ ФСБ за N 378 от 10.07.2014 г. (о безопасности ПДн, применении СКЗИ).
3. Приказ ФСБ N 66 от 9.02.2005 г. (о разработке, производстве, эксплуатации СКЗИ для защиты ПДн).
4. Приказ ФАПСИ N 152 (с инструкцией о передаче, хранении криптоданных).
5. Методические рекомендации ФСБ России N 149 от 31.03.2015 г. (о моделях угроз безопасности ПДн и правилах использовании СКЗИ).

Необходимость использования СКЗИ

Как указывается в Методических рекомендациях, СКЗИ используются для обеспечения безопасности ПДн в следующих случаях:

• когда речь идет о защите гражданских прав на неприкосновенность частной жизни;
• если утечку персональной информации можно предотвратить только с использованием СКЗИ (информация передается по незащищенным каналам);
• когда владельцами ПДн являются организации, выполняющие государственные заказы.

Порядок эксплуатации

Правила пользования СКЗИ устанавливаются ФСБ России. Средства периодически проверяются на соответствие стандартам, учитываются индивидуально (каждому из них присваивается условное наименование и номер). Разработчики, производители и заказчики СКЗИ ведут поэкземплярный учет криптографических блоков и программ. Средства регистрируются также службой ФСБ, контролирующей соблюдение правил их использования.

Участники

Участниками эксплуатации СКЗИ являются обладатель ценной информации и ее потребитель. Ответственность за состояние и качество информационной защиты несут разработчик, изготовитель и специалист по обслуживанию программно-аппаратных средств.

Администратор СКЗИ отвечает за сохранность ключевых носителей, повышение квалификации пользователей, усовершенствование криптозащиты. Он ведет журнал учета СКЗИ, проверяет наличие сертификатов, сообщает в ОКЗ о проявлениях нездорового интереса к работе крипто устройств, следит за выполнением требований ИБ, управляет доступом к информации, назначает ответственных за выполнение конкретных работ.

Обязанности органа криптографической защиты

Назначение органов криптозащиты:

• проверка готовности владельцев информации к работе с СКЗИ;
• разработка мер по эксплуатации сертифицированных программно-аппаратных устройств и рекомендаций по работе с документами СКЗИ;
• учет аппаратуры, ПО, регламентной документации;
• составление списка владельцев ценной информации, использующих СКЗИ;
• выявление случаев ненадлежащего хранения данных, разработка мер по смягчению последствий информационной утечки;
• написание регламентов по эксплуатации СКЗИ с учетом техдокументации.

Обязанности пользователя СКЗИ

Пользователь обязан:

• соблюдать условия эксплуатации СКЗИ, указанные в инструкции производителя;
• хранить в тайне корпоративную информацию, с которой приходится работать;
• сдавать СКЗИ и ключевую документацию Администратору при увольнении или смене работы;
• не использовать криптоключи на сторонних компьютерах;
• сообщать о потере носителей, СКЗИ-устройств, важной документации, ключей от служебных помещений;
• принимать своевременные меры для обновления антивирусных программ;
• устанавливать на ПК только лицензионное ПО;
• не допускать посторонних к своему ПК, хранить электронные и бумажные носители в соответствии с требованиями ИБ.

Уничтожение СКЗИ

Причиной утилизации СКЗИ (блоков, носителей) могут быть окончание срока действия изделий, увольнение сотрудника, имевшего допуск к ключевой документации, или его перевод на другую работу. Средства, подлежащие уничтожению, сдаются Администратору СКЗИ.

Криптоключи удаляются из памяти устройства носителя. Затем оно уничтожается или используется повторно (в соответствии с регламентом производителя). Создаются новые ключи, информация перешифровывается.

Факт утилизации фиксируется в журнале типовой формы. Составляются акты деинсталляции криптоключей, а также уничтожения блоков СКЗИ и устройств-носителей.

Процедура проводится не позднее 10 дней после окончания использования материалов. В ней участвует не менее 2 человек (комиссия).

Примечание. Вспомогательное оборудование, которое использовалось вместе с СКЗИ (монитор, принтер, сканер) после надежного удаления предыдущей информации можно эксплуатировать в дальнейшем без ограничений.

 

Защита помещений ОКЗ

В Приказе № 152 ФАПСИ (п. 52, 53, 56) изложены требования, предъявляемые к помещениям ОКЗ.

Здесь говорится о том, что они должны иметь:

• оптимальную площадь;
• прочные металлические двери с надежными кодовыми замками;
• окна, защищенные решетками, жалюзями; для исключения возможности просмотра помещения с улицы используются плотные шторы;
• охранную сигнализацию, предупреждающую о вторжении злоумышленников;
• металлический сейф для хранения СКЗИ и сопутствующей документации.

 

Защита помещений пользователей СКЗИ

Помещения для операторов должны быть оборудованы прочными дверями, защищенными окнами. На охраняемую территорию не должны заходить посторонние люди.

Рабочие столы располагаются таким образом, чтобы сотрудники, сидящие рядом, не могли видеть документы, обрабатываемые соседом, и делать копии. Столы отделяются друг от друга перегородками. Пользователи должны иметь индивидуальные шкафы или ящики для хранения СКЗИ носителей и рабочей документации. Чтобы исключить похищение или уничтожение важных сведений, ценные источники информации закрываются на ключ, шкафы опломбируются. Действующие и резервные ключевые документы следует хранить отдельно.

Организационно-распорядительные документы

К ним относятся документы, в которых изложены общие правила работы предприятия, а также требования, касающиеся информационной защиты, охраны ПДн.

В перечень входят:

• приказы (о назначении ответственных за эксплуатацию СКЗИ, допуске сотрудников к работе с криптоключами, мерах безопасности, использовании журналов учета и т. д.);
• отчеты о проверке информационных систем, состояния криптографических средств, результатах мероприятий по усилению ИБ;
• акты (передачи, списания, уничтожения криптографических средств);
• методические рекомендации ФСТЭК, ФСБ, ФАПСИ (об источниках информационных угроз и видах нарушителей ИС, а также об использовании сертифицированных СКЗИ);
• должностные инструкции (по установке и применению ПО, криптоключей, шифровальной аппаратуры, по обеспечению безопасности ИС, использованию антивирусной защиты, предоставлению допуска к работе с СКЗИ);
• перечни конфиденциальных данных и списки работников, допущенных к их приему и передаче.

Инструкция пользователя

В каждой организации, владеющей информацией ограниченного доступа, обязательно составляется инструкция ответственного пользователя СКЗИ, в которой оговариваются особенности криптографической обработки данных и правила хранения секретной документации.

Закрепление обязанностей

В инструкции говорится о необходимости четкого закрепления обязанностей за отдельными сотрудниками. Устанавливаются конкретные рамки, в пределах которых они могут использовать аппаратуру и программы шифрования, проявлять интерес к служебной информации и деятельности других работников.

Допуск

К самостоятельной работе допускаются лица, прошедшие специальную подготовку, получившие заключение комиссии ОКЗ с результатами теста. Для получения допуска сотрудники должны иметь должные навыки работы, а также понятия о законодательных нормах обработки и хранения информации, использования СКЗИ.

Учет, выдача и уничтожение СКЗИ и ключевых носителей

В этом разделе инструкции говорится о необходимости ведения журналов учета криптографических устройств, а также электронных и бумажных носителей. Журнал заполняет администратор, отвечающий за безопасность информации.

Используются шаблоны, в которые заносятся сведения об элементах СКЗИ и сотрудниках, участвовавших в установке и эксплуатации средств. Оговариваются причины и порядок уничтожения криптоключей, устройств-носителей и блоков СКЗИ.

Действия при компрометации ключевой информации

Описываются обязанности, действия сотрудников и руководства организации в случае компрометации шифровальных ключей и криптодокументов.

Причинами компрометации (утери доверия) могут быть:

• потеря устройств-носителей (даже если они были позднее обнаружены);
• подозрения на недостаточную надежность канала связи;
• взлом печатей на дверях или сейфах с ключевыми документами;
• потеря дверных ключей от хранилищ и шкафов с элементами СКЗИ;
• увольнение сотрудников.
   

В инструкции описан порядок замены и уничтожения скомпрометированных криптоключей.

 

Хранение СКЗИ и ключевой информации

Здесь перечисляются обязанности пользователей СКЗИ, говорится о необходимости правильного хранения шифров и ключевой информации.

Описываются также требования к охране служебных помещений и хранилищ, правила доступа сотрудников, выдачи СКЗИ и сопроводительной документации.

Порядок проверки ФСБ

В соответствии с Федеральным законом № 152 деятельность операторов ПДн контролируется ФСБ, если обработка данных производится с использованием криптографических методов.  Операторы ПДн – это органы государственной и муниципальной власти, физические и юридические лица, имеющие дело с персональной информацией граждан.

Классы СКЗИ

Класс СКЗИ определяется с учетом «модели нарушителя» (степени уязвимости информационной системы).

Класс СКЗИ	Возможности предотвращения атак
КС1	За пределами контролируемой зоны
КС2	За пределами зоны контроля или внутри нее, но без контакта с аппаратными средствами СКЗИ
КС3	К2 + блокировка атак со стороны лиц, имеющих доступ к оборудованию СКЗИ
КВ	КВ – КС3 + нейтрализация атак со стороны разработчиков ПО и аппаратуры СКЗИ
КА	КВ + отражение атак со стороны сотрудников, имеющих опыт работы с информационными системами и знакомых с возможностями взлома ПО и оборудования СКЗИ

 

Контроль и проверка использования

При проверке анализируется соблюдение требований, изложенных в Приказах № 66 и № 378 ФСБ, в Приказе ФАПСИ № 152, Методических рекомендациях № 149 и № 432 ФСБ.

Сотрудники ФСБ проверяют наличие сертификатов СКЗИ, выявляет угрозы БИ и модели нарушителей (способы возможного похищения или уничтожения данных). Контролируются условия обработки и защиты ПДн.

За нарушение требований безопасности ПДн (использование несертифицированных СКЗИ, отсутствие журналов учета, недооценку угроз) предусмотрена выплата штрафа (от 1 до 20 тыс. рублей).

Мероприятия для обеспечения безопасности ПДн

Согласно ФЗ № 152 (о безопасности ПДн) для защиты персональной информации требуется:

• составить перечень ПДн, подлежащих защите;
• установить границы контролируемой зоны ИС;
• выбрать СКЗИ соответствующего класса;
• уточнить режим работы сотрудников и степень их участия в обработке данных;
• выявить возможные угрозы безопасности;
• разработать инструкции для пользователей, учитывая требования законов;
• конкретизировать обязанности сотрудников, разграничить доступ к базе данных;
• организовать регистрацию и учет СКЗИ;
• использовать безопасное ПО и защищенные сайты (стандарта csp).

 

Использование СКЗИ позволяет избежать материальных потерь и морального ущерба, связанного с утечкой коммерческой и личной информации. Важную роль играет правильная эксплуатация СКЗИ, разумное распределение обязанностей между сотрудниками, управление доступом к криптографическим ключам. Чтобы действовать в рамках закона, необходимо выполнять требования, изложенные в приказах и рекомендациях надзорных органов,  а также в инструкциях по использованию СКЗИ.