Где хранится ЭЦП
Место хранения электронного ключа должно быть защищено от чужого доступа. ЭЦП состоит из двух частей. Открытая форма состоит из кода, доступного широкому кругу лиц. Закрытая форма зашифрована и скрыта в базе данных регистрации. В законодательстве не прописано четко, где хранится ЭЦП после получения подписантом. Указано правило неразглашения информации и форма назначения ответственных лиц.
Рекомендуемая форма сбережения данных — на жестком диске ПК. К серверу с подобной информацией должен быть ограничен доступ. Установлены внешние и внутренние системы защиты.
Недостатки хранения на ПК:
ЭЦП устанавливается на все компьютеры, с которых пользователь будет отсылать документацию. Если владелец забудет закрыть паролем ПК после пользования, ключи легко списываются
Экспорт/импорт закрытого ключа при физическом переезде на другое место требует прав доступа и квалификации.
Рекомендованное хранение ключей ЭЦП — специализированные хранилища Rutoken и e-Token. Они представляют собой USB-брелоки и смарт-карты. Доступ к этим хранилищам осуществляется только по ПИН-коду. Они удобны для переноса, просты в обращении. Все операции производятся непосредственно в хранилище. Ключ не попадает во внешние базы.
Достоинствами этого метода хранения являются:
защита от чужого
проникновения
доступ к любому устройству
для работы без сертификата
автоматизация процесса входа
по СЭД и системе компьютера
Единственным неудобством можно считать дополнительные расходы на содержание хранилищ. Но при значительном увеличении безопасности это малая доля дискомфорта.
Требования к ответственности со стороны пользователя
Законом не указано, как хранить ЭЦП. Однако четко прописаны требования к ответственности со стороны владельца. В законе «Об электронной цифровой подписи» указаны четкие требования.
Требования законодательной базы предписывают:
- Стороны электронного взаимодействия сохраняют конфиденциальность ЭЦП, обязуются
защищать от использования без согласия владельца. - Владельцы уведомляют центр сертификации ключа о нарушении конфиденциальности ЭЦП,
утрате или получении информации третьими лицами. - Запрещается использовать скомпрометированный ключ.
- Применять методы проверки и соответствия электронного ключа.
Федеральный источник предписывает правила хранения ЭЦП с доступом к проверке. Программное обеспечение должно быть прописано и давать ключи доступа центру сертификации ключа. Выдавший ключ орган имеет право проверить место хранения с последующей инспекцией корректности внесения его в документы.
Также дается доступ к электронной документации. Сроки хранения цифровых носителей подписи определяются номенклатурой дел и содержанием документа.
Описываются четкие правила хранения ЭЦП в организации. Со стороны владельца подписи должна быть обеспечена защита данных. Если ключ не находится в хранилище, он должен быть установлен на каждый используемый ПК. Оговаривается круг лиц, имеющих доступ к документации и документообороту.
Предполагается, что ответственность за использование ЭЦП в организациях принимают руководящие должности и главный бухгалтер. Эти лица назначаются специальным протоколом.
Информация о них вносится в архив центра контроля и выдачи ключей. Метод, как хранить электронную подпись в рамках одного предприятия, оставляется на выбор владельца.
Ответственность и передача прав пользования
Хранение ЭЦП в организации требует назначения лиц, наделенных правом использования электронной цифровой подписи. Законодательством указан порядок хранения ЭЦП в организации.
Приказ о назначении ответственного за ЭЦП включает информацию ФИО сотрудников. Указываются полномочия и выполняемые функции. Прописывается регламент пользования электронной подписью.
Внутренним документом назначается ответственный за ЭЦП приказ подписывается вместе с соглашением о неразглашении информации. Назначенному лицу или лицам вычитывают инструктаж по пользованию ЭЦП. Им рассказывается порядок хранения ЭЦП и защиты доступа данных от третьих лиц. Объясняются правила внесения ключа в документ.
От пользователя требуется:
сохранение тайны информации
и конфиденциальность
процесса обмена информацией
хранение закрытых ключей от
чужих лиц
соблюдение пунктов правил
эксплуатации АРМ системы
документооборота
В документе не указывается, где хранится электронная подпись. Эту информацию сообщают в устном порядке во время инструктажа.
За использование ЭЦП ответственность несет не только назначенное лицо, но и организация. Если при передаче прав на применение подписи нарушается порядок информирования и введения в должность, меры применяются к обеим сторонам. Контроль над исполнением положений приказа остается за руководителем (владельцем) подписи.
Чужая ЭЦП: законодательная ответственность
В законодательстве РФ описана ответственность за использование чужой ЭЦП. Не имеющие официального разрешения лица с доступом к чужому электронному ключу попадают под уголовную, административную и гражданско-правовую ответственность, оговоренную соответствующими кодексами.
В случае обнаружения нарушений уличенные лица несут уголовную ответственность электронная подпись считается скомпрометированной. Организация или руководство должны донести до всех заинтересованных лиц эту информацию. Если действия личности причинили материальные убытки, ей вменяется возместить ущерб. Принимающая электронный ключ по договору личность несет полную ответственность за его хранение.
Если вам необходима консультация о приобретении и выборе ЭЦП – обратитесь к нашим специалистам!
Статья будет полезна, если в вашей организации есть хотя бы один ключ электронной подписи — тогда вам, скорее всего, нужно вести журналы учета ключей подписи. Кто обязан это делать и как, расскажем в статье.
Что такое журналы учета ключей ЭП
Журналы учета средств криптографической защиты информации (СКЗИ) или ключей электронной подписи (ЭП или ЭЦП) помогают следить за перемещением средств криптозащиты и ключей подписи в организации. В них отражается кто получил ключ подписи, сдал ли его при переходе на другую должность или увольнении, знаком ли сотрудник с правилами работы со средствами электронной подписи. Журналы нужны предприятиям, которые используют ЭП и СКЗИ, например, КриптоПро CSP или ViPNet CSP.
Как вести такие журналы, описано в Инструкции о безопасности хранения, обработки и передачи информации с использованием криптографических средств (приказ ФАПСИ № 152 от 13.06.2001). Разберемся, кому обязательно нужно вести их, а кому только рекомендуется это делать.
Кому нужно вести журналы учета ключей ЭП
Лицензиаты ФСБ
Эти компании оказывают платные услуги, связанные с использованием СКЗИ: их разработкой, распространением, установкой, обслуживанием и т.д. Это могут быть удостоверяющие центры, которые выпускают сертификат электронных подписей, или, например, дистрибьюторы СКЗИ.
К лицензиатам предъявляется самый большой список требований по соблюдению инструкции. Они должны создать у себя орган криптографической защиты информации, разработать свой регламент по соблюдению инструкции и вести журналы учета ключей ЭП и СКЗИ. Орган криптозащиты контролирует, как организация соблюдает инструкцию из приказа ФАПСИ №152.
Лицензиаты также могут помогать другим компаниям соблюдать требования регулятора — ФСБ России.
Организации, которые не являются лицензиатами ФСБ
Обязательно соблюдать приказ ФАПСИ №152 и вести журналы учета ключей ЭП должны предприятия, которые используют СКЗИ для защиты конфиденциальной информации, если такая информация по закону подлежит защите — например, для персональных данных или при передаче отчетности. В приказе их называют «обладатели конфиденциальной информации».
Если организации используют СКЗИ для защиты информации, не подлежащей обязательной защите, то требования инструкции ФАПСИ носят рекомендательный характер. Например, это касается компании, которая приобрела сертификат ЭП и средства криптозащиты только для внутреннего пользования — подписания внутренних документов, шифрования результатов своей работы.
Организациям, которые будут соблюдать требования приказа ФАПСИ №152, нужно создать регламент хранения и использования электронных подписей на основе утвержденной приказом инструкции и вести журналы учета. Сделать это можно одним из двух способов:
- Самостоятельно создать регламент, назначить конкретного сотрудника, который будет отвечать за его соблюдение и вести журналы.
- Обратиться к лицензиатам ФСБ и поручить им разработку регламента и журналов, и при необходимости, передать им контроль за тем, как соблюдается инструкция и внутренний регламент.
СКБ Контур — лицензиат ФСБ и поможет организовать учет электронных подписей в компании. Специалисты проекта Контур.Безопасность создадут всю необходимую документацию и проконтролируют соблюдение регламента и инструкции из приказа ФАПСИ № 152.
Какие журналы учета вести
Инструкция устанавливает два типа журналов:
- Журнал поэкземплярного учета СКЗИ.
В него вносят сведения о ключах ЭП сотрудников — кто получил носитель с ключом подписи, когда и где, даты уничтожения и другая информация.
Способ заполнения журнала отличается в зависимости от типа СКЗИ, от того кто ведет журнал: обладатель ключей ЭП или орган криптографической защиты. Подробно детали заполнения описаны в приказе ФАПСИ № 152.
Форма журнала поэкземплярного учета для органа криптографической защиты — для лицензиатов ФCБ:
Форма журнала поэкземплярного учета для обладателей конфиденциальной информации:
- Технический или аппаратный журнал.
Он помогает следить за аппаратными средствами криптозащиты — например, серверами с установленным ключом ЭП.
Типовая форма технического (аппаратного) журнала:
Чтобы скачать формы для заполнения журналов, перейдите по ссылке.
Что такое порядок использования и хранения ключей ЭП и СКЗИ
Кроме журналов учета инструкция также рекомендует организациям разработать и соблюдать свой регламент хранения и использования ключей ЭП. Для регламента нет единой типовой формы, поэтому компания может разработать документ самостоятельно. Для этого нужно изучить инструкцию и адаптировать требования именно под свою компанию.
Несмотря на то, что регламент в разных компаниях будет отличаться, есть общие требования — регламент должен указывать правила, по которым в организации:
- назначают сотрудников ответственных за учет ключей ЭП и СКЗИ;
- ведут журналы и поэкземплярный учет;
- устанавливают и настраивают СКЗИ;
- обучают работе с ЭП и СКЗИ, ведут пользователей, допущенных к работе с ними;
- контролируют соблюдение условий использования ЭП и СКЗИ;
- действуют в случае, если ключи и СКЗИ утеряны или есть подозрение, что используются неправомерно;
- контролируют соблюдение регламента внутри организации.
Что будет, если не соблюдать инструкцию и не вести журналы учета
За безопасностью в сфере использования конфиденциальных данных в России следит ФСБ России. Ведомство может проводить, как плановые, так и внеплановые проверки в целях контроля использования шифровальных средств. Если при проверке обнаружат нарушения правил защиты информации, то, согласно ст. 13.12 КоАП РФ, на организацию могут наложить ряд санкций: штрафы для должностных лиц и юрлица, а также конфискацию самих средств криптозащиты. В итоге не сможет отправить электронную отчетность или работать в системе обмена данными.
Отметим, что на практике некоторые организации не соблюдают приказ ФАПСИ №152, считая, что так как документ утвердили почти двадцать лет назад, то и значимость его устарела. Однако приказ все еще юридически действителен, а в 2016 году ФСБ России подтвердило его актуальность.
Поэтому организациям необходимо обеспечить безопасность хранения, использования и передачи конфиденциальной информации. Если для этого используются электронные подписи и СКЗИ, организация должна их учитывать. Основной документ, на который можно опираться — приказ ФАПСИ №152 и утвержденная в нем инструкция. Если ФСБ России решит проверить организацию и обнаружит существенные недостатки, ведомство вправе наложить административный штраф или даже приостановить деятельность организации до устранения недочетов.
На чтение 33 мин. Просмотров 536 Опубликовано 22.02.2021
Содержание
- Что делать, если произошло мошенничество с использованием электронной подписи, выданной на ваше имя?
- Что такое порядок использования и хранения ключей эп и скзи
- Форма акта n ____ от “__” ________ 20__ г. об уничтожении криптографических ключей, содержащихся на ключевых носителях и ключевых документов
- Что такое журналы учета ключей эп
- Акт об уничтожении
- Основные изменения в области применения электронной подписи
- Общие положения
- Термины и определении
- Термины и определения
- Обязанности Ответственного
- Обязанности пользователей СКЗИ
- Порядок получения допуска пользователей к работе с СКЗИ
- Ответственность пользователей СКЗИ
- Права Ответственного
- Работа с СКЗИ
- Действия в случае компрометации ключей
- Порядок передачи обязанностей при смене Ответственного
- Выпуск электронной подписи при оказании сервисных услуг в качестве дополнительной услуги, без надлежащего информирования заявителя («укэп в придачу»)
- Доверенная третья сторона
- Документальное оформление
- Журнал поэкземплярного учета скзи, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации)
- Издание приказа
- Какие журналы учета вести
- Лицензиаты фсб
- Методологические рекомендации по использованию носителей ключевой информации (защищенных ключевых носителей)
- Об обращении со средствами криптографической защиты информации
- Применение электронной подписи
- Противодействие мошенничеству в области применения электронной подписи
- Работа комиссии
- Создание комиссии
- Способы избавления от бумаг
- Срок хранения
- Термины
Что делать, если произошло мошенничество с использованием электронной подписи, выданной на ваше имя?
Незамедлительно обратитесь в удостоверяющий центр, который выдал этот сертификат электронной подписи на ваше имя, и напишите заявление на его аннулирование! Это не позволит злоумышленникам в дальнейшем совершать мошеннические действия с использованием этого сертификата.
Если злоумышленники за вас сдали отчетность, как можно скорее подайте в налоговую инспекцию заявление в произвольной форме о недостоверности сведений. Это можно сделать как при непосредственном посещении налоговой инспекции, так и по почте или через интернет.
Если на ваше имя зарегистрировано юридическое лицо или ИП, следует незамедлительно внести в реестр ЕГРЮЛ или реестр ЕГРИП информацию о недостоверности данных о вас, как о руководителе. Для этого в налоговую инспекцию следует направить заявление о недостоверности сведений о юридическом лице или ИП по форме № Р34001 (рекомендуем направить такое заявление непосредственно в инспекцию по месту регистрации юридического лица или ИП). Это можно сделать как при непосредственном посещении инспекции, так и по почте или через интернет.
Если вы потеряли пароль доступа к закрытому ключу (PIN-код) или сам ключевой носитель , или он сломан, то необходимо приостановить бизнес-процессы электронного документооборота до перевыпуска электронной подписи.
Если действия посторонних лиц с вашей электронной подписью причинили ущерб, от вашего имени совершена незаконная сделка в электронной форме, подписаны значимые документы в электронной форме, то необходимо обратиться с заявлением в полицию или прокуратуру и зафиксировать факт такого события.
Что такое порядок использования и хранения ключей эп и скзи
Кроме журналов учета инструкция также рекомендует организациям разработать и соблюдать свой регламент хранения и использования ключей ЭП. Для регламента нет единой типовой формы, поэтому компания может разработать документ самостоятельно. Для этого нужно изучить инструкцию и адаптировать требования именно под свою компанию.
Несмотря на то, что регламент в разных компаниях будет отличаться, есть общие требования — регламент должен указывать правила, по которым в организации:
- назначают сотрудников ответственных за учет ключей ЭП и СКЗИ;
- ведут журналы и поэкземплярный учет;
- устанавливают и настраивают СКЗИ;
- обучают работе с ЭП и СКЗИ, ведут пользователей, допущенных к работе с ними;
- контролируют соблюдение условий использования ЭП и СКЗИ;
- действуют в случае, если ключи и СКЗИ утеряны или есть подозрение, что используются неправомерно;
- контролируют соблюдение регламента внутри организации.
Форма акта n ____ от “__” ________ 20__ г. об уничтожении криптографических ключей, содержащихся на ключевых носителях и ключевых документов
произвела уничтожение криптографических ключей, содержащихся на ключевых носителях, и ключевых документов:
Всего уничтожено ___ криптографических ключей на ___ ключевых носителях.
Уничтожение криптографических ключей выполнено путем их стирания (разрушения) по технологии, принятой для ключевых носителей многократного использования в соответствии с требованиями эксплуатационной и технической документации на соответствующие СКЗИ.
Записи Акта сверены с записями в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.
Факт списания с учета ключевых носителей в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов подтверждаю:
Что такое журналы учета ключей эп
Журналы учета средств криптографической защиты информации (СКЗИ) или ключей электронной подписи (ЭП или ЭЦП) помогают следить за перемещением средств криптозащиты и ключей подписи в организации. В них отражается кто получил ключ подписи, сдал ли его при переходе на другую должность или увольнении, знаком ли сотрудник с правилами работы со средствами электронной подписи. Журналы нужны предприятиям, которые используют ЭП и СКЗИ, например, КриптоПро CSP или ViPNet CSP.
Как вести такие журналы, описано в Инструкции о безопасности хранения, обработки и передачи информации с использованием криптографических средств (приказ ФАПСИ № 152 от 13.06.2001). Разберемся, кому обязательно нужно вести их, а кому только рекомендуется это делать.
Акт об уничтожении
Последний документ, завершающий процедуру – акт об уничтожении. Утвержденной формы его нет. Документ составляется в свободной форме. Однако в нем должны присутствовать эти сведения:
- Способ избавления от документов.
- Исполнитель, ответственный за мероприятие.
- Опись бумаг, которые были уничтожены.
Если документы направлены на макулатуру, соответствующую запись требуется внести в акт. Кроме того, к нему нужно приложить копию акта передачи.
Основные изменения в области применения электронной подписи
К началу страницы
Федеральным законом от 27.12.2021 № 476 – ФЗ вносятся значимые изменения в области регулирования применения электронной подписи.
В целях обеспечения подготовки всех информационных систем для выполнения нового порядка, положения закона вступают в силу поэтапно:
Общие положения
Настоящая Инструкция разработана в целях регламентации действий лиц, допущенных к работе со средствами криптографической защиты информации (СКЗИ), которые осуществляют работы с применением СКЗИ.
Под работами с применением СКЗИ в настоящей Инструкции понимаются защищенное подключение к информационным системам, подписание электронных документов электронной подписью и проверка подписи, шифрование файлов другие действия согласно технической документации на СКЗИ.
Под обращением с СКЗИ в настоящей Инструкции понимается проведение мероприятий по обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.
Данная инструкция регламентирует работу с применением СКЗИ для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.
Настоящая Инструкция в своем составе, терминах и определениях основывается на положениях “Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну”, утвержденной приказом ФАПСИ от 13 июня. 2001 г.
N 152 (далее – Инструкция ФАПСИ от 13 июня 2001 г. N 152), “Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)”, утвержденного приказом ФСБ РФ от 9 февраля 2005 г.
N 66, а также “Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности”, утвержденных приказом ФСБ от 10.07.2021 N 378.
Термины и определении
Информация ограниченного доступа – информация, доступ к которой ограничен федеральными законами;
Исходная ключевая информация – совокупность данных, предназначенных для выработки по определенным правилам криптоключей;
Ключевая информация – специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока;
Ключевой документ – физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости – контрольную, служебную и технологическую информацию.
Ключевой носитель – физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).
Компрометация – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
Криптографический ключ (криптоключ) – совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе;
Орган криптографической защиты (ОКЗ) – структурное подразделение Организации, работник Организации или стороннее юридическое лицо, на которое возложены обязанности по разработке и осуществлении мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ информации ограниченного доступа.
Ответственный за организацию работ по криптографической защите информации (Ответственный) – сотрудник Организации, отвечающий за реализацию мероприятий, связанных с обеспечением в Организации безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.
Персональный компьютер (ПК) – вычислительная машина, предназначенная для эксплуатации пользователем Организации в рамках исполнения должностных обязанностей.
Пользователи СКЗИ – работники Организации, непосредственно допущенные к работе с СКЗИ.
Средство криптографической защиты информации (СКЗИ) – совокупность аппаратных и (или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью, шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении.
Электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
Термины и определения
Информация ограниченного доступа – информация, доступ к которой ограничен федеральными законами;
Исходная ключевая информация – совокупность данных, предназначенных для выработки по определенным правилам криптоключей;
Ключевая информация – специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока;
Ключевой документ – физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости – контрольную, служебную и технологическую информацию.
Ключевой носитель – физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).
Компрометация – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
Криптографический ключ (криптоключ) – совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе;
Орган криптографической защиты (ОКЗ) – структурное подразделение Организации, работник Организации или стороннее юридическое лицо, на которое возложены обязанности по разработке и осуществлении мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ информации ограниченного доступа.
Ответственный за организацию работ по криптографической защите информации (Ответственный) – сотрудник Организации, отвечающий за реализацию мероприятий связанных с обеспечением в Организации безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.
Персональный компьютер (ПК) – вычислительная машина, предназначенная для эксплуатации пользователем Организации в рамках исполнения должностных обязанностей.
Пользователи СКЗИ – работники Организации, непосредственно допущенные к работе с СКЗИ.
Средство криптографической защиты информации (СКЗИ) – совокупность аппаратных и (или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью, шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении.
Электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
Обязанности Ответственного
При реализации мероприятий, связанных с обеспечением в Организации безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа, Ответственный должен руководствоваться действующим законодательством Российской Федерации, Инструкцией по обращению с СКЗИ, а также настоящей инструкцией.
На Ответственного возлагается проведение следующих мероприятий:
1) Ведение Журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;
2) Хранение установочных комплектов СКЗИ, эксплуатационной и технической документации к ним;
3) Принятие ключевых документов к СКЗИ от пользователя при его увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;
4) Своевременная актуализация перечня пользователей СКЗИ;
5) Ежегодная проверка наличия СКЗИ, эксплуатационной и технической документации к ним, согласно Журналу поэкземплярного учета СКЗИ.
Ответственный обязан:
1) Не разглашать информацию ограниченного доступа, к которой он допущен, в том числе сведения о криптоключах;
2) Обеспечивать сохранность носителей ключевой информации и других документов о ключах, выдаваемых с ключевыми носителями;
3) Обеспечить соблюдение требований к обеспечению с использованием СКЗИ безопасности информации ограниченного доступа;
4) Контролировать целостность печатей (пломб) на технических средствах с установленными СКЗИ;
5) Немедленно уведомлять непосредственного руководителя о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах компрометации криптоключей, которые могут привести к разглашению информации ограниченного доступа, а также о причинах и условиях возможной утечки такой информации;
6) Не допускать ввод одного номера лицензии на право использования СКЗИ более чем на одно рабочее место.
Обязанности пользователей СКЗИ
Пользователи СКЗИ обязаны:
1) соблюдать конфиденциальность информации ограниченного доступа, к которой они допущены, в том числе сведения о криптоключах;
2) обеспечивать сохранность вверенных ключевых носителей и ключевой документации на них;
3) соблюдать требования безопасности информации ограниченного доступа при использовании СКЗИ;
4) незамедлительно сообщать Ответственному о ставших им известными попытках получения посторонними лицами доступа к сведениям об используемых СКЗИ, ключевым носителям и ключевой документации;
5) при увольнении или отстранении от исполнения обязанностей сдать Ответственному носители с ключевой документацией;
6) при подозрении на компрометацию ключевой документации, а также при обнаружении факта утраты или недостачи СКЗИ, ключевых носителей, ключевой документации, хранилищ, личных печатей незамедлительно уведомлять Ответственного.
Пользователям СКЗИ запрещается:
1) выводить ключевую информацию на средствах отображения информации (дисплей монитора, печатающие устройства, проекторы и т.п.);
2) оставлять ключевые носители с ключевой документацией без присмотра;
3) записывать на ключевой носитель информацию, не связанную с работой СКЗИ (текстовые и мультимедиа файлы, служебные файлы и т.п.);
4) вносить любые изменения в программное обеспечение СКЗИ;
Порядок получения допуска пользователей к работе с СКЗИ
Для получения допуска к работе с СКЗИ, работнику необходимо пройти обучение правилам работы с СКЗИ и проверку знаний.
Основанием для допуска пользователя к работе с СКЗИ является внесение его в перечень пользователей СКЗИ, утверждаемый руководителем Организации.
Контроль над реализацией данных мероприятий возлагается на Ответственного.
Ответственность пользователей СКЗИ
За нарушение установленных требований по эксплуатации криптосредств пользователь СКЗИ несет ответственность в соответствии с действующим законодательством Российской Федерации.
Права Ответственного
В рамках исполнения возложенных на него обязанностей, Ответственный имеет право:
1) Требовать от пользователей СКЗИ соблюдения положений Инструкции по обращению с СКЗИ и Инструкции пользователя СКЗИ;
2) Обращаться к непосредственному руководителю с предложением прекращения работы пользователя с СКЗИ при невыполнении им установленных требований по обращению с СКЗИ;
3) Инициировать проведение служебных расследований по фактам нарушения в Организации порядка обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.
Работа с СКЗИ
Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, в помещениях пользователей СКЗИ должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей в присутствии посторонних лиц запрещено.
Для исключения утраты ключевой информации вследствие дефектов носителей рекомендуется, после получения ключевых носителей, создать рабочие копии. Копии должны быть промаркированы и должны использоваться, учитываться и храниться в общем порядке. Все копии учитываются за отдельным номером.
Каждый ключевой документ должен быть зарегистрировать в Журнале поэкземплярного учета СКЗИ.
Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только с разрешения руководителя организации с соответствующей пометкой в журнале поэкземплярного учета.
При обнаружении на рабочей станции с установленным СКЗИ программного обеспечения, не соответствующего объему и сложности решаемых задач на данном рабочем месте, а также вирусных программ, незамедлительно должны быть организованы работы по расследованию инцидента информационной безопасности.
О событиях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием информации ограниченного доступа, пользователи СКЗИ обязаны сообщать Ответственному за организацию работ по криптографической защите информации.
К компрометации ключей относятся следующие события:
1) утрата носителей ключа;
2) утрата иных носителей ключа с последующим обнаружением;
3) возникновение подозрений на утечку ключевой информации или ее искажение;
4) нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура, опечатывания сейфов;
5) утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;
6) утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;
7) доступ посторонних лиц к ключевой информации;
другие события утери доверия к ключевой информации, согласно технической документации на СКЗИ.
В случае компрометации ключа пользователя незамедлительно должны быть приняты меры по отзыву ключа (отзыв ключа электронной подписи в удостоверяющем центре, обновление списков отозванных сертификатов, замена криптоключа пользователя и т.п.), а также проведено расследование по факту компрометации.
Визуальный осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения).
Расследование инцидентов информационной безопасности, связанных с компрометацией ключевых носителей и ключевой документацией, осуществляет (обладатель скомпрометированной информации ограниченного доступа). При необходимости, привлекается орган криптографической защиты.
Порядок передачи обязанностей при смене Ответственного
При смене Ответственного должны быть внесены соответствующие изменения в Приказ об обращении с СКЗИ. Вновь назначенный Ответственный должен быть ознакомлен под роспись с настоящей Инструкцией и приступить к исполнению возложенных на него обязанностей.
Выпуск электронной подписи при оказании сервисных услуг в качестве дополнительной услуги, без надлежащего информирования заявителя («укэп в придачу»)
Современный рынок диктует условия – сервис должен быть простым, понятным и проактивным. Организации, которые оказывают предпринимателям различные услуги, будь то регистрация ККТ или помощь в оформлении расчетного счета, в борьбе за клиента стараются сделать обслуживание максимально комфортным.
При этом в погоне за простотой и удобством часто опускаются важные детали. Например, могут не обратить внимание клиента на то, что при регистрации в качестве индивидуального предпринимателя необходимо подписать от его имени электронные документы. То есть сертификат электронной подписи выпускается, но клиент даже не знает об этом.
В таких случаях заявление на выпуск УКЭП, как и согласие на обработку персональных данных присутствуют в общей массе документов, которые подписываются при заключении договора на получение услуг. Либо такого рода дополнительная услуга прописана в договоре, но при этом не привлекает внимание, так как документ объемный, формулировки – нечеткие, а представитель обслуживающей организации не дает никаких дополнительных устных пояснений.
Дальше события могут развиваться в зависимости от добросовестности организации. УКЭП могут выдать вам на носителе с пакетом документов об оказании услуги, а могут хранить ее в «облачном» хранилище организации. УКЭП могут аннулировать сразу после оказания услуги, а могут продолжить использовать ее для совершения юридически значимых действий от вашего имени.
Как избежать получения “УКЭП в придачу”:
- прочитайте внимательно договор и другие документы в рамках сделки;
- обратите внимание, есть ли там слова “электронная подпись”;
- обратите внимание на условия выдачи УКЭП, как она хранится и аннулируется, кто обеспечивает ее сохранность;
- спросите у представителя обслуживающей организации: можно ли отказаться от выпуска УКЭП и для чего это вообще требуется.
Далее действуйте по ситуации, оценив риски возможной компрометации электронной подписи в рамках предложенных условий.
Проверить, не выпущена ли на ваше имя УКЭП, можно в личном кабинете на Едином портале государственных и муниципальных услуг (Госуслуги). В разделе «Настройки и безопасность» необходимо выбрать «Электронная подпись». Здесь содержатся данные о выдавшем на ваше имя квалифицированную электронную подпись удостоверяющем центре, ее серийном номере и сроке действия.
Если вам стало известно о выдаче УКЭП на ваше имя без вашего ведома или о факте компрометации, то НЕМЕДЛЕННО аннулируйте ее, обратившись в удостоверяющий центр, в котором данная УКЭП выпущена.
Если есть подозрение о мошенничестве с вашей электронной подписью, то обращайтесь в полицию. Если в полиции откажутся возбуждать дело, то можно обратиться в прокуратуру и Минцифры.
Доверенная третья сторона
К началу страницы
Доверенная третья сторона (ДТС) – юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени в отношении лица, подписавшего электронный документ, для обеспечения доверия при обмене данными и электронными документами.
Функции и обязанности ДТС, а также требования к средствам ДТС, определены Федеральным законом от 27.12.2021 №476-ФЗ.
Юридические лица, претендующие на выполнение функций ДТС обязаны пройти процедуру аккредитации в соответствии с Федеральным законом от 27.12.2021 № 476-ФЗ в порядке, установленном Минцифры России.
К основным функциям ДТС также относится деятельность по признанию электронных подписей, созданных в соответствии с нормами права иностранного государства и международными стандартами, которые соответствуют признакам усиленной электронной подписи.
Документальное оформление
После окончания процедуры по рассмотрению создается акт об их выделении к уничтожению. В этот акт нужно внести сведения об уничтожаемых бумагах: наименование папки с делом, срок хранения, число листов. В завершении акта председатель должен проставить свою визу. После того, как акт оформлен, можно поместить все документы в отдельный шкаф. В любое время возможно их уничтожить.
Второй документ, который требуется заполнить – приказ о назначении процедуры. В нем должна содержаться эта информация:
- Дата.
- Основание для уничтожения (ранее составленный акт).
- Распоряжение.
- Способ избавления от бумаг.
Приказ требуется визировать. После этого производится уничтожение.
Журнал поэкземплярного учета скзи, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации)
Начат: “__” ________20__ г.Окончен: “__” ________20__ г.
| N п/п | Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов | Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов | Номера экземпляров (криптографические номера) ключевых документов | Отметка о получении | Отметка о выдаче | Отметка о подключении (установке) СКЗИ | Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов | Примечание | ||||||
| От кого получены | Дата и номер сопроводительного письма | Ф.И.О. пользователя СКЗИ | Дата и расписка в получении | Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, произведших подключение (установку) | Дата подключения (установки) и подписи лиц, произведших подключение (установку) | Номера аппаратных средств, в которые установлены или к которым подключены СКЗИ | Дата изъятия (уничтожения) | Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, производивших изъятие (уничтожение) | Номер акта или расписка об уничтожении | |||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 |
Приложение N 5к приказу ФАС Россииот 16.07.2020 N 658/20
Издание приказа
Для формирования комиссии необходимо издать приказ. Он будет иметь следующий вид:
ООО «Япония»
4.11.2021
г. Москва
Приказ о формировании комиссии по уничтожению документов
С целью осуществления экспертизы ценности документов, поиска бумаг, срок хранения которых истек, с их последующим уничтожением,
ПРИКАЗЫВАЮ:
1. Сформировать комиссию со следующим составом участников:
Руководитель: Петров А.С. (гендиректор)
Участники: Ларина Т.А. (главбух), Никольцев П.В. (руководитель отдела кадров), Зайцева П.П. (начальник юридического отдела), Сифонов О.О. (начальник службы ДОУ)
2. Председателю комиссии выполнить инвентаризацию документов.
3. Организовать уничтожение в срок с 5 ноября 2021 года по 1 декабря 2021 года.
4. Контроль над выполнением этого приказа оставляю за собой.
Гендиректор: (подпись) А.С. Петров
Это лишь примерная форма приказа. Он может иметь другой вид. К примеру, перечень участников комиссии можно вынести в приложение к приказу.
ВАЖНО! С приказом нужно обязательно ознакомить всех лиц, которые назначены участниками комиссии.
Какие журналы учета вести
Инструкция устанавливает два типа журналов:
- Журнал поэкземплярного учета СКЗИ.
В него вносят сведения о ключах ЭП сотрудников — кто получил носитель с ключом подписи, когда и где, даты уничтожения и другая информация.
Способ заполнения журнала отличается в зависимости от типа СКЗИ, от того кто ведет журнал: обладатель ключей ЭП или орган криптографической защиты. Подробно детали заполнения описаны в приказе ФАПСИ № 152.
Форма журнала поэкземплярного учета для органа криптографической защиты — для лицензиатов ФCБ:
Форма журнала поэкземплярного учета для обладателей конфиденциальной информации:
- Технический или аппаратный журнал.
Он помогает следить за аппаратными средствами криптозащиты — например, серверами с установленным ключом ЭП.
Типовая форма технического (аппаратного) журнала:
Лицензиаты фсб
Эти компании оказывают платные услуги, связанные с использованием СКЗИ: их разработкой, распространением, установкой, обслуживанием и т.д. Это могут быть удостоверяющие центры, которые выпускают сертификат электронных подписей, или, например, дистрибьюторы СКЗИ.
К лицензиатам предъявляется самый большой список требований по соблюдению инструкции. Они должны создать у себя орган криптографической защиты информации, разработать свой регламент по соблюдению инструкции и вести журналы учета ключей ЭП и СКЗИ. Орган криптозащиты контролирует, как организация соблюдает инструкцию из приказа ФАПСИ №152.
Лицензиаты также могут помогать другим компаниям соблюдать требования регулятора — ФСБ России.
Методологические рекомендации по использованию носителей ключевой информации (защищенных ключевых носителей)
К началу страницы
Об обращении со средствами криптографической защиты информации
В цели исполнения требований “Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну”, утвержденной приказом ФАПСИ от 13 июня 2001 г. N 152, приказываю:
1. Назначить ответственными за организацию работ по криптографической защите информации Ответственные лица: специалиста отдела Информационной безопасности ФБУ “ИТЦ ФАС России” Калантаряна Шаварша Суреновича, специалиста отдела Информационной безопасности ФБУ “ИТЦ ФАС России” Маркелова Даниила Денисовича, ведущего специалиста отдела Информационной безопасности ФБУ “ИТЦ ФАС России” Саяпина Андрея Сергеевича.
2. Утвердить Инструкцию по обращению со средствами криптографической защиты информации (СКЗИ) (приложение N 1).
3. Утвердить Инструкцию ответственного за организацию работ по криптографической защите информации (приложение N 2).
4. Утвердить Инструкцию пользователей средств криптографической защиты информации (приложение N 3).
5. Ответственному за организацию работ по криптографической защите информации ознакомиться под роспись и руководствоваться в своей деятельности Инструкцией по обращению со средствами криптографической защиты информации и Инструкцией ответственного за организацию работ по криптографической защите информации.
6. Ответственному за организацию работ по криптографической защите информации ознакомить под роспись пользователей СКЗИ с Инструкцией по обращению с СКЗИ и Инструкцией пользователей средств криптографической защиты информации.
7. Пользователям, которым необходимо получить доступ к работе с СКЗИ, пройти обучение и проверку знаний по правилам работы с СКЗИ.
8. Утвердить форму Перечня пользователей СКЗИ (приложение N 5).
9. Утвердить форму Журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложение N 4).
10. Утвердить форму Акта об уничтожении криптографических ключей, содержащихся на ключевых носителях и ключевых документов (приложение N 6).
11. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Доценко А.В.
РуководительИ.Ю. АРТЕМЬЕВ
Приложение N 1к приказу ФАС Россииот 16.07.2020 N 658/20
Применение электронной подписи
К началу страницы
Противодействие мошенничеству в области применения электронной подписи
К началу страницы
Вы получили квалифицированный сертификат электронной подписи?
Будьте внимательны и осторожны!
Электронная подпись – это аналог собственноручной подписи, ключ к вашему имуществу, деньгам и репутации!
Получение квалифицированного сертификата электронной подписи по значимости даже важнее получения паспорта! Когда вы используете паспорт для совершения юридически значимых действий, вас идентифицируют, сравнивая ваше лицо с фотографией в паспорте. Электронная подпись (авторство электронного документа) обычно проверяется дистанционно, то есть предполагается, что никто кроме вас не может поставить вашу электронную подпись на электронный документ.
Поэтому если кто-то использует вашу электронную подпись вместо вас, юридически это расценят как ваши действия. В этом разделе описаны различные жизненные ситуации, которые могут привести к мошенничеству с УКЭП. ФНС России обращает внимание, что это не список потенциальных преступлений, а перечень ситуаций, когда стоит быть особенно внимательным.
Работа комиссии
Главная функция комиссии – отбор бумаг, предназначающихся для уничтожения. Рассмотрим все ее функции:
- Отбор бумаг, предназначающихся для передачи в архив.
- Отбор бумаг с временным хранением, которые нужно хранить далее.
- Поиск бумаг с повреждениями, которые невозможно исправить.
- Полная экспертиза документации.
Срок хранения бумаг можно посмотреть в номенклатуре.
ВАЖНО! Уничтожаются только те бумаги, срок хранения которых завершился на начало года, в котором запланировано уничтожение.
Создание комиссии
Первый шаг – отбор бумаг. Процедура осуществляется на основании главы 4 Постановления 03-33/пс. Она предполагает обязательное формирование комиссии. Она нужна для определения того, какие документы больше не требуются. Представители комиссии проверяют срок действия той или иной бумаги.
Комиссия может функционировать на постоянной основе. Актуально это для компаний с большим документооборотом, где уничтожение бумаг – это постоянная процедура. Однако, в большинстве случаев, комиссия действует на временной основе. Участниками комиссии назначаются квалифицированные сотрудники, которые могут решать, понадобится ли та или иная бумага в дальнейшем.
Способы избавления от бумаг
Уничтожение бумаг может проводиться различными способами:
- Сжигание.
- Сдача в пункт приема макулатуры.
- Уничтожение посредством шредера.
Иногда бумаги просто разрывают вручную. Если документы отправляются на макулатуру, требуется создать или накладную, или акт приема-передачи.
Срок хранения
Акты об уничтожении хранятся на постоянной основе. Под них рекомендуется создать отдельное дело. Если это дело создано, в номенклатуру требуется внести положение о нем. Если компания будет реорганизована, дело передается преемнику. Если же компания ликвидируется, оно направляется в городской архив.
Термины
К началу страницы
Электронная подпись – это аналог собственноручной подписи для подписания электронных документов.
Сертификат ключа проверки электронной подписи (сертификат электронной подписи, квалифицированный сертификат электронной подписи) – это электронный и бумажный документ, который подтверждает связь электронной подписи с ее владельцем (человеком или организацией).
Открытый ключ (ключ проверки электронной подписи) – это уникальный набор символов (байт), сформированный средством электронной подписи и однозначно привязанный к закрытому (секретному) ключу. Открытый ключ необходим для того, чтобы любой желающий мог проверить электронную подпись на электронном документе. Он передается получателю электронного документа в составе файла электронной подписи и может быть известен всем.
Закрытый (секретный) ключ электронной подписи – это уникальный набор символов (байт), сформированный средством электронной подписи. Используется для формирования самой электронной подписи на электронном документе и хранится в зашифрованном виде на ключевом носителе. Доступ к закрытому ключу защищен паролем (PIN-кодом) и его нужно хранить в секрете.
Ключевая пара – это набор из открытого и закрытого ключей электронной подписи, однозначно привязанных к друг другу.
Ключевой носитель – это устройство для хранения закрытого ключа. Ключевой носитель внешне напоминает “флешку” для компьютера, но отличается по своим свойствам: память у него защищена паролем (PIN-кодом). Может иметь встроенное средство электронной подписи.
Средство электронной подписи – это программно-аппаратное или только программное средство, предназначенное для создания ключевой пары, формирования и проверки электронной подписи на электронном документе. Его еще называют “криптопровайдером” или СКЗИ (средством криптографической защиты информации).
Безопасность персональных данных – одна из главных проблем современности. И, разумеется, владельцы электронной подписи задаются вопросами – насколько надежно защищены их данные и что делать, если подпись была украдена или скомпрометирована?
Техподдержка Удостоверяющего центра подготовила простой и подробный гайд по безопасности использования и хранения электронной цифровой подписи.
⠀
Как правильно хранить электронную подпись?
Для хранения квалифицированной электронной подписи используются только защищенные носители. Самый безопасный носитель – токен, который выглядит как обычный USB-брелок. Токены для хранения ЭП должны быть в обязательном порядке сертифицированы ФСТЭК или ФСБ, и они уже несут в себе базовую защиту данных. Все операции с электронной подписью производятся непосредственно в самом носителе, данные не попадают во внешнюю систему и нигде не хранятся в вашем рабочем компьютере.
Любая операция с использованием электронной подписи с токена должна быть подтверждена вводом пин-кода. На токене можно хранить сразу несколько электронных подписей, но они будут защищены единым пин-кодом. Основное правило для безопасности ЭП: один владелец, одна подпись, один токен. Если право подписи есть у нескольких сотрудников организации, каждому такому сотруднику необходимо получить свой сертификат. Так вы будете точно знать, кто именно подписал документ от лица компании.
Удостоверяющий центр ООО «ЭТП ГПБ Консалтинг» использует защищенные носители Rutoken Lite и Rutoken ЭЦП 2.0. Оба варианта сертифицированы и соответствуют стандартам безопасности.
⠀
Как обезопасить рабочее место?
Чтобы разобраться с этим вопросом, сперва нужно ответить на другой, не менее важный. Каким образом чаще всего злоумышленники получают доступ к чужой электронной подписи?
Вариантов не так уж много.
1. Если сертификат хранится не на токене, а в памяти компьютера (что крайне не рекомендуется специалистами по информационной безопасности), то он, как и другие данные, может стать объектом взлома. Если вы храните свою подпись в памяти рабочего компьютера или ноутбука, необходимо использовать антивирус и веб-антивирус. Хранение сертификата на токене поможет вам защитить свои данные от хакерских атак и шпионского ПО.
2. Токен, несомненно, защищает ваши данные, и именно поэтому он не должен попадать к третьим лицам. Законодательством РФ установлена ответственность за использование чужой ЭП — как административная и гражданско-правовая, так и уголовная. Руководители компании и ответственные сотрудники должны уведомить об этом всех заинтересованных лиц. Самые распространенные ситуации, которые ведут к компрометации электронной подписи:
- вы потеряли токен или у вас его украли (однако без пин-кода злоумышленнику сложно будет воспользоваться вашей подписью);
- вы оставили токен подключенным к компьютеру и не заблокировали его перед уходом;
- вы передали токен для использования другому сотруднику.
Также, если несколько человек используют электронную подпись для ведения дел в организации, необходимо своевременно отзывать право использования ЭП при увольнении сотрудника. Лучше всего делать это заблаговременно, даже если вы считаете его человеком надежным и достойным доверия.
Общие советы по сохранению безопасности электронной подписи на рабочем месте:
- Не передавайте ваш токен сотрудникам.
Если в организации есть лица, имеющие право подписи, оформите им индивидуальный сертификат и следите за тем, чтобы его аннулировали при увольнении сотрудника. Желательно, чтобы в отделе кадров существовал список сотрудников с сертификатами ЭП, позволяющий в том числе отслеживать сроки использования и обновления лицензии. - Не оставляйте токен без присмотра.
Если вам нужно покинуть рабочее место, необходимо заблокировать компьютер и убрать токен в сейф или забрать его с собой. Не оставлять токен подключенным в ваше отсутствие — это ваша обязанность как владельца сертификата в соответствии с Порядком УЦ ЭТП ГПБ. - Не записывайте пин-код на самом токене.
Используйте комбинацию, которую легко запомните вы, но которую сложно будет угадать злоумышленнику. Как и с банковскими картами, нежелательно устанавливать в качестве пина дату рождения, год выдачи и прочие очевидные комбинации цифр. - Не отключайте антивирусы на рабочем месте.
Вероятность похищения зашифрованных данных крайне мала, но киберпреступники постоянно изобретают новые методы обхода систем безопасности. - Не храните ЭП в открытом доступе.
Хорошим решением будет офисный сейф, в котором сотрудники, использующие ЭП на предприятии, будут оставлять свои токены в конце рабочего дня. Если у вас нет сейфа, то подойдет ящик стола или тумба, которые запираются на замок, при условии, что ключ будет у вас. Также, с учетом небольшого размера токена, вы можете просто носить его с собой.
Что делать при утере подписи?
Если вы подозреваете, что ваша электронная подпись была скомпрометирована, вам следует немедленно обратиться в Удостоверяющий центр. Чем раньше вы свяжетесь с УЦ, тем меньше вероятность, что злоумышленники воспользуются вашей подписью в своих целях.
Чтобы отслеживать подозрительные действия, вы можете воспользоваться следующими сервисами:
1. На портале Госуслуги перейдите в личный кабинет, найдите в разделе «Настройки и безопасность» вкладку «Электронная подпись». Там отображаются все ваши сертификаты, а в разделе «Последние действия» вы сможете отследить подозрительную активность.
2. В личном кабинете налоговой вы также можете отслеживать действия, совершенные с применением электронной подписи.
Оба портала позволяют вам настроить уведомления на электронную почту, которые будут оповещать вас о совершаемых действиях.
Если вы потеряли токен или считаете, что некто мог получить доступ к вашей подписи, первым делом обратитесь в Удостоверяющий центр. Наши менеджеры помогут вам составить заявление на аннулирование сертификата и сориентируют по дальнейшим действиям. В зависимости от того, как именно злоумышленники использовали ЭП, возможно также придется уведомить о произошедшем налоговую службу и полицию.
Как и где можно хранить электронную подпись
Простая и неквалифицированная электронная подпись (ЭП) могут храниться на любых носителях, так как в
Федеральном законе №63-ФЗ «Об электронной подписи» нет никаких указаний на этот счет. К вопросу хранения
квалифицированной ЭП нужно отнестись серьезнее. Эта подпись приравнена к собственноручной, она используется
в электронных торгах и при заключении важных сделок с контрагентами. Поэтому безопаснее хранить ее на
защищенном носителе, сертифицированном ФСБ.
Защищенные носители для квалифицированной электронной подписи
Токен (eToken, Рутокен и др.)
Надежный и удобный носитель в виде USB-брелока. Подходит для большинства применений, кроме ЕГАИС. С его помощью
можно отправить отчет в налоговую или Росстат, подписать договор и участвовать в электронных торгах.
Чтобы подписывать документы с помощью токена, на компьютер нужно установить средство криптографической
защиты информации (СКЗИ).
Токен со встроенным СКЗИ (Рутокен ЭЦП, Рутокен ЭЦП 2.0, JaCarta PKI/ГОСТ/SE)
Носитель, который похож на обычный токен, но обладает встроенным СКЗИ. Используя электронную подпись на таком
носителе, вы сможете подписывать документы на любом компьютере без покупки дополнительного ПО. Рутокен ЭЦП
подходит для дистанционного банковского обслуживания, работы на госпорталах, сдачи отчетности и документооборота.
Он не предназначен для работы с торговыми площадками и ЕГАИС. Рутокен ЭЦП 2.0, как и JaCarta PKI/ГОСТ/SE,
используются только для работы с ЕГАИС.
Дополнительная защита электронной подписи
Доступ к подписи по пин-коду
На каждом съемном носителе электронной подписи установлен пин-код — комбинация символов, после ввода которой
вы получаете доступ к подписи. Вводится пин-код каждый раз при подписании документа или любом другом обращении
к ЭП. По умолчанию код стандартный, но вы можете убрать его совсем или поменять на свой. Мы подготовили
инструкцию по смене для Рутокен,
eToken,
JaCarta.
Если нужно, обратитесь в УЦ, и наш специалист поможет сменить пин-код.
Защита подписи от копирования
Ключи электронной подписи по умолчанию разрешено копировать на другие носители. Если хотите, вы можете включить
защиту от копирования. Для этого при оформлении заявки сообщите менеджеру, что вам нужен неэкспортируемый ключ
электронной подписи. В этом случае скопировать подпись с носителя будет невозможно, так как при любой попытке
экспорта файлов система будет выдавать ошибку.
Незащищенные носители для квалифицированной электронной подписи
Теоретически ЭП можно записать на любой съемный носитель. Но файлы на USB-диске, дискете или другом носителе
никак не защищены. Если злоумышленники их украдут и расшифруют, то смогут подписывать любые документы. Поэтому
мы не рекомендуем хранить файлы электронной подписи на подобных носителях.
Запись ЭП в реестр ноутбука — популярный, но тоже небезопасный вариант хранения подписи. Любой, кто получит
доступ к системе, сможет подписывать документы или создать копию ключа. Если понадобится переехать на другое
рабочее место, то для переноса ключа электронной подписи понадобится помощь квалифицированного специалиста.
ЭП можно и вовсе потерять, если с компьютером что-то случится.
О чем нужно помнить при хранении квалифицированной ЭЦП
Один носитель — для одного сотрудника
Если записать ЭП разных сотрудников на один носитель, то нарушится конфиденциальность закрытых ключей.
И по закону все подписи будут считаться недействительными.
Нельзя передавать свою ЭП другому человеку
Электронная подпись — это аналог собственноручной. Она служит идентификатором владельца. Если отдать ЭП другому
человеку, а он подпишет документ, с которым вы не согласны, то оспорить это решение не удастся.
Нельзя хранить ЭП в открытом доступе
Квалифицированную электронную подпись нужно хранить в сейфе или другом защищенном месте. Носитель, который
просто лежит на столе, легко украсть, чтобы подписать пару «лишних» документов. А когда вы это заметите,
то даже в суде не сможете доказать свою непричастность.
При смене реквизитов меняйте и ЭП
Компания изменила свое название, владелец ЭП уволился или поменял должность? Меняйте подпись. Не затягивайте
с этим, чтобы не столкнуться с пачкой платежек, подписанных неизвестно кем, и не нарушать п. 1 ст. 2 Федерального
закона №63-ФЗ «Об электронной подписи», требующий обеспечить точную идентификацию владельца ЭП. Для замены
электронной подписи обратитесь к менеджеру, который ее выдавал. Или свяжитесь с удостоверяющим центром «Тензор»
удобным для вас способом.
Вовремя продлевайте ЭП
Если не продлить электронную подпись, она станет недействительной. И вы не сможете подписать ни один электронный
документ, пока не получите новую ЭП в удостоверяющем центре. О том, как продлить электронную подпись, читайте
в нашей статье.
Защитите рабочее место
Антивирусное ПО защищает вас от любых неприятных сюрпризов. Вирусы способны имитировать поведение владельца
подписи, чтобы подписать несколько нужных злоумышленнику документов. И доказать, что подпись ставили не вы,
будет тяжело.
Не храните пароли на бумажках
Это правило — основа компьютерной безопасности. Оно относится не только к электронным подписям, но и ко всем
другим сферам. Пароль от токена, заботливо записанный на стикере возле компьютера, несказанно обрадует
злоумышленника.