Письмо Казначейства России от 19.12.2013 N 42-7.4-05/11.1-831 "О направлении разъяснений об исполнении требований Регламента Удостоверяющего центра Федерального казначейства"
Федеральное казначейство в целях разъяснения применения требований Регламента Удостоверяющего центра Федерального казначейства, утвержденного приказом Федерального казначейства от 4 декабря 2013 г. N 279 "Об утверждении Регламента Удостоверяющего центра Федерального казначейства" (далее - Регламент УЦ ФК) сообщает <1>.
--------------------------------
<1> По тексту настоящего письма используются термины и сокращения, используемые в Регламенте УЦ ФК.
1. Для выдачи неквалифицированного сертификата ключа проверки электронной подписи (далее - НСКП) следует руководствоваться разделом 5 Регламента УЦ ФК, при этом их выдача осуществляется Операторами УЦ с использованием оборудования, подключенного к центру сертификации Уполномоченного удостоверяющего центра Федерального казначейства (далее - не аккредитованный ЦС).
2. Для выдачи квалифицированного сертификата ключа проверки электронной подписи (далее - КСКП) следует руководствоваться разделом 6 Регламента УЦ ФК, при этом их выдача осуществляется Операторами УЦ с использованием оборудования, подключенного к центру сертификации Удостоверяющего центра Федерального казначейства (далее - аккредитованный ЦС).
3. Перечень Организаций-заявителей, которым УЦ ФК выдает сертификаты, указан в приложении N 1 к настоящему письму.
4. Оператор УЦ формирует Сведения о КСКП в электронном виде по форме, указанной в приложениях N 2 и N 3 к настоящему письму, до разработки соответствующего программного обеспечения.
5. Для печати КСКП на бумажном носителе необходимо использовать программное обеспечение X509View, доработанная версия которого размещена на ресурсе ftp://10.128.2.11/Distrib_all/X509View/X509View(Qualified)/.
6. С целью исполнения требований части 4 статьи 18 Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" разработано примерное Руководство по обеспечению безопасности использования квалифицированной электронной подписи и средств квалифицированной электронной подписи, которое содержится в приложении N 4 к настоящему письму.
7. Договор присоединения (Соглашение) к Регламенту УЦ ФК (далее - Договор присоединения), необходимый для исполнения пункта 3.2.2 Регламента УЦ ФК, содержится в приложении N 5 к настоящему письму. В случае наличия действующего договора с клиентами Федерального казначейства, примерная форма которого направлена письмом Федерального казначейства от 19.07.2013 N 42-7.4-05/10.1-433, для выдачи Организации-заявителю только квалифицированных сертификатов ключей проверки электронной подписи заключение Договора присоединения не требуется.
8. Операторам УЦ для получения КСКП в соответствии с Инструкцией по оформлению квалифицированных сертификатов операторов Удостоверяющего центра Федерального казначейства, доведенной письмом Федерального казначейства от 25.07.2013 N 42-7.4-05/11.1-445, направление подтверждающих документов, а именно заверенных копий приказа о назначении Операторов УЦ, паспорта и СНИЛС, осуществляется исключительно в электронном виде через Орган специальной документальной связи.
9. При регистрации запроса на сертификат в поле "Organization", которое в соответствие с RFC5280 не должно превышать 64 символов, допускается указывать сокращенное наименование организации - соискателя сертификата. При отсутствии сокращенного наименования указывается краткое наименование - наименование, которое используется при оформлении платежных и иных документов в случаях, когда информация, подлежащая к заполнению в обязательном порядке, имеет ограничения по числу символов.
10. Новая версия АРМ Генерации ключей, с обеспечением возможности генерации запроса на квалифицированный сертификат и содержащая новые полномочия Организации-заявителя, определенные Федеральным законом от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" (далее - полномочия по 44-ФЗ) будет доступна в новой версии АРМ Генерации ключей, размещенной остановленным порядком в Фонде алгоритмов и программ Федерального казначейства.
11. Сотрудникам органов Федерального казначейства сертификаты выдаются в порядке определенном органом Федерального казначейства с соблюдением всех процедур, предусмотренных Регламентом УЦ ФК, при этом соглашение, предусмотренное пунктом 3.2.2 Регламента УЦ ФК, заключать не требуется.
12. Новая политика регистрации запросов EUS UFK v11.2, доступная на не аккредитованном ЦС, содержит полномочия по 44-ФЗ и должна применяться для обработки запросов на НСКП после выпуска программного обеспечения, указанного в пункте 10 настоящего письма.
13. В соответствии с пунктом 5.2.1 Регламента УЦ ФК допускается предоставление документов Организацией-заявителем в удаленные структурные подразделения, на которые возложены функции органа Федерального казначейства на соответствующей территории, в зависимости от места расположения Организации-заявителя.
14. До разработки и ввода в действие Системы управления полномочиями и разграничением доступа в информационной системе, полномочия <2> будут содержаться в составе сертификата.
--------------------------------
<2> Например ООС. Заказчик, ООС. Уполномоченная организация, АСФК. Подпись первичных документов ЗКР и др.
15. Указанные в приложениях N 6 и N 7 к настоящему письму схемы отражают описание бизнес-процессов выдачи сертификатов.
Руководитель Р.Е.АРТЮХИН
Приложение N 1
ПЕРЕЧЕНЬ
ЮРИДИЧЕСКИХ ЛИЦ, КОТОРЫМ УДОСТОВЕРЯЮЩИЙ ЦЕНТР ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА ВЫДАЕТ СЕРТИФИКАТЫ КЛЮЧЕЙ ПРОВЕРКИ ЭЛЕКТРОННЫХ ПОДПИСЕЙ
1. Главные распорядители бюджетных средств.
2. Распорядители бюджетных средств.
3. Получатели бюджетных средств.
4. Главные администраторы доходов бюджета.
5. Администраторы доходов бюджета.
6. Главные администраторы источников финансирования дефицита бюджета, осуществляющие операции с источниками внутреннего финансирования дефицита бюджета, и главные администраторы источников финансирования дефицита бюджета, осуществляющие операции с источниками внешнего финансирования дефицита бюджета.
7. Администраторы источников финансирования дефицита бюджета, осуществляющие операции с источниками внутреннего финансирования дефицита бюджета, и администраторы источников финансирования дефицита бюджета, осуществляющие операции с источниками внешнего финансирования дефицита бюджета.
8. Финансовые органы субъекта Российской Федерации (муниципального образования).
9. Органы управления территориальными государственными внебюджетными фондами.
10. Получатели бюджетных средств, осуществляющие в соответствии с бюджетным законодательством Российской Федерации операции с бюджетными средствами (в том числе в иностранной валюте) на счете, открытом ему в учреждении Центрального банка Российской Федерации или кредитной организации, а также казенные учреждения, находящееся за пределами Российской Федерации и получающие бюджетные средства от главного распорядителя бюджетных средств в иностранной валюте.
11. Администраторы доходов бюджета, осуществляющие отдельные бюджетные полномочия главного администратора доходов, в ведении которого он находится.
12. Администраторы источников финансирования дефицита бюджета, осуществляющие отдельные бюджетные полномочия главного администратора источников финансирования дефицита бюджета, в ведении которого он находится.
13. Получатели бюджетных средств, имеющие право в соответствии с законодательными и иными нормативными правовыми актами Российской Федерации, законодательными и иными нормативными правовыми актами субъектов Российской Федерации и муниципальными правовыми актами, в соответствии с заключенным соглашением об осуществлении органами Федерального казначейства отдельных функций по исполнению бюджета субъекта Российской Федерации (местного бюджета) в условиях кассового обслуживания ими исполнения бюджета субъекта Российской Федерации (местного бюджета), заключенным с высшим исполнительным органом государственной власти субъекта Российской Федерации (местной администрацией муниципального образования), осуществлять операции со средствами, поступающими во временное распоряжение.
14. Федеральные органы государственной власти, органы государственной власти субъекта Российской Федерации, органы местного самоуправления, в том числе их территориальных органов.
15. Органы управления государственными внебюджетными фондами.
16. Казенные учреждения.
17. Бюджетные учреждения.
18. Организации, в уставном (складочном) капитале которых доля Российской Федерации (субъекта Российской Федерации) составляет не менее 25 процентов.
19. Государственные, муниципальные унитарные предприятия.
20. Субъекты естественных монополий, не разместивших на официальном сайте правовой акт, регламентирующий правила закупки.
21. Государственные корпорации государственных компаний.
22. Организации, осуществляющие регулируемые виды деятельности в сфере электроснабжения, газоснабжения, теплоснабжения, водоснабжения, водоотведения, очистки сточных вод, утилизации (захоронения) твердых бытовых отходов, не разместивших на официальном сайте правовой акт, регламентирующий правила закупки.
23. Автономные учреждения, не разместившие на официальном сайте правовой акт, регламентирующий правила закупки, а также являющиеся в соответствии с законодательством Российской Федерации заказчиками.
24. Автономные учреждения, лицевые счета которых открыты в территориальном органе Федерального казначейства.
25. Хозяйственные общества, в уставном капитале которых доля участия Российской Федерации, субъекта Российской Федерации, муниципального образования в совокупности превышает 50 процентов, не разместившие на официальном сайте правовой акт, регламентирующий правила закупки.
26. Дочерние хозяйственные общества, в уставном капитале которых более 50 процентов долей в совокупности принадлежит юридическим лицам, указанным в пункте 1 части 2 статьи 1 Федерального закона от 18 июля 2011 г. N 223-ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц" (далее - Закон) (Собрание законодательства Российской Федерации, 2011, N 30, ст. 4571; N 50, ст. 7343), а также дочерние хозяйственные общества, в уставном капитале которых более 50 процентов долей в совокупности принадлежит дочерним хозяйственным обществам, указанным в пункте 2 части 2 статьи 1 Закона, не разместивших на официальном сайте правовой акт, регламентирующий правила закупки.
27. Специализированные организации.
28. Территориальные государственные внебюджетные фонды главных распорядителей, распорядителей и получателей средств бюджетов территориальных государственных внебюджетных фондов.
29. Кредитные организации, имеющие право в соответствии с законодательными и иными нормативными правовыми актами Российской Федерации обращаться в Федеральное казначейство за получением сертификата ключа проверки электронной подписи.
Приложение N 2
СВЕДЕНИЯ
О КСКП ВЫДАННЫХ ФИЗИЧЕСКИМ ЛИЦАМ
Ф.И.О. Владельца КСКП | Уникальный номер КСКП | Период действия КСКП | СНИЛС, реквизиты основного документа, удостоверяющего личность Владельца КСКП (номер, серия, дата выдачи) | Сведения о документах, подтверждающих полномочия Владельца КСКП действовать по поручению Организации-заявителя (наименование, номер и дата выдачи) | Ограничения использования КСКП (если такие ограничения устанавливаются) | Иная информация о Владельце КСКП (по его требованию) | Подразделение и должность Владельца КСКП | Электронный почтовый адрес и контактный телефон Владельца КСКП | Ключевая фраза (кодовое слово) Владельца КСКП | Сведения об Организации-заявителе (дата и регистрационный номер Заявления на регистрацию, полное наименование и адрес местонахождения Организации-заявителе, ОГРН, ИНН, КПП, Код СПЗ, учетный номер ГМУ) | Дата приостановления действия КСКП, основание приостановления действия КСКП | Дата аннулирования (отзыва) КСКП, основание аннулирования (отзыва) КСКП | |
1. | |||||||||||||
2. | |||||||||||||
3. | |||||||||||||
4. | |||||||||||||
5. | |||||||||||||
6. | |||||||||||||
7. | |||||||||||||
8. | |||||||||||||
9. | |||||||||||||
10. | |||||||||||||
11. | |||||||||||||
12. | |||||||||||||
13. | |||||||||||||
14. | |||||||||||||
15. | |||||||||||||
16. | |||||||||||||
17. | |||||||||||||
18. | |||||||||||||
19. | |||||||||||||
20. | |||||||||||||
21. | |||||||||||||
22. |
Приложение N 3
СВЕДЕНИЯ
О КСКП ВЫДАННЫХ ЮРИДИЧЕСКИМ ЛИЦАМ
Ф.И.О. руководителя Организации-заявителя | Ф.И.О. физ. лица, действующего от имени юр. лица на основании учредительных документов юр. лица или доверенности | Уникальный номер КСКП | Период действия КСКП | Наименование, адрес места нахождения и СНИЛС, ИНН, ОГРН Организации-заявителя | Основные реквизиты документа, подтверждающего право руководителя Организации-заявителя, выступающего от имени Организации-заявителя, обращаться за получением КСКП (наименование, номер и дата выдачи) | Реквизиты свидетельства о государственной регистрации юр. лица Организации-заявителя | Ограничения использования КСКП (если такие ограничения устанавливаются) | Иная информация о Владельце КСКП (по требованию заявителя) | Сведения о документах, подтверждающих полномочия Администратора ИБ действовать по поручению Организации-заявителя (наименование, номер и дата выдачи) | Наименование автоматизированной системы/службы/сервиса/сервера Организации-заявителя для использования которыми издан КСКП | Контактный телефон Владельца КСКП, электронный почтовый адрес службы эксплуатации автоматизированной системы | Дата приостановления действия КСКП, основание приостановления действия КСКП | Дата аннулирования (отзыва) КСКП, основание аннулирования (отзыва) КСКП | |
1. | ||||||||||||||
2. | ||||||||||||||
3. | ||||||||||||||
4. | ||||||||||||||
5. | ||||||||||||||
6. | ||||||||||||||
7. | ||||||||||||||
8. | ||||||||||||||
9. | ||||||||||||||
10. | ||||||||||||||
11. | ||||||||||||||
12. | ||||||||||||||
13. | ||||||||||||||
14. | ||||||||||||||
15. | ||||||||||||||
16. | ||||||||||||||
17. | ||||||||||||||
18. | ||||||||||||||
19. | ||||||||||||||
20. | ||||||||||||||
21. | ||||||||||||||
22. |
Приложение N 4
РУКОВОДСТВО
ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИСПОЛЬЗОВАНИЯ КВАЛИФИЦИРОВАННОЙ ЭЛЕКТРОННОЙ ПОДПИСИ И СРЕДСТВ КВАЛИФИЦИРОВАННОЙ ЭЛЕКТРОННОЙ ПОДПИСИ
Настоящее руководство является информационным документом, описывающим условия и порядок использования электронных подписей и средств электронной подписи, риски, связанные с использованием электронных подписей, меры, необходимые для обеспечения безопасности электронных подписей.
1. Общие положения
Настоящее руководство составлено в соответствии с требованиями Федерального закона от 06.04.2011 N 63-ФЗ "Об электронной подписи" является средством официального информирования лиц, заинтересованных в получении или владеющих сертификатом ключа проверки электронной подписи, об условиях, рисках и порядке использования электронных подписей и средств электронной подписи, а также о мерах, необходимых для обеспечения безопасности при использовании электронных подписей.
Применение электронных подписей в системах юридически значимого электронного документооборота и иных системах сопровождается рисками финансовых убытков и иного рода потерь, связанных с признанием недействительности сделок, совершенных с использованием электронной подписи при несанкционированном получении злоумышленником ключа электронной подписи или несанкционированного использования рабочего места пользователя, на котором осуществляется выработка электронной подписи. В связи с этим необходимо выполнение приведенных ниже организационно-технических и административных мер по обеспечению правильного функционирования средств обработки и передачи информации.
2. Требования по размещению
При размещении средств электронной подписи и средств криптографической защиты:
- должны быть приняты меры по исключению несанкционированного доступа в помещения, в которых размещены средства электронной подписи и средства криптографической защиты, посторонним лицам, не имеющим допуск к работе в этих помещениях. В случае необходимости присутствия посторонних лиц в указанных помещениях должен быть обеспечен контроль за их действиями во избежание негативных воздействий с их стороны на средства электронной подписи, средства криптографической защиты и передаваемую информацию;
- внутренняя планировка, расположение и укомплектованность рабочих мест в помещениях должны обеспечивать исполнителям работ сохранность доверенных им конфиденциальных документов и сведений, включая ключевую информацию.
3. Требования по установке средств электронной подписи и средств криптографической защиты, общесистемного и специального программного обеспечения
К установке общесистемного и специального программного обеспечения, а также программного обеспечения средств электронной подписи и средств криптографической защиты допускаются лица, прошедшие соответствующую подготовку и изучившие документацию на соответствующее программное обеспечение.
При установке программного обеспечения средств электронной подписи и средств криптографической защиты следует:
- на технических средствах, на которые устанавливаются средства электронной подписи и средства криптографической защиты, использовать только лицензионное программное обеспечение фирм-изготовителей;
- инсталляция программного обеспечения средств электронной подписи и средств криптографической защиты должна производиться только с дистрибутива, полученного в Удостоверяющем центре Федерального казначейства, и должны быть обеспечены организационно-технические меры по исключению подмены дистрибутива, внесения изменений в средства электронной подписи и средства криптографической защиты после установки;
- на технических средствах с установленными средствами электронной подписи и средствами криптографической защиты не должны устанавливаться средства разработки программного обеспечения и отладчики. Если средства отладки приложений нужны для технологических потребностей пользователя, то их использование должно быть санкционировано Администратором безопасности. При этом должны быть реализованы меры, исключающие возможность использования этих средств для редактирования кода и памяти программного обеспечения средств электронной подписи и средств криптографической защиты в процессе обработки защищаемой информации и/или при загруженной ключевой информации;
- предусмотреть меры, исключающие возможность несанкционированного изменения аппаратной части технических средств, на которых установлены средства электронной подписи и средства криптографической защиты (например, путем опечатывания системного блока и разъемов).
Программное обеспечение, используемое на технических средствах с установленными средствами электронной подписи и средствами криптографической защиты, не должно содержать возможностей, позволяющих:
- модифицировать содержимое произвольных областей памяти;
- модифицировать собственный код и код других подпрограмм;
- модифицировать память, выделенную для других подпрограмм;
- передавать управление в области собственных данных и данных других подпрограмм;
- несанкционированно модифицировать файлы, содержащие исполняемые коды при их хранении на жестком диске;
- повышать предоставленные привилегии;
- модифицировать настройки операционной системы;
- использовать недокументированные фирмой-разработчиком функции операционной системы.
4. Меры по обеспечению защиты
от несанкционированного доступа
При использовании средств электронной подписи и средств криптографической защиты должны выполняться следующие меры по защите информации от несанкционированного доступа:
Необходимо разработать и применить политику назначения и смены паролей (для входа в OC, BIOS, при шифровании на пароле и т.д.), использовать фильтры паролей в соответствии со следующими правилами:
- длина пароля должна быть не менее 6 символов;
- в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, номера телефонов, даты рождения и т.д.), а также сокращения (USER, ADMIN, root, и т.д.);
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;
- личный пароль пользователь не имеет права никому сообщать;
- периодичность смены пароля определяется принятой политикой безопасности, но не должна превышать 90 дней.
Запрещается:
- оставлять технические средства с установленными средствами электронной подписи и средствами криптографической защиты без контроля, после ввода ключевой информации;
- вносить какие-либо изменения в программное обеспечение средств электронной подписи и средств криптографической защиты;
- осуществлять несанкционированное Администратором безопасности копирование ключевых носителей;
- разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным, выводить ключевую информацию на дисплей, принтер и иные средства отображения информации;
- использовать ключевые носители в режимах, не предусмотренных функционированием средств электронной подписи и средств криптографической защиты;
- записывать на ключевые носители постороннюю информацию.
Администратор безопасности должен сконфигурировать операционную систему и осуществлять периодический контроль сделанных настроек в соответствии со следующими требованиями:
- не использовать нестандартные, измененные или отладочные версии операционных систем;
- исключить возможность загрузки и использования операционной системы, отличной от предусмотренной штатной работой;
- исключить возможность удаленного управления, администрирования и модификации операционной системы и ее настроек;
- на технических средствах с установленными средствами электронной подписи и средствами криптографической защиты должна быть установлена только одна операционная система;
- правом установки и настройки операционной системы, а также средств электронной подписи и средств криптографической защиты должен обладать только Администратор безопасности;
- все неиспользуемые ресурсы системы необходимо отключить (протоколы, сервисы и т.п.);
- режимы безопасности, реализованные в операционной системе, должны быть настроены на максимальный уровень;
- всем пользователям и группам, зарегистрированным в операционной системе, необходимо назначить минимально возможные для нормальной работы права;
- необходимо предусмотреть меры, максимально ограничивающие доступ к:
- ресурсам системы (в соответствующих условиях возможно полное удаление ресурса или его неиспользуемой части):
- системному реестру;
- файлам и каталогам;
- временным файлам;
- журналам системы;
- файлам подкачки;
- кэшируемой информации (пароли и т.п.);
- отладочной информации.
Кроме того необходимо организовать стирание (по окончанию сеанса работы средств электронной подписи и средств криптографической защиты) временных файлов и файлов подкачки, формируемых или модифицируемых в процессе их работы. Если это не выполнимо, то на жесткий диск должны распространяться требования, предъявляемые к ключевым носителям.
Должно быть исключено попадание в систему программ, позволяющих использовать ошибки операционной системы, для повышения предоставленных привилегий.
Необходимо регулярно устанавливать пакеты обновлений безопасности операционной системы (Service Packs, Hot fix и т.п.), обновлять антивирусные базы, а также исследовать информационные ресурсы по вопросам компьютерной безопасности с целью своевременной минимизации опасных последствий.
В случае подключения технических средствах с установленными средствами электронной подписи и средствами криптографической защиты к общедоступным сетям передачи данных необходимо исключить возможность открытия и исполнения файлов и скриптовых объектов, полученных из общедоступных сетей передачи данных, без проведения соответствующих проверок на предмет содержания в них программных закладок и вирусов, загружаемых из сети. С целью исключения возможности несанкционированного доступа к системным ресурсам используемых операционных систем к программному обеспечению, в окружении которого функционируют средства электронной подписи и средства криптографической защиты и к компонентам средств электронной подписи и средств криптографической защиты со стороны указанных сетей, должны использоваться дополнительные методы и средства защиты (например: установка межсетевых экранов, организация VPN-сетей и т.п.). Все средства защиты должны иметь сертификат уполномоченного органа по сертификации средств защиты.
Организовать и использовать систему аудита, организовать регулярный анализ результатов аудита.
Организовать и использовать комплекс мероприятий по антивирусной защите.
ЗАПРЕЩАЕТСЯ:
- осуществлять несанкционированное копирование ключевых носителей;
- разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным, выводить ключевую информацию на дисплей и принтер (за исключением случаев, предусмотренных данными требованиями);
- вставлять ключевой носитель в устройство считывания в режимах, не предусмотренных штатным режимом использования ключевого носителя;
- подключать к техническим средствам с установленными средствами электронной подписи и средствами криптографической защиты дополнительные устройства и соединители, не предусмотренные штатной комплектацией;
- работать на технических средствах с установленными средствами электронной подписи и средствами криптографической защиты, если во время его начальной загрузки не проходит встроенный тест ОЗУ;
- вносить какие-либо изменения в программное обеспечение средств электронной подписи и средств криптографической защиты;
- изменять настройки, выставленные программой установки средств электронной подписи и средств криптографической защиты или Администратором безопасности;
- обрабатывать на технических средствах с установленными средствами электронной подписи и средствами криптографической защиты информацию, содержащую государственную тайну;
- осуществлять несанкционированное вскрытие корпуса технического средства с установленными средствами электронной подписи и средствами криптографической защиты;
- работать со средствами электронной подписи и средствами криптографической защиты при включенных в техническое средство штатных средствах выхода в радиоканал;
- приносить и использовать в помещении, где размещены средства электронной подписи и средства криптографической защиты, радиотелефоны и другую радиопередающую аппаратуру (требование носит рекомендательный характер).
5. Требования по обеспечению информационной безопасности при работе в системах обмена электронными документами
5.1. Меры защиты ключей электронной подписи
Ключи электронной подписи при их создании должны записываться на типы ключевых носителей, которые поддерживаются используемым средством электронной подписи согласно технической и эксплуатационной документации к ним.
Ключи электронной подписи на ключевом носителе защищаются паролем (ПИН-кодом). Пароль (ПИН-код) формирует лицо, выполняющее процедуру генерации ключей, в соответствии с требованиями на используемое средство электронной подписи.
Если процедуру генерации ключей выполняет сотрудник Удостоверяющего центра Федерального казначейства, то он должен сообщить сформированный пароль (ПИН-код) владельцу ключа электронной подписи.
Ответственность за конфиденциальность сохранения пароля (ПИН-кода) возлагается на владельца ключа электронной подписи.
Сотрудники Удостоверяющего центра Федерального казначейства, являющиеся владельцами ключей электронной подписи, также выполняют указанные в настоящем разделе меры защиты ключей электронной подписи.
5.2. Обращение с ключевой информацией и ключевыми носителями
Недопустимо пересылать файлы с ключевой информацией для работы в системах обмена электронными документами по электронной почте сети Интернет или по внутренней электронной почте (кроме запросов на сертификат и открытых ключей).
Ключевая информация должна размещаться на сменном носителе информации (floppy-диск, USB-flash накопитель, e-Token, ru-Token и др.). Размещение ключевой информации на локальном или сетевом диске, а также во встроенной памяти технического средства с установленными средствами электронной подписи и средствами криптографической защиты способствует реализации многочисленных сценариев совершения мошеннических действий злоумышленниками.
Носители ключевой информации должны использоваться только их владельцем либо уполномоченным лицом на использование данного носителя и храниться в месте, не доступном третьим лицам (сейф, опечатываемый бокс, закрывающийся металлический ящик и т.д.).
Носитель ключевой информации должен быть вставлен в считывающее устройство только на время выполнения средствами электронной подписи и средствами криптографической защиты операций формирования и проверки электронной подписи, зашифрования и расшифрования. Размещение носителя ключевой информации в считывателе на продолжительное время существенно повышает риск несанкционированного доступа к ключевой информации третьими лицами.
На носителе ключевой информации недопустимо хранить иную информацию (в том числе рабочие или личные файлы).
5.3. Обеспечение безопасности АРМ с установленными СКЗИ
С целью контроля исходящего и входящего подозрительного трафика, технические средства с установленными средствами электронной подписи и средствами криптографической защиты должны быть защищены от внешнего доступа программными или аппаратными средствами межсетевого экранирования. Эти средства должны пресекать отправку в Интернет информации, инициированной программами, не имеющими соответствующих полномочий.
На технических средствах, используемых для работы в системах обмена электронными документами:
- на учетные записи пользователей операционной системы должны быть установлены пароли, удовлетворяющие требованиям, приведенным в разделе 4;
- должно быть установлено только лицензионное программное обеспечение;
- должно быть установлено лицензионное антивирусное программное обеспечение с регулярно обновляемыми антивирусными базами данных;
- должны быть отключены все неиспользуемые службы и процессы операционной системы Windows (в т.ч. службы удаленного администрирования и управления, службы общего доступа к ресурсам сети, системные диски С$ и т.д.);
- должны регулярно устанавливаться обновления операционной системы;
- должен быть исключен доступ (физический и/или удаленный) к техническим средствам с установленными средствами электронной подписи и средствами криптографической защиты третьих лиц, не имеющих полномочий для работы в системе обмена электронными документами;
- должна быть активирована подсистема регистрации событий информационной безопасности;
- должна быть включена автоматическая блокировка экрана после ухода ответственного сотрудника с рабочего места.
В качестве автоматизированного рабочего места для работы в системах обмена электронными документами крайне не рекомендуется выбирать переносной компьютер (ноутбук). Если выбран ноутбук, недопустимо его подключение к сетям общего доступа в местах свободного доступа в Интернет (Интернет-кафе, гостиницы, офисные центры и т.д.), при этом для хранения ключевой информации должен использоваться сменный носитель информации.
В случае передачи (списания, сдачи в ремонт) сторонним лицам технических средств, на которых были установлены средства электронной подписи и средства криптографической защиты, необходимо гарантированно удалить с него всю информацию, использование которой третьими лицами может потенциально нанести вред организации, в том числе средства электронной подписи и средства криптографической защиты, журналы работы систем обмена электронными документами и т.д.
6. Дополнительные требования
Дополнительные требования по обеспечению информационной безопасности при работе в системах обмена электронными документами могут дополнительно устанавливаться правилами систем ЭДО, требованиями по эксплуатации и безопасности средств электронной подписи и средств криптографической защиты.
Приложение N 5
ДОГОВОР ПРИСОЕДИНЕНИЯ (СОГЛАШЕНИЕ) N ____
К РЕГЛАМЕНТУ УДОСТОВЕРЯЮЩЕГО ЦЕНТРА ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА
г. Москва "__" _______ 20__ г.
_______________________, в лице __________________, действующего на основании __________________, именуемое в дальнейшем "Орган ФК", с одной стороны, и ___________, в лице ___________________________, действующего на основании ___________________________, именуем ____ в дальнейшем "Организация-заявитель", с другой стороны, вместе именуемые "Сторонами", заключили настоящий договор (далее - Договор) о нижеследующем.
I. Предмет договора
1.1. Предметом настоящего Договора является присоединение Организации-заявителя в порядке ст. 428 Гражданского кодекса Российской Федерации к Регламенту Удостоверяющего центра Федерального казначейства (далее - Регламент).
II. Права, обязанности и ответственность сторон
2.1. Права, обязанности и ответственность Сторон определяются Регламентом и настоящим Договором.
III. Действие договора
3.1. Настоящий Договор вступает в силу с даты его подписания Сторонами и действует до его расторжения по основаниям, предусмотренным законодательством Российской Федерации, или по решению любой из Сторон, подписавших Договор, в одностороннем внесудебном порядке.
IV. Адреса и реквизиты сторон
Орган ФК: Организация-заявитель:
V. Подписи сторон
Руководитель Руководитель
Приложение N 6
Приложение N 7