Найти в Дзене
bidexpert
2 подписчика

Политика информационной безопасности на рабочем месте

1
5 мин
Данный регламент обязателен для изучения сотрудником, назначенным ответственным за информационную безопасность. Он регулирует порядок использования средств криптографической защиты информации (СКЗИ) и работы в защищенной телекоммуникационной системе. Защищенная система - Автоматизированная система для обмена юридически значимыми электронными документами через телекоммуникационные каналы с применением электронной подписи. Автоматизированное рабочее место (АРМ) - Персональный компьютер, используемый для подключения и работы в Защищенной системе. СКЗИ - Техническое средство, обеспечивающее безопасность данных путем их криптографического преобразования. Электронная подпись (ЭП) - Цифровой реквизит, используемый для идентификации лица, подписавшего электронный документ. В Системе применяется технология ЭЦП на базе инфраструктуры открытых ключей (PKI). Ключ ЭП (Закрытый ключ) - Конфиденциальная последовательность символов для создания ЭП. Хранится пользователем в секрете. Ключ проверки
Оглавление

Введение

Данный регламент обязателен для изучения сотрудником, назначенным ответственным за информационную безопасность. Он регулирует порядок использования средств криптографической защиты информации (СКЗИ) и работы в защищенной телекоммуникационной системе.

Термины и определения

Защищенная система - Автоматизированная система для обмена юридически значимыми электронными документами через телекоммуникационные каналы с применением электронной подписи.

Автоматизированное рабочее место (АРМ) - Персональный компьютер, используемый для подключения и работы в Защищенной системе.

СКЗИ - Техническое средство, обеспечивающее безопасность данных путем их криптографического преобразования.

Электронная подпись (ЭП) - Цифровой реквизит, используемый для идентификации лица, подписавшего электронный документ. В Системе применяется технология ЭЦП на базе инфраструктуры открытых ключей (PKI).

Ключ ЭП (Закрытый ключ) - Конфиденциальная последовательность символов для создания ЭП. Хранится пользователем в секрете.

Ключ проверки ЭП (Открытый ключ) - Уникальная последовательность, связанная с закрытым ключом, предназначенная для подтверждения подлинности ЭП и документа. Не позволяет раскрыть закрытый ключ.

Сертификат ключа проверки ЭП - Электронный или бумажный документ, удостоверяющий принадлежность открытого ключа конкретному лицу. Выдается удостоверяющим центром (УЦ).

Удостоверяющий центр (УЦ) - Организация, уполномоченная создавать и выдавать сертификаты ключей ЭП.

Владелец сертификата - Лицо, на которое оформлен сертификат ключа проверки ЭП.

Средства ЭП - Криптографические инструменты для создания и проверки ЭП, а также генерации ключевых пар.

Сертификат соответствия - Документ, удостоверяющий, что продукция отвечает установленным стандартам и требованиям.

Подтверждение подлинности ЭП - Успешная проверка, которая устанавливает авторство подписи и отсутствие изменений в подписанном документе.

Компрометация ключа - Ситуация, при которой возникает обоснованное сомнение в сохранности ключа и безопасности информации. Признаками компрометации являются:

  • Утрата или временная пропажа носителей ключей.
  • Увольнение сотрудников, имевших доступ к ключевой информации.
  • Нарушение регламентов хранения или уничтожения ключей.
  • Подозрения на утечку или несанкционированное изменение данных.
  • Нарушение целостности пломб на хранилищах с ключевыми носителями.
  • Любые нештатные ситуации с носителями, в которых невозможно однозначно исключить вмешательство злоумышленника (включая технические сбои).

Риски применения электронной подписи

Использование ЭП сопряжено с рядом рисков, ключевые из которых:

  • Оспаривание авторства:Участник электронного взаимодействия может отрицать факт подписания документа, заявляя о подделке ЭП.
  • Отказ от содержания:Подписавшее лицо может утверждать, что документ был изменен после заверения ЭП и не соответствует исходному.
  • Под сомнением юридической силы: В суде одна из сторон может оспорить юридическую значимость электронного документа как доказательства.
  • Нарушение регламента: Если ЭП используется с отклонениями от законодательства или внутренних соглашений, правомочность документа может быть аннулирована.
  • Несанкционированный доступ: Компрометация ключа ЭП позволяет злоумышленнику создавать документы от имени владельца, влекущие юридические последствия.

Для минимизации этих рисков, помимо регламента использования ЭП, внедряется комплекс правовых и организационно-технических мер безопасности.

Основы построения системы информационной безопасности

Криптографическая подсистема функционирует в соответствии с российским законодательством в сфере ЭП, защиты информации (включая стандарты ГОСТ, указания ФСБ и ФСТЭК) и международным стандартом X.509 для инфраструктуры открытых ключей (PKI).

Принципы инфраструктуры открытых ключей:

  • Каждый пользователь обладает парой криптографических ключей: закрытым (секретным) и открытым (публичным). Преобразование из закрытого ключа в открытый возможно, а обратная операция - практически невыполнима. Пользователь хранит свой закрытый ключ в тайне, а открытый - делает доступным всем.
  • Шифрование: Отправитель кодирует сообщение открытым ключом получателя. Расшифровать его может только владелец соответствующего закрытого ключа.
  • Электронная подпись: Отправитель создает ЭП с помощью своего закрытого ключа. Любой участник может проверить ее подлинность с помощью открытого ключа отправителя, но подделать подпись без знания закрытого ключа невозможно.

Роль Удостоверяющего центра (УЦ):

УЦ выступает доверенным ядром системы, выполняя critical функции:

  • Выпуск и выдача сертификатов ключей проверки ЭП.
  • Создание ключевых пар по запросам пользователей.
  • Управление жизненным циклом сертификатов: обработка уведомлений о компрометации ключей и аннулирование сертификатов.
  • Ведение реестра выданных и аннулированных сертификатов.
  • Проверка уникальности ключей и подлинности ЭП.
  • Разрешение спорных ситуаций и подтверждение авторства документов.

Деятельность УЦ строго регламентирована, что минимизирует риски, связанные с юридической силой ЭП и соблюдением установленного порядка ее использования.

Сертификат ключа проверки ЭП, подписанный УЦ, удостоверяет принадлежность ключа конкретному лицу. Это позволяет пользователям идентифицировать друг друга, проверять авторство ЭП и целостность документов, устраняя риски оспаривания подлинности и содержания.

Техническая реализация (СКЗИ)

Для криптографических операций применяется сертифицированное СКЗИ, которое обеспечивает:

  • Конфиденциальность: Шифрование всех передаваемых в Системе документов.
  • Аутентификацию и авторство: Использование ЭП для идентификации участников и подтверждения подлинности документов.
  • Неотрекаемость: Юридическая сила документа с момента подписания; факт его существования и содержание не могут быть оспорены.
  • Целостность: ЭП фиксирует «хэш» документа; любое последующее изменение нарушает подпись и легко обнаруживается.
  • Взаимную аутентификацию: Проверка сертификатов при начале сеанса работы для исключения взаимодействия с анонимными лицами.

 Уровень защищенности Системы определяется самым уязвимым ее звеном. Поскольку на маршруте следования документов безопасность высока, критически важным становится строгое соблюдение мер защиты на рабочих местах пользователей.

В следующем разделе приведены ключевые требования и рекомендации по обеспечению безопасности на АРМ пользователя.

Компания БидЭксперт поможет сэкономить ваше время и силы. Услуга "Помощь с выпуском ЭЦП" в разделе услуги доступна на на нашем сайте!