Рабочее место (АРМ) использует СКЗИ для гарантии конфиденциальности, целостности и аутентификации данных в Системе. Политика безопасности формируется руководством организации на основе данных рекомендаций, законодательства РФ и документации на СКЗИ.
Работа с персоналом
Должен быть утвержден перечень сотрудников, имеющих доступ к ключевой информации.
К работе на АРМ с СКЗИ допускаются только прошедшие инструктаж и ознакомленные с нормативной документацией сотрудники.
Установку ПО и СКЗИ проводят специально обученные доверенные лица.
Рекомендуется назначить администратора безопасности, ответственного за организацию работ с СКЗИ, инструктаж и контроль.
При увольнении или изменении обязанностей сотрудника, имевшего доступ к ключам, необходима смена этих ключей.
Физическая защита и настройка АРМ
Исключен несанкционированный доступ в помещения с АРМ.
Предпочтительна работа в однопользовательском режиме. При коллективном использовании все пользователи должны иметь равные права.
Запрещено оставлять АРМ без присмотра с активным СКЗИ. Обязательно использование блокировки экрана с паролем.
Рекомендуется опечатывание системных блоков и использование модулей доверенной загрузки.
В BIOS необходимо:
Установить пароль.
Отключить загрузку с внешних носителей (CD/DVD, USB) и из сети.
Запретить работу ПК при сбое встроенных тестов.
Программное обеспечение
Используется только лицензионное ПО из доверенных источников.
Запрещены нестандартные, измененные или отладочные версии ОС.
Не допускается установка средств разработки и отладки, кроме санкционированных администратором безопасности случаев.
Рекомендуется:
Ограничить запуск приложений разрешенным списком.
Установить и регулярно обновлять антивирусное ПО.
Своевременно применять обновления безопасности для ОС и приложений.
Настройка операционной системы
Администратор безопасности выполняет настройку ОС, руководствуясь следующими принципами:
Минимальные привилегии для всех учетных записей.
Обязательная аутентификация при входе; учетные записи `Guest` отключены, `Administrator` - переименована.
Запрет удаленного администрирования и отключение неиспользуемых сетевых служб.
Очистка временных файлов и файлов подкачки.
Запрет на создание аварийного дампа памяти.
Ведутся журналы аудита с настройкой на завершение работы при их переполнении.
Политика паролей:
Длина - от 8 символов.
Обязательное использование букв в разных регистрах, цифр и специальных символов.
Запрет на простые и личные комбинации.
Смена не реже чем раз в 6 месяцев.
Запрет на разглашение и хранение паролей в открытом виде.
Установка и настройка СКЗИ
Проводится уполномоченным администратором с проверенного дистрибутива.
Перед установкой выполняется проверка на вредоносные программы.
Запрещено вносить в ПО СКЗИ изменения, не предусмотренные документацией.
Работа в сетях общего пользования
Обязательно использование межсетевого экрана с закрытием неиспользуемых портов.
Ограничен запуск файлов и скриптов (JavaScript, ActiveX и т.д.), полученных извне, без предварительной проверки.
Обращение с ключевыми носителями
Установлен строгий порядок учета, хранения и использования.
Носители хранятся в сейфах.
Запрещено:
Создавать несанкционированные копии.
Передавать носители неуполномоченным лицам или выводить ключевую информацию на печать/экран.
Использовать носители на других ПК или в нештатных режимах.
Перезаписывать носители без криптографического уничтожения старой информации.
Обращение с ключевой информацией
Владелец сертификата обязан:
Хранить в тайне закрытый ключ.
Не использовать скомпрометированные ключи.
Немедленно требовать приостановки действия сертификата при подозрении на компрометацию.
Своевременно обновлять сертификат.
Учет и контроль
Все действия с СКЗИ, инциденты и выдача носителей фиксируются в «Журнале пользователя»
Не реже раза в 2 месяца проводится:
Контроль целостности ПО.
Анализ журналов ОС (Event Viewer).
Тестирование средств защиты.
При обнаружении неавторизованного ПО, нарушения целостности или вскрытия пломб работа на АРме немедленно прекращается для проведения служебного расследования.
Компания БидЭксперт поможет сэкономить ваше время и силы. Услуга "Помощь с выпуском ЭЦП" в разделе услуги доступна на на нашем сайте!
