АО «НПО РусБИТех» → АРМ АБИ

На чтение 18 мин. Опубликовано
Содержание
  1. Основные понятия
  2. Риски использования электронной подписи
  3. Общие принципы организации информационной безопасности в Системе
  4. 2 Размещение технических средств АРМ с установленным СКЗИ
  5. 5 Установка и настройка СКЗИ
  6. 9 Учет и контроль
  7. Какие требования к рабочему месту для работы с электронной подписью?
  8. Оформление результатов.
  9. Сертификация рабочих мест

Основные понятия

Система − автоматизированная информационная система передачи и приема информации в электронном виде по телекоммуникационным каналам связи в виде юридически значимых электронных документов с использованием средств электронной подписи.Автоматизированное рабочее место (АРМ) – ПЭВМ, с помощью которой пользователь осуществляет подключение для работы в Системе.

Cредство криптографической защиты информации (СКЗИ) − средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.

Электронная подпись (ЭП) − информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Ключ ЭП – уникальная последовательность символов, предназначенная для создания электронной подписи. Ключ ЭП хранится пользователем системы в тайне. В инфраструктуре открытых ключей соответствует закрытому ключу ЭЦП.

Ключ проверки ЭП – уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи. Ключ проверки ЭП известен всем пользователям системы и позволяет определить автора подписи и достоверность электронного документа, но не позволяет вычислить ключ электронной подписи.

Сертификат ключа проверки ЭП – электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Удостоверяющий центр – юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные законодательством.

Владелец сертификата ключа проверки ЭП – лицо, которому в установленном порядке выдан сертификат ключа проверки электронной подписи.Средства ЭП − шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.

Сертификат соответствия − документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям.

Подтверждение подлинности электронной подписи в электронном документе − положительный результат проверки соответствующим средством ЭП принадлежности электронной подписи в электронном документе владельцу сертификата ключа проверки подписи и отсутствия искажений в подписанном данной электронной подписью электронном документе.

Компрометация ключа − утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. К событиям, связанным с компрометацией ключей, относятся, включая, но не ограничиваясь, следующие:

  • Потеря ключевых носителей.
  • Потеря ключевых носителей с их последующим обнаружением.
  • Увольнение сотрудников, имевших доступ к ключевой информации.
  • Нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа.
  • Возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи.
  • Нарушение печати на сейфе с ключевыми носителями.
  • Случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что, данный факт произошел в результате несанкционированных действий злоумышленника).

Риски использования электронной подписи

При использовании электронной подписи существуют определенные риски, основными из которых являются следующие:

  1. Риски, связанные с аутентификацией (подтверждением подлинности) пользователя. Лицо, на которого указывает подпись под документом, может заявить о том, что подпись сфальсифицирована и не принадлежит данному лицу.
  2. Риски, связанные с отрекаемостью (отказом от содержимого документа). Лицо, на которое указывает подпись под документом, может заявить о том, что документ был изменен и не соответствует документу, подписанному данным лицом.
  3. Риски, связанные с юридической значимостью электронной подписи. В случае судебного разбирательства одна из сторон может заявить о том, что документ с электронной подписью не может порождать юридически значимых последствий или считаться достаточным доказательством в суде.
  4. Риски, связанные с несоответствием условий использования электронной подписи установленному порядку. В случае использования электронной подписи в порядке, не соответствующем требованиям законодательства или соглашений между участниками электронного взаимодействия, юридическая сила подписанных в данном случае документов может быть поставлена под сомнение.
  5. Риски, связанные с несанкционированным доступом (использованием электронной подписи без ведома владельца). В случае компрометации ключа ЭП или несанкционированного доступа к средствам ЭП может быть получен документ, порождающий юридически значимые последствия и исходящий от имени пользователя, ключ которого был скомпрометирован.

Для снижения данных рисков или их избежания помимо определения порядка использования электронной подписи при электронном взаимодействии предусмотрен комплекс правовых и организационно-технических мер обеспечения информационной безопасности.

Общие принципы организации информационной безопасности в Системе

Криптографическая подсистема Системы опирается на отечественное законодательство в области электронной подписи, инфраструктуры открытых ключей и защиты информации, в том числе, на действующие ГОСТ и руководящие документы ФСБ и ФСТЭК, а также на международный стандарт X.509, определяющий принципы и протоколы, используемые при построении систем с открытыми ключами.

Инфраструктура открытых ключей − это система, в которой каждый пользователь имеет пару ключей − закрытый (секретный) и открытый. При этом по закрытому ключу можно построить соответствующий ему открытый ключ, а обратное преобразование неосуществимо или требует огромных временных затрат.

Каждый пользователь Системы генерирует себе ключевую пару, и, сохраняя свой закрытый ключ в строгой тайне, делает открытый ключ общедоступным. С точки зрения инфраструктуры открытых ключей, шифрование представляет собой преобразование сообщения, осуществляемое с помощью открытого ключа получателя информации.

Только получатель, зная свой собственный закрытый ключ, сможет провести обратное преобразование и прочитать сообщения, а больше никто сделать этого не сможет, в том числе − и сам отправитель шифрограммы. Электронная подпись в инфраструктуре открытых ключей − это преобразование сообщения с помощью закрытого ключа отправителя.

Про сертификаты:  Стоимость оформления сертификата соответствия ГОСТ Р

Обязательным участником любой инфраструктуры открытых ключей является Удостоверяющий центр, выполняющий функции центра доверия всей системы документооборота. При этом Удостоверяющий центр обеспечивает выполнение следующих основных функций:

  • выпускает сертификаты ключей проверки электронных подписей и выдает их пользователям;
  • выдает пользователям средства электронной подписи;
  • создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;
  • получает и обрабатывает сообщения о компрометации ключей; аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки электронных подписей, доверие к которым утрачено;
  • ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей (далее — реестр сертификатов), в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращения или аннулирования и обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов;
  • проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;
  • осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;
  • определяет порядок разбора конфликтных ситуаций и доказательства авторства электронного документа.

Свою деятельность Удостоверяющий центр осуществляет в строгом соответствии с законодательством, собственным регламентом и соглашениями между участниками электронного взаимодействия. Благодаря соблюдению необходимых требований исключаются риски, связанные с юридической значимостью документов, подписанных электронной подписью, и снижаются риски несоответствия условий использования электронной подписи установленному порядку.

Сертификат ключа проверки ЭП заверяется электронной подписью Удостоверяющего центра и подтверждает факт владения того или иного участника документооборота тем или иным ключом проверки ЭП и соответствующим ему ключом ЭП. Благодаря сертификатам, пользователи Системы могут опознавать друг друга, а, кроме того, проверять принадлежность электронной подписи конкретному пользователю и целостность (неизменность) содержания подписанного электронного документа. Таким образом исключаются риски, связанные с подтверждением подлинности пользователя и отказом от содержимого документа.

Преобразования сообщений с использованием ключей достаточно сложны и производятся с помощью специальных средств электронной подписи. В Системе для этих целей используется СКЗИ, имеющее сертификат соответствия установленным требованиям как средство электронной подписи. Данное СКЗИ − это программное обеспечение, которое решает основные задачи защиты информации, а именно:

  • обеспечение конфиденциальности информации − шифрование для защиты от несанкционированного доступа всех электронных документов, которые обращаются в Системе;
  • подтверждение авторства документа — применение ЭП, которая ставится на все возникающие в Системе электронные документы; впоследствии она позволяет решать на законодательно закрепленной основе любые споры в отношении авторства документа;
  • обеспечение неотрекаемости − применение ЭП и обязательное сохранение передаваемых документов на сервере Системы у отправителя и получателя; подписанный документ обладает юридической силой с момента подписания: ни его содержание, ни сам факт существования документа не могут быть оспорены никем, включая автора документа;
  • обеспечение целостности документа − применение ЭП, которая содержит в себе хэш-значение (усложненный аналог контрольной суммы) подписываемого документа; при попытке изменить хотя бы один символ в документе или в его подписи после того, как документ был подписан, будет нарушена ЭП, что будет немедленно диагностировано;
  • аутентификация участников взаимодействия в Системе − каждый раз при начале сеанса работы сервер Системы и пользователь предъявляют друг другу свои сертификаты и, таким образом, избегают опасности вступить в информационный обмен с анонимным лицом или с лицом, выдающим себя за другого.

Уровень защищенности Системы в целом равняется уровню защищенности в ее самом слабом месте. Поэтому, учитывая то, что система обеспечивает высокий уровень информационной безопасности на пути следования электронных документов между участниками документооборота, для снижения или избежания рисков необходимо так же тщательно соблюдать меры безопасности непосредственно на рабочих местах пользователей.

В следующем разделе содержатся требования и рекомендации по основным мерам информационной безопасности на рабочем месте пользователя.

2 Размещение технических средств АРМ с установленным СКЗИ

Должно быть исключено бесконтрольное проникновение и пребывание в помещениях, в которых размещаются технические средства АРМ, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в указанных помещениях. В случае необходимости присутствия таких лиц в указанных помещениях должен быть обеспечен контроль за их действиями.

Рекомендуется использовать АРМ с СКЗИ в однопользовательском режиме. В отдельных случаях, при необходимости использования АРМ несколькими лицами, эти лица должны обладать равными правами доступа к информации.

Не допускается оставлять без контроля АРМ при включенном питании и загруженном программном обеспечении СКЗИ после ввода ключевой информации. При уходе пользователя с рабочего места должно использоваться автоматическое включение экранной заставки, защищенной паролем.

Рекомендуется предусмотреть меры, исключающие возможность несанкционированного изменения аппаратной части АРМ, например, опечатывание системного блока АРМ администратором. Также возможно в этих целях применение специальных средств защиты информации — аппаратных модулей доверенной загрузки.

Рекомендуется принять меры по исключению вхождения лиц, не ответственных за администрирование АРМ, в режим конфигурирования BIOS (например, с использованием парольной защиты).

Рекомендуется определить в BIOS установки, исключающие возможность загрузки операционной системы, отличной от установленной на жестком диске: отключается возможность загрузки с гибкого диска, привода CD-ROM, исключаются прочие нестандартные виды загрузки ОС, включая сетевую загрузку.

Средствами BIOS должна быть исключена возможность работы на ПЭВМ, если во время его начальной загрузки не проходят встроенные тесты.

5 Установка и настройка СКЗИ

Установка и настройка СКЗИ на АРМ должна выполняться в присутствии администратора, ответственного за работоспособность АРМ.

Про сертификаты:  добровольный сертификат гост р | добровольный сертификат соответствия гост р | сертификат добровольной сертификации гост р | образец добровольного сертификата гост р | оформить добровольный сертификат гост р | срок действия добровольного сертификата гост р | добровольная сертификация | добровольная сертификация продукции | знак добровольной сертификации | добровольная сертификация гост р | объекты добровольной сертификации | цель добровольной сертификации | проведение добровольной сертификации | формы добровольной сертификации | знак рст

Установка СКЗИ на АРМ должна производиться только с дистрибутива, полученного по доверенному каналу.

Установка СКЗИ и первичная инициализация ключевой информации осуществляется в соответствии с эксплуатационной документацией на СКЗИ.

При установке ПО СКЗИ на АРМ должен быть обеспечен контроль целостности и достоверность дистрибутива СКЗИ.

Рекомендуется перед установкой произвести проверку ОС на отсутствие вредоносных программ с помощью антивирусных средств.

По завершении инициализации осуществляются настройка и контроль работоспособности ПО.

Запрещается вносить какие-либо изменения, не предусмотренные эксплуатационной документацией, в программное обеспечение СКЗИ.

5.6 Подключение АРМ к сетям общего пользования

При использовании СКЗИ на АРМ, подключенных к сетям общего пользования, должны быть предприняты дополнительные меры, исключающие возможность несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей.

В случае подключения АРМ с установленным СКЗИ к общедоступным сетям передачи данных необходимо ограничить возможность открытия и исполнения файлов и скриптовых объектов (JavaScript, VBScript, ActiveX и т д.), полученных из сетей общего пользования, без проведения соответствующих проверок на предмет содержания в них программных закладок и вредоносных программ.

9 Учет и контроль

Действия, связанные с эксплуатацией СКЗИ, должны фиксироваться в «Журнале пользователя сети», который ведет лицо, ответственное за обеспечение информационной безопасности на АРМ. В журнал кроме этого записываются факты компрометации ключевых документов, нештатные ситуации, происходящие в системе и связанные с использованием СКЗИ, проведение регламентных работ, данные о полученных у администратора безопасности организации ключевых носителях, нештатных ситуациях, произошедших на АРМ, с установленным ПО СКЗИ.

В журнале может отражаться следующая информация:

  • дата, время;
  • запись о компрометации ключа;
  • запись об изготовлении личного ключевого носителя пользователя, идентификатор носителя;
  • запись об изготовлении копий личного ключевого носителя пользователя, идентификатор носителя;
  • запись об изготовлении резервного ключевого носителя пользователя, идентификатор носителя;
  • запись о получении сертификата ключа проверки ЭП, полный номер ключевого носителя, соответствующий сертификату;
  • записи, отражающие выдачу на руки пользователям (ответственным исполнителям) и сдачу ими на хранение личных ключевых носителей, включая резервные ключевые носители;
  • события, происходившие на АРМ пользователя с установленным ПО СКЗИ, с указанием причин и предпринятых действий.

Пользователь (либо администратор безопасности) должен периодически (не реже одного раза в два месяца) проводить контроль целостности и легальности установленных копий ПО на всех АРМ со встроенной СКЗИ с помощью программ контроля целостности, просматривать сообщения о событиях в журнале EventViewer операционной системы, а также проводить периодическое тестирование технических и программных средств защиты.

В случае обнаружения «посторонних» (не зарегистрированных) программ, нарушения целостности программного обеспечения либо выявления факта повреждения печатей на системных блоках работа на АРМ должна быть прекращена. По данному факту должно быть проведено служебное расследование комиссией, назначенной руководителем организации, где произошло нарушение, и организованы работы по анализу и ликвидации негативных последствий данного нарушения.

Рекомендуется организовать на АРМ систему аудита в соответствии с политикой безопасности, принятой в организации, с регулярным анализом результатов аудита.

Какие требования к рабочему месту для работы с электронной подписью?

В большинстве случаев это будет тот же браузер, что и для выпуска сертификата. Но некоторые сайты информационных систем и торговых  площадок устанавливают свои ограничения по используемому для работы браузеру (к примеру, сервисы ФНС на nalog.ru работают только с браузерами, поддерживающими ГОСТ-соединение: Internet Explorer, CryptoFox или Chromium GOST). Точную информацию о поддержке браузера конкретным сайтом уточняйте в техподдержке информационной системы или торговой площадки, на которой планируете работать с КЭП

Точную информацию об условиях настройки уточняйте в техподдержке информационной системы, программы и/или торговой площадки, где планируется использование сертификата КЭП

Также, в зависимости от типа носителя для хранения закрытых ключей сертификата КЭП, потребуются:

  • Наличие USB-порта (при использовании в качестве носителя токена или флеш-карты)
  • Наличие дисковода 3,5” (в случае использования в качестве носителя дискеты)

Если на одном компьютере планируется использовать сертификат КЭП на носителе и программы, которые используют средства криптографической защиты информации (например, Клиент-Банк, Интернет-Банк), убедитесь, что они используют одну и ту же версию КриптоПро CSP. Использование  разных криптографических средств на одном компьютере может привести к неработоспособности программ и системы.

* также возможна настройка СКЗИ и работы электронной подписи на MacOS и Linux, подробности можно уточнить в нашей техподдержке.
** для Windows XP и Vista отсутствует сертифицированная версия КриптоПро CSP.

Оформление результатов.

Завершение инструментальных замеров свидетельствует о начале заключительного этапа проведения работ по аттестации, во время которого подводится итог работы, определяются результаты проведения АРМ на предприятии. На этом этапе составляется план мероприятий, который направлен на рациональное изменение ситуации на рабочих местах с целью улучшения условий и ведется сбор необходимых документов и протоколов, касающихся итоговой части АРМ.

Пакет передается для ознакомления работодателю, который в течение 10 дней после принятия положительного решения, издает приказ о завершении АРМ на предприятии и утверждает отчет об аттестации. Сводная ведомость результатов АРМ и сведения об аттестующей организации направляются в уполномоченный орган – государственную инспекцию труда в субъекте РФ.

Условно выделенный четвертый этап, реализация плана мероприятий, которые разрабатываются аттестационной комиссией, в должном порядке обязаны быть внедрены в производственный процесс. Иными словами эти меры называют рационализацией. Что включает в себя данный процесс, Вы можете узнать в материале: «Аттестация и рационализация».

Диалог между работодателем и работником может достигаться только с помощью установленных правил, за счет урегулированного законодательства. Порядок, который рассматривает работника и труд, как центральную фигуру в системе охраны труда, направлен на защиту интересов, на защиту его безопасности. Ведь каждый из нас имеет право на работу в безопасных условиях труда.

Про сертификаты:  PRINCE2 Foundation (онлайн-курс и экзамен)

Сертификация рабочих мест

С 1 января 2021 года аттестация рабочих мест заменена на новую процедуру – специальную оценку условий труда в связи с принятием Федерального закона «О специальной оценке условий труда» № 426-ФЗ от 28.12.2021 года. При этом сертификация организации работ по охране труда была отменена. Взамен было введено декларирование соответствия условий труда государственным нормативам в области охраны труда. Декларированию подлежит рабочее место, которому присвоен оптимальный или допустимый класс условий труда. Подробнее о новой процедуре здесь.

Сертификат рабочего места – это документ, подтверждающий соответствие рабочего места требованиям охраны труда. Он выдается специализированными организациями. Удовлетворение рабочих мест этим требованиям позволяет обеспечить оптимальные и допустимые условия труда, являющиеся залогом здоровья и безопасности работников организаций. Сертификация рабочих мест, а точнее сертификация работ по охране труда в организациях, осуществляется исходя из результатов аттестации рабочих мест по условиям труда (АРМ, – ред.).

В 212 статье Трудового кодекса РФ говорится об обязанностях работодателя. Проведение АРМ с последующей сертификацией организации работ по охране труда – одна из них. Аттестация позволяет выделить наиболее опасные и вредные очаги влияния производственных факторов, недостатки организации охраны труда на предприятиях с последующим проведением рациональных предложений по усовершенствованию условий труда на рабочих местах.

В России существует более 100 систем сертификации. Условно их можно разделить на три вида:

Система сертификации работ по охране труда (ССОТ, – ред.) была введена в России в 2002 году с выходом Постановления Минтруда России № 28 «О создании сертификации работ по охране труда в организациях». Сертификацию выполнял уполномоченный Минтрудом России Орган по сертификации. Процедура представляла собой анализ материалов аттестации, при положительном результате которого организации выдавали сертификат установленного образца. Согласно Приказу Минздравсоцразвития РФ от 1 сентября 2021 г. № 779н Постановление Минтруда № 28 признано утратившим силу. Но сертификация в России по-прежнему существует. Сегодня она представлена в качестве добровольной сертификации (СДСОТ, – ред.), когда у работодателя появилась возможность самостоятельного выбора органа по сертификации.

Основной целью системы является подтверждение соответствия работ по охране труда согласно действующим государственным нормативным требованиям. С помощью содействия средствами сертификации независимая экспертиза позволяет решить проблемы создания безопасных условий труда на основе достоверной оценки. Помимо проверок и оценок добровольная сертификация подразумевает проведение рациональных предложений для улучшения существующих условий, устранение нарушений. Сертификацию проводят органы по сертификации, экспертные центры, испытательные лаборатории, аккредитованные в установленном порядке на право проведения указанных работ. Они также, в свою очередь, получают аттестат аккредитации в СДСОТ организаций. Перечень этих зарегистрированных организаций, которые могут оказывать данные услуги, содержится в едином реестре зарегистрированных систем добровольной сертификации.

В сертификации преимущественно заинтересованы работодатели, которым важно иметь подтверждение своих достижений, своего существующего положения дел в области охраны труда или же по предписанию в результате проверки органов государственной инспекции по труду РФ (ГИТ, – ред.). Наличие сертификата является конкурентным преимуществом при участии в различных тендерах, торгах, при осуществлении торговых операций с зарубежными партнерами.

Сертификация работ по охране труда невозможна без проведения АРМ на всех рабочих местах организации. Потому как сведения о результатах аттестации являются документарным подтверждением условий труда. Напомним, АРМ проводится согласно Приказу Минздравсоцразвития РФ от 26 апреля 2021 года № 342н.

Сертификация проводится в зависимости от объема работ, от потребностей заказчика, от установленных рамок самого органа по сертификации. В ходе оценок могут выявляться различные несоответствия (не проводятся медицинские осмотры, недостаточное обеспечение СИЗ и т.д.), которые специализированные органы исправляют совместными усилиями с работодателями. Работодателю необходимо будет исправить недостатки для того, чтобы сертификат соответствия был выдан. Документ выдается сроком на три года. Но после его получения необходимо проходить ежегодный инспекционный контроль для подтверждения соответствия условий труда. В противном случае – действие сертификата приостанавливается. При отсутствии действий со стороны работодателя документ аннулируется.

Если сертификация проводится по предписанию ГИТ, работодатель должен поставить их в известность о результатах сертификации. В остальных случаях о проведении сертификации контрольно-надзорные органы уведомлять не стоит, так как орган по сертификации регистрирует сертификат в реестре системы сертификации.

Работодатели, которые игнорируют проведение данной процедуры, привлекаются к административной ответственности по ст. 5.27 КоАП РФ. Размер штрафных санкций устанавливается в зависимости от правомочности организации.

Получая сертификат соответствия, каждая организация свидетельствует о создании безопасных условий труда на рабочих местах. Кроме того, наличие сертификата указывает на выполнение работодателем трудового законодательства в области охраны труда.

Добровольная сертификация обязательная сертификация в РФ сертификат рабочего места сертификация рабочих мест экспертные центры
Оцените статью
Мой сертификат
Добавить комментарий

© 2024 Мой сертификат