https://pastein.ru/t/TRy
Загрузка данных
На основе проведенного анализа разработаны практические рекомендации по внедрению и эксплуатации ЭЦП на предприятии. Рекомендации разделены на организационные, технические и эксплуатационные.
**Организационные рекомендации.
*1. Назначение ответственных лиц.*
- Назначить лицо, ответственное за организацию электронного документооборота и использование ЭЦП.
- Назначить администратора СЭД, ответственного за техническое обслуживание.
- Утвердить список сотрудников, имеющих право на получение сертификатов ЭП.
*2. Разработка нормативной документации.*
Разработать и утвердить следующие документы:
- «Политика использования электронной подписи» – определяет общие принципы, виды используемых ЭП, порядок получения и аннулирования сертификатов.
- «Регламент электронного документооборота» – описывает процессы создания, подписания, передачи и хранения электронных документов.
- «Инструкция по работе с ЭЦП для пользователей» – содержит практические указания по использованию ЭЦП.
- «Регламент действий при компрометации ключа ЭЦП» – описывает порядок действий при утере или подозрении на компрометацию ключа.
*3. Обучение персонала.*
- Провести обучение всех пользователей ЭЦП правилам работы с ключами и СЭД.
- Провести инструктаж о запрете передачи ключевых носителей третьим лицам и разглашения PIN-кодов.
- Ознакомить персонал с ответственностью за нарушение правил использования ЭЦП.
**Технические рекомендации.**
*1. Обеспечение безопасного хранения ключей.*
- Все закрытые ключи ЭЦП должны храниться исключительно на аппаратных токенах, а не на жестких дисках.
- Установить сложные PIN-коды для доступа к токенам (не менее 8 символов, не использовать простые комбинации).
- Обеспечить физическую сохранность токенов (хранение в сейфах в нерабочее время) .
- Исключить возможность копирования ключевой информации с токенов.
*2. Защита рабочих станций.*
- На всех рабочих станциях, с которых осуществляется подписание документов, установить антивирусное ПО с регулярным обновлением баз.
- Ограничить права пользователей на рабочих станциях (отсутствие прав локального администратора) .
- Запретить установку нелицензионного и неутвержденного ПО.
- Ограничить доступ к сети Интернет с рабочих станций подписания (разрешить только доверенные ресурсы) .
- Использовать средства защиты от несанкционированного доступа для ограничения доступа к ПК .
*3. Обеспечение безопасной передачи документов.*
- Все каналы передачи электронных документов должны быть защищены с использованием шифрования (TLS/SSL).
- При обмене документами с внешними контрагентами использовать услуги оператора ЭДО.
- Внедрить системы обнаружения вторжений для контроля сетевого трафика.
*4. Резервное копирование.*
- Регулярно создавать резервные копии базы данных СЭД и архивов документов.
- Хранить резервные копии на изолированных носителях (не подключенных постоянно к сети).
- Периодически проверять возможность восстановления из резервных копий.
**Эксплуатационные рекомендации.**
*1. Регулярная смена ключей.*
- Устанавливать срок действия сертификатов ключей подписи не более 1 года (рекомендуется).
- Заменять ключи ЭЦП при смене должности или увольнении сотрудника.
*2. Мониторинг и аудит.*
- Вести журнал регистрации всех действий с ЭЦП (подписание, проверка, аннулирование).
- Регулярно анализировать журналы событий СЭД для выявления подозрительной активности.
- Контролировать корректность использования ЭЦП (подписание только уполномоченными лицами).
*3. План реагирования на инциденты.*
- Разработать и утвердить порядок действий при выявлении признаков компрометации ключей.
- Назначить ответственных за экстренную блокировку скомпрометированных сертификатов.
- Проводить расследование всех инцидентов, связанных с ЭЦП.
Рекомендации по интеграции с СЭД при внедрении ЭЦП необходимо обеспечить:
1. Поддержку форматов подписи, совместимых с используемым СКЗИ.
2. Возможность проверки ЭЦП в автоматическом режиме при открытии документа.
3. Визуальную индикацию статуса подписи (действительна/недействительна).
4. Интеграцию с реестрами отозванных сертификатов удостоверяющих центров.
5. Возможность одновременного подписания документа несколькими лицами (согласование).
