Инструкция по безопасности на рабочем месте абонента Автоматизированное рабочее место абонента системы «Контур-Экстерн»

Автоматизированное рабочее место абонента системы «Контур-Экстерн» использует средства криптографической защиты информации (СКЗИ) для обеспечения целостности, авторства и конфиденциальности информации, передаваемой в рамках информационной системы.

• 
  Владелец сертификата ключа обязан:
  
• 
  Не использовать для электронной цифровой подписи и шифрования открытые и закрытые ключи, если ему известно, что эти ключи используются или использовались ранее;
  
• 
  Хранить в тайне закрытый ключ;
  
• 
  Немедленно требовать приостановления действия сертификата ключа при наличии оснований полагать, что тайна закрытого ключа нарушена (компрометация ключа).
  

• 
  Установка и настройка СКЗИ на Автоматизированное рабочее место (АРМ) должна выполняться в присутствии администратора. Перед установкой необходимо проверить целостность программного обеспечения СКЗИ. Запрещается устанавливать СКЗИ, целостность которого нарушена.
  
• 
  В организации должен быть определен и утвержден порядок учета, хранения и использования носителей ключевой информации с закрытыми ключами ЭЦП и шифрования, который должен полностью исключать возможность несанкционированного доступа к ним.
  
• 
  Должен быть утвержден список лиц, имеющих доступ к ключевой информации.
  
• 
  Для хранения носителей закрытых ключей ЭЦП и шифрования в помещениях должны устанавливаться надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствами с двумя экземплярами ключей (один у исполнителя, другой в службе безопасности).
  
• 
  Использовать АРМ со встроенными средствами криптографической защиты в однопользовательском режиме. В отдельных случаях, при необходимости использования АРМ несколькими лицами, эти лица должны обладать равными правами доступа к информации.
  
• 
  При загрузке операционной системы и при возвращении после временного отсутствия пользователя на рабочем месте должен запрашиваться пароль, состоящий не менее чем из 6 символов. В отдельных случаях при невозможности использования парольной защиты, допускается загрузка ОС без запроса пароля. При этом должны быть реализованы дополнительные организационно-режимные меры, исключающие несанкционированный доступ к этим АРМ.
  
• 
  Должны быть приняты меры по исключению несанкционированного доступа в помещения, в которых установлены технические средства АРМ со встроенными СКЗИ.
  
• 
  Должны быть предусмотрены меры, исключающие возможность несанкционированного изменения аппаратной части рабочей станции с установленными СКЗИ.
  
• 
  Установленное на АРМ программное обеспечение не должно содержать средств разработки и отладки приложений, а также средств, позволяющих осуществлять несанкционированный доступ к системным ресурсам.
  
• 
  Администрирование должно осуществляться доверенными лицами.
  
• 
  Средствами BIOS исключить возможность сетевой загрузки ОС рабочей станции.
  
• 
  Средствами BIOS исключать возможность работы на ПЭВМ, если во время ее начальной загрузки не проходят встроенные тесты.
  
• 
  Вхождение пользователей в режим конфигурировании BIOS штатными средствами BIOS должно осуществляться только с использованием парольной защиты при длине пароля не менее 6 символов.
  
• 
  При использовании ОС Windows 98/МЕ/NT/2000/XP все пользователи рабочей станции должны иметь право доступа ко всей конфиденциальной информации, обрабатываемой на этой станции.
  
• 
  При использовании ОС Windows NT/2000/XP принять меры, исключающие доступ пользователя к системному реестру.
  
• 
  Ограничить либо исключить использование программного продукта Sсheduler (планировщик заданий), входящего в состав ОС Windows. При использовании Sсheduler состав запускаемого программного обеспечения на АРМ согласовывается с администратором безопасности.
  
• 
  При использовании ОС Windows NT/2000/XP исключить возможность удаленного редактирования системного реестра пользователями (исключая администратора).
  
• 
  При использовании ОС Windows NT/2000/XP переименовать пользователя Administrator, отключить учетную запись для гостевого входа (Guest).
  
• 
  В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника, имевшего доступ к ключевым носителям (ЭЦП и шифрования), должна быть проведена смена ключей, к которым он имел доступ.
  

• 
  Снимать несанкционированные копии с ключевых носителей.
  
• 
  Знакомить с содержанием ключевых носителей или передавать ключевые носители лицам, к ним не допущенным.
  
• 
  Выводить секретные ключи на дисплей (монитор) ПЭВМ или принтер.
  
• 
  Устанавливать ключевой носитель в считывающее устройство (дисковод) ПЭВМ АРМ, не предусмотренных функционированием системы, а также в другие ПЭВМ.
  
• 
  Записывать на ключевой носитель постороннюю информацию.
  

В журнал кроме этого записываются факты компрометации ключевых документов, нештатные ситуации, происходящие в системе «Контур-Экстерн» и связанные с использованием СКЗИ, проведение регламентных работ, данные о полученных у администратора безопасности организации ключевых носителях, нештатных ситуациях, произошедших на АРМ, с установленным ПО СКЗИ.

• 
  дата, время;
  
• 
  запись о компрометации ключа;
  
• 
  запись об изготовлении личного ключевого носителя пользователя, идентификатор носителя;
  
• 
  запись об изготовлении копий личного ключевого носителя пользователя, идентификатор носителя;
  
• 
  запись об изготовлении резервного ключевого носителя пользователя, идентификатор носителя
  
• 
  запись о получении сертификата открытого ключа ЭЦП, полный номер ключевого носителя, соответствующий сертификату;
  
• 
  записи, отражающие выдачу на руки пользователям (ответственным исполнителям) и сдачу ими на хранение личных ключевых носителей, включая резервные ключевые носители;
  
• 
  события, происходившие на АРМ пользователя с установленным ПО СКЗИ, с указанием причин и предпринятых действий.