123610, г. Москва, ЦМТ-2, Краснопресненская наб., д.12, подъезд № 7 Телефон: (495) 967-02-20 Факс: (495) 967-02-08 123610, Moscow, WTC-2, Krasnopresnenskaya nab., 12, entrance # 7 Phone: (495) 967-02-20 Fax: (495) 967-02-08 РУКОВОДСТВО ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПРИ НАСТРОЙКЕ И ИСПОЛЬЗОВАНИИ ТЕРМИНАЛА СИСТЕМЫ CYBERFT На 10 листах Москва 2015 г Терминал системы CyberFT. Руководство по безопасности 1. Введение В настоящем типовом руководстве приведены базовые меры по обеспечению безопасности при настройке и использовании Терминала системы CyberFT (далее – Терминал). Введем ряд определений, которые далее будем использовать в настоящем руководстве: ключ электронной подписи (ЭП) / закрытый ключ — уникальная последовательность символов, предназначенная для создания электронной подписи. Ключ ЭП является закрытым (секретным) параметром, конфиденциальность которого необходимо обеспечивать всем участниками информационного взаимодействия. ключ проверки электронной подписи / открытый ключ — уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи. Ключ проверки ЭП является открытым (несекретным) параметром, но для обеспечения его корректного использования удостоверяющий центр должен выпустить сертификат ключа проверки ЭП. При использовании Терминала необходимо учитывать угрозы, источником которых являются следующие лица: злоумышленники, которые могут выполнить преднамеренное заражение компьютера, на котором установлен Терминал, через уязвимости системного и прикладного ПО (операционной системы, Web-браузера, почтового клиента и пр.) с последующим дистанционным похищением ключей ЭП и 2 Терминал системы CyberFT. Руководство по безопасности паролей, либо непосредственно получить удаленный доступ к системе штатными средствами путем подбора/кражи пароля и т.п.; лица, случайно или целенаправленно получившие доступ к ключам ЭП, в том числе сотрудники организации и ИТ-сотрудники, имеющие либо имевшие доступ к носителям с ключами ЭП (дискетам, флэш-картам, жестким дискам и пр.), а также доступ к компьютерам, на которых использовались средства ЭП; нештатные (приходящие по вызову) ИТ-специалисты, выполняющие профилактику и подключение компьютеров к Интернет, установку и обновление бухгалтерских и справочных программ, установку и настройку другого программного обеспечения на компьютеры, где использовались средства ЭП. Основные последствия реализации таких угроз состоят в: возможности подписать любой документ от имени владельца ЭП — организации; возможности подменить любой документ владельца ЭП. 3 Терминал системы CyberFT. Руководство по безопасности 2. Общие рекомендации по обеспечению безопасности Система процессинга CyberFT (далее – Система) ЗАО «КИБЕРПЛАТ» не осуществляет хранение ключей электронных подписей пользователей Системы и не может от имени ее пользователей сформировать корректную ЭП под какимлибо документом. Вся ответственность за конфиденциальность ключей ЭП полностью лежит на пользователе Системы, как единственном владельце ключей ЭП. ЗАО «КИБЕРПЛАТ» не осуществляет рассылку электронных писем с просьбой прислать секретный ключ ЭП, пароли, а также прочую конфиденциальную информацию. Также не рассылаются по электронной почте какие-либо программы для установки на компьютеры пользователей Системы. Все программы должны быть скачаны с официального сайта Системы http://cyberft.ru/. Необходимо строгого соблюдать правила информационной безопасности, правила хранения и использования ключей ЭП. Необходимо строго ограничить доступ к персональным компьютерам или серверам, на которых установлено ПО Терминала, и с которых осуществляется работа со средствами ЭП. Чтобы воспрепятствовать хищению и использованию ключа ЭП злоумышленниками, требуется придерживаться приведенных ниже базовых правил и рекомендаций: выделить для установки Терминала и работы с ключевыми носителями отдельный компьютер (физический или виртуальный), ограничив на нем набор используемых программ минимально необходимым количеством и исключив с него с помощью межсетевого экрана доступ к ресурсам сети Интернет, за исключением следующих: 4 Терминал системы CyberFT. Руководство по безопасности ru-demo.cyberplat.com (62.231.13.170, TCP/443); используемые репозитарии ОС Debian; при использовании антивируса – сервера обновления вирусных баз и ПО. расположить компьютер с Терминалом в отдельном внутреннем сегменте сети (VLAN), ограничив к нему доступ на используемом сетевом оборудовании или межсетевом экране минимально необходимым перечнем взаимодействующих с ним внутренних серверов, в том числе, запретив к нему удаленный доступ со стороны администраторов; по возможности, отказаться от использования на Терминале электронной почты, а в случае невозможности такого отказа, ограничить возможность получения электронной почты только с определенного списка внутренних адресов; своевременно обновлять операционную систему, проводить установку патчей, критичных обновлений; не использовать права администратора при отсутствии необходимости; в повседневной практике входить в систему как пользователь, не имеющий прав администратора; включить системный аудит событий, регистрирующий возникающие ошибки, вход пользователей и запуск программ. Периодически, как минимум раз в неделю, просматривать журнал аудита и должным образом реагировать на обнаруженные сообщения об ошибках; целесообразно установить и своевременно обновлять антивирусное программное обеспечение; 5 Терминал системы CyberFT. Руководство по безопасности антивирусное ПО должно быть запущено постоянно с момента загрузки компьютера. Должно быть настроено автоматическое сканирование на вирусы подключаемых отчуждаемых носителей. Также настоятельно рекомендуется проводить полную еженедельную проверку компьютера на наличие вирусов, незамедлительно удалять обнаруженное вредоносное ПО; не использовать программы онлайнового общения (таких, как ICQ, Skype) на Терминале, а также ПО удаленного доступа; не передавать ключевой носитель третьим лицам, не оставлять его без присмотра, не хранить его в доступном месте, не оставлять его дольше необходимого времени подключенным к компьютеру; использовать для хранения ключевого носителя сейф или иное хранилище, обеспечивающее его надлежащую сохранность; хранение ключа ЭП допускается только на съемном носителе (токене, дискете, флэш-карте и т.д.). Рекомендуется использовать для хранения ключа ЭП именно токены, так как доступ к ключу ЭП будет предоставляться только после ввода пользователем PIN-кода; не выписывать пароли, PIN-коды и прочие данные, используемые для аутентификации в операционной системе, токенах или компонентах системы электронного документооборота, на бумагу или в файлы; отключить на компьютере автоматический запуск программ с отчуждаемых носителей при их подключении, не подключать к компьютеру посторонних отчуждаемых носителей, в т.ч. личных; следить за тем, чтобы на электронном носителе (дискете, флэш-карте) ключей ЭП не находилась любая иная информация; 6 Терминал системы CyberFT. Руководство по безопасности никогда не совмещать подключение ключевого носителя и работу с любыми ресурсами в сети Интернет, а также программами ICQ, Skype и т.п. Если возникают сомнения в конфиденциальности используемых ключей ЭП, или возникло подозрение на их компрометацию (незаконное копирование), необходимо незамедлительно заявить в ЗАО «КИБЕРПАЛТ» о необходимости аннулировать сертификат проверки ЭП (подробнее – в п. 4). 7 Терминал системы CyberFT. Руководство по безопасности 3. Общие требования к персональному используемому для работы со средствами ЭП компьютеру, Персональный компьютер, используемый для работы со средствами ЭП, должен удовлетворять следующим требованиям: должно быть установлено только лицензионное программное обеспечение (операционная система, служебные и прикладные пакеты и т.д.); должен быть установлен и обновлен антивирус; должен быть настроен межсетевой экран; пароли учетных записей, обладающих правами администратора, должны быть сложными (не менее 8 символов, включая буквы, цифры и спецсимовлы); не должно быть учетных записей с пустыми паролями; должны быть установлены все обновления к установленной операционной системе и используемым пакетам ПО (openssl, php, MySQL и т.п.); необходимо запретить или существенно ограничить использование любых средств удалённого доступа (обычно используется IT-специалистами для удалённой поддержки) или заблокировать возможность использования таких средств с помощью межсетевого экрана (программного и/или аппаратного); необходимо отключить автоматический запуск программ с отчуждаемых носителей при их подключении и настроить автоматическое сканирование на вирусы подключаемых отчуждаемых носителей; физический доступ к компьютеру должен быть ограничен перечнем допущенных лиц. 8 Терминал системы CyberFT. Руководство по безопасности 4. Действия при нештатных ситуациях К нештатным ситуациям при работе со средствами ЭП и ключами ЭП относятся: установлены факты хищения или копирования ключей ЭП, или произошла утрата ключевого носителя; произошла утрата ключевых носителей, с их последующим обнаружением; возникло подозрение или произошло нарушение правил хранения и уничтожения (после окончания срока действия) ключа электронной подписи; произошло нарушение целостности хранилища (сейфа, металлического шкафа, или иного хранилища) с ключевыми носителями; случаи, когда на персональном компьютере, где использовались средства ЭП, были обнаружены компьютерные вирусы, закладки, иные средства скрытного информационного воздействия, или иные средства негласного съема информации; прочие подозрения или установленные факты компрометации ключа ЭП, при которых данные ключа ЭП стали известны третьим лицам (или неустановленному кругу лиц). При возникновении нештатной ситуации при работе со средствами ЭП и ключами ЭП необходимо незамедлительно заявить в ЗАО «КИБЕРПЛАТ» о необходимости аннулировать сертификат проверки ЭП. Для этого необходимо связаться с ЗАО «КИБЕРПЛАТ» по телефону и аннулировать действие сертификата, соответствующего ключу ЭП, конфиденциальность которого нарушена, посредством подачи соответствующего заявления в устной форме, 9 Терминал системы CyberFT. Руководство по безопасности подтверждая свои полномочия знанием тайной фразы («кодового слова»). Вся необходимая контактная информация приведена на сайте http://cyberft.ru/. 10