Проверьте себя: сертифицированные или нет токены Вам нужно использовать

26 June 2018

В ФЗ-63 «Об электронной подписи» не прописано, в каких случаях следует использовать сертифицированные носители ЭП, но такие случаи существуют.

Для тех, кто не слишком близко знаком с темой токенов (носителей электронной подписи), будет полезно изучить краткую справку. Профессионалам рынка ЭП следует пролистать материал до случаев обязательного использования сертифицированных токенов.

____

Важно знать:

Во-первых, токены — это внешне напоминающие usb-флешки устройства, карта памяти которых защищена паролем. В удостоверяющих центрах на них записывают данные, необходимые для формирования электронной подписи ее владельцем.

Во-вторых, сертифицированные токены — это токены, соответствие которых требованиям ФСБ или ФСТЭК смог подтвердить производитель.

В-третьих, существует 2 вида сертификатов — ФСБ и ФСТЭК. Наличие сертификата ФСБ — это знак того, что характеристики носителя позволяют безопасно генерировать ключи, подписывать файлы, шифровать информацию и прочее, то есть данный документ — «гарант» того, что токен можно использовать как средство криптографической защиты информации без покупки дополнительного программного обеспечения. ФСТЭК же проверяет «физическую» сторону токена, и документ, полученный от данной службы подтверждает, что ни на одном из этапов (сборка, транспортировка, хранение и прочее) в ПО устройства не были добавлены какие-либо функциональные возможности, не заявленные в документации. Подобные недекларированные возможности могут стать причиной компрометации ЭП и как следствие привести к репутационным и финансовым потерям владельца подписи.

___

Случаи обязательного использования сертифицированных токенов

Ни в одном законодательном акте не представлено полного перечня правил, которые бы регламентировали, в каких случаях обязательно использовать сертифицированные носители электронной подписи. Специалисты юридического отдела портала iEcp.ru провели мониторинг основной нормативно-правовой базы, касающейся электронной подписи, на основе которого были сделаны следующие выводы:

1) Токены должны быть сертифицированы ФСБ

1.1. если носители будут использоваться в качестве средства электронной подписи для создания КЭП (квалифицированной ЭП) без применения отдельного средства криптографической защиты информации (СКЗИ) — согласно федеральному закону №63 «Об электронной подписи»,

1.2. если токен будет применяться в работе с ЕГАИС, так как регламент данной информационной системы требует, чтобы пользователи применяли ключевые носители со встроенным СКЗИ — а значит, нужно вернуться к правилу, указанному в пункте 1.1.

2) Токены должны быть сертифицированы ФСБ или ФСТЭК

2.1. если носители планируется использовать для доступа к проводимым федеральными ЭТП электронным аукционам — в соответствии с требованиями, прописанными в Приложении №1 Регламента получения сертификатов ключей подписей и использования электронной цифровой подписи,

2.2. если записанная на токен ЭП будет применяться для доступа к электронным торговым процедурам на площадках, входящих в АЭТП — согласно тексту Приложения №6 Регламента авторизации электронных торговых площадок в информационной среде НКО «Ассоциация Электронных Торговых Площадок»,

2.3. если носитель был предоставлен в удостоверяющий центр заявителем, который планирует использовать электронную подпись во внешнеэкономической деятельности или в сфере таможенного дела, для информационного взаимодействия с таможенными органам РФ — в соответствии с Приказом ФТС № 2187,

2.4. если токен будет использоваться при взаимодействии с ФГИС Росаккредитация — согласно Порядку получения доступа к информационным ресурсам Федеральной государственной информационной системы Федеральной службы по аккредитации.

3) Токены должны быть сертифицированными, если это прописано в регламенте информационной системы, с которой планирует взаимодействовать пользователь электронной подписи.

***

Обращаем внимание владельцев электронной подписи на то, что, даже если использование несертифицированного токена допустимо конкретной ИС, оно влечет за собой ряд рисков:

- по вине закладок (недекларированных возможностей) может быть скомпрометирована электронная подпись, последствия попадания которой в руки преступников носят крайне негативный характер;

- через несертифицированный носитель возможно проведение атаки на ИС, для доступа к которой он используется.

Снижая риск компрометации ЭП до ничтожно малых величин, даже сертифицированные носители не могут обеспечить 100% защиты, поэтому рекомендуем придерживаться дополнительных правил информационной безопасности:

- после покупки токена меняйте стандартные пароли на собственную числовую комбинацию — это поможет избежать физической кражи ЭП,

- не забывайте об основах безопасного поведения в цифровой среде: не открывайте спам-письма, не переходите по подозрительным ссылкам и не скачивайте неизвестные файлы — это обезопасит ПК пользователя ЭП от внедрения мошенника, а значит, и от подмены подписываемых файлов.

***

Редакция портала iEcp.ru держит своих читателей в курсе законодательных изменений, новинок рынка цифровой экономики, свежих IT-разработок и прочего. Присоединяйтесь!