Руководство по безопасности использования и хранения электронной подписи

Техподдержка Удостоверяющего центра подготовила простой и подробный гайд по безопасности использования и хранения электронной цифровой подписи.

⠀

Как правильно хранить электронную подпись?

Для хранения квалифицированной электронной подписи используются только защищенные носители. Самый безопасный носитель – токен, который выглядит как обычный USB-брелок. Токены для хранения ЭП должны быть в обязательном порядке сертифицированы ФСТЭК или ФСБ, и они уже несут в себе базовую защиту данных. Все операции с электронной подписью производятся непосредственно в самом носителе, данные не попадают во внешнюю систему и нигде не хранятся в вашем рабочем компьютере.

Любая операция с использованием электронной подписи с токена должна быть подтверждена вводом пин-кода. На токене можно хранить сразу несколько электронных подписей, но они будут защищены единым пин-кодом. Основное правило для безопасности ЭП: один владелец, одна подпись, один токен. Если право подписи есть у нескольких сотрудников организации, каждому такому сотруднику необходимо получить свой сертификат. Так вы будете точно знать, кто именно подписал документ от лица компании.

Удостоверяющий центр ООО «ЭТП ГПБ Консалтинг» использует защищенные носители Rutoken Lite и Rutoken ЭЦП 2.0. Оба варианта сертифицированы и соответствуют стандартам безопасности.

⠀

Как обезопасить рабочее место?

Чтобы разобраться с этим вопросом, сперва нужно ответить на другой, не менее важный. Каким образом чаще всего злоумышленники получают доступ к чужой электронной подписи?

Вариантов не так уж много.

1. Если сертификат хранится не на токене, а в памяти компьютера (что крайне не рекомендуется специалистами по информационной безопасности), то он, как и другие данные, может стать объектом взлома. Если вы храните свою подпись в памяти рабочего компьютера или ноутбука, необходимо использовать антивирус и веб-антивирус. Хранение сертификата на токене поможет вам защитить свои данные от хакерских атак и шпионского ПО.

2. Токен, несомненно, защищает ваши данные, и именно поэтому он не должен попадать к третьим лицам. Законодательством РФ установлена ответственность за использование чужой ЭП — как административная и гражданско-правовая, так и уголовная. Руководители компании и ответственные сотрудники должны уведомить об этом всех заинтересованных лиц. Самые распространенные ситуации, которые ведут к компрометации электронной подписи:

• вы потеряли токен или у вас его украли (однако без пин-кода злоумышленнику сложно будет воспользоваться вашей подписью);
• вы оставили токен подключенным к компьютеру и не заблокировали его перед уходом;
• вы передали токен для использования другому сотруднику.

Также, если несколько человек используют электронную подпись для ведения дел в организации, необходимо своевременно отзывать право использования ЭП при увольнении сотрудника. Лучше всего делать это заблаговременно, даже если вы считаете его человеком надежным и достойным доверия.

Общие советы по сохранению безопасности электронной подписи на рабочем месте:

1.  Не передавайте ваш токен сотрудникам.
   Если в организации есть лица, имеющие право подписи, оформите им индивидуальный сертификат и следите за тем, чтобы его аннулировали при увольнении сотрудника. Желательно, чтобы в отделе кадров существовал список сотрудников с сертификатами ЭП, позволяющий в том числе отслеживать сроки использования и обновления лицензии.
2.  Не оставляйте токен без присмотра.
   Если вам нужно покинуть рабочее место, необходимо заблокировать компьютер и убрать токен в сейф или забрать его с собой. Не оставлять токен подключенным в ваше отсутствие — это ваша обязанность как владельца сертификата в соответствии с Порядком УЦ ЭТП ГПБ.
3.  Не записывайте пин-код на самом токене.
   Используйте комбинацию, которую легко запомните вы, но которую сложно будет угадать злоумышленнику. Как и с банковскими картами, нежелательно устанавливать в качестве пина дату рождения, год выдачи и прочие очевидные комбинации цифр.
4.  Не отключайте антивирусы на рабочем месте.
   Вероятность похищения зашифрованных данных крайне мала, но киберпреступники постоянно изобретают новые методы обхода систем безопасности.
5.  Не храните ЭП в открытом доступе.
   Хорошим решением будет офисный сейф, в котором сотрудники, использующие ЭП на предприятии, будут оставлять свои токены в конце рабочего дня. Если у вас нет сейфа, то подойдет ящик стола или тумба, которые запираются на замок, при условии, что ключ будет у вас. Также, с учетом небольшого размера токена, вы можете просто носить его с собой.

Что делать при утере подписи?

Если вы подозреваете, что ваша электронная подпись была скомпрометирована, вам следует немедленно обратиться в Удостоверяющий центр. Чем раньше вы свяжетесь с УЦ, тем меньше вероятность, что злоумышленники воспользуются вашей подписью в своих целях.

Чтобы отслеживать подозрительные действия, вы можете воспользоваться следующими сервисами:

1. На портале Госуслуги перейдите в личный кабинет, найдите в разделе «Настройки и безопасность» вкладку «Электронная подпись». Там отображаются все ваши сертификаты, а в разделе «Последние действия» вы сможете отследить подозрительную активность.

2. В личном кабинете налоговой вы также можете отслеживать действия, совершенные с применением электронной подписи.

Оба портала позволяют вам настроить уведомления на электронную почту, которые будут оповещать вас о совершаемых действиях.

Если вы потеряли токен или считаете, что некто мог получить доступ к вашей подписи, первым делом обратитесь в Удостоверяющий центр. Наши менеджеры помогут вам составить заявление на аннулирование сертификата и сориентируют по дальнейшим действиям. В зависимости от того, как именно злоумышленники использовали ЭП, возможно также придется уведомить о произошедшем налоговую службу и полицию.