Безопасное хранение ЭП: инструкция для пользователей

1. Где можно хранить ЭП
2. Хранение ключа электронной подписи на компьютере
3. Хранение ключа ЭП на носителе
4. Дополнительная защита
5. Хранение средств ЭП и ключей ЭП в организации и для личного пользования: главные правила

Чаще всего для размещения КЭП используют специальные USB-носители, однако в ряде случаев можно обойтись и без них. Например, если пользователь всегда работает с одним персональным устройством, ключи для создания КЭП можно сохранить на жёстком диске компьютера (ПК). Это достаточно надёжная альтернатива аппаратным средствам.

В статье рассказываем, какие есть способы хранения электронной подписи, почему создание КЭП на компьютере — это удобно и надёжно и какие меры необходимо соблюдать, чтобы обезопасить себя и бизнес.

Где можно хранить ЭП

КЭП универсальна и подойдёт для самых разных задач — от взаимодействия с госорганами и сдачи отчётности до торгов в режиме онлайн. Она является наиболее надёжной из всех существующих видов электронной подписи. Поэтому меры для обеспечения её безопасности нужны самые серьёзные.

Сегодня существует два доступных и безопасных варианта записи и хранения ключа ЭП:

1. На защищённом USB-носителе (токене). Например, на носителе, приобретённом в аккредитованном удостоверяющем центре (УЦ).
2. На жёстком диске. При правильных настройках и соблюдении мер безопасности такой формат ничуть не уступает хранению на аппаратном носителе. Он отлично подойдёт для повседневных задач: авторизации на порталах, подачи деклараций, подписания внутренних документов и работы с госсервисами.

Хранение ключа электронной подписи на компьютере

Размещение самого программного средства ЭП и ключей для её создания на ПК — это не компромисс, а достаточно безопасный рабочий вариант. При грамотной настройке рабочей среды высокий уровень защиты будет обеспечен: задайте доступ по паролю, примените шифрование и ограничьте сетевое подключение. Такой подход не требует дополнительного оборудования, а по надёжности сопоставим с аппаратными средствами.

В качестве носителя сертификата может выступать обычная папка (её называют «директорией») или реестр (база с данными о параметрах и настройках). Являясь в общем понимании стационарным объектом, ПК выполняет функцию носителя.

Если файл размещают в директории, пользователю нужно установить пароль и регулярно обновлять базы антивирусного программного обеспечения (ПО). Сто́ит организовать отдельное, неочевидное место хранения ключей ЭП. Размещение важных файлов в стандартных «загрузках» или на рабочем столе будет грубым нарушением цифровой гигиены.

Плюсы хранения электронной подписи на ПК

Размещение КЭП на стационарном устройстве будет подходящим вариантом в большинстве случаев. При соблюдении базовых рекомендаций по безопасности хранение на компьютере не уступает использованию носителя и даже превосходит этот способ по удобству.

Рассмотрим преимущества такого формата:

1. Быстрый доступ. Не требуется подключения внешних устройств, что удобно при интенсивной работе с документами.
2. Независимость от наличия оборудования. Процессы не останавливаются в случае дефицита токенов или сложностей с заказом и слишком долгого ожидания. Документ заверяют со стационарного ПК дома или в офисе.
3. Безопасность при ответственном подходе. При использовании пароля, шифрования и ограниченного доступа к папке риск компрометации минимален.
4. Использование нескольких ЭП для разных целей на одном ПК. Для пользователя будет удобнее решать все свои задачи на одном месте без подключения множества разной техники.

Минусы работы со средством ЭП на компьютере

Любой способ требует разумного подхода. Основные риски хранения ключей КЭП на ПК связаны не с самим форматом, а с нарушениями базовых принципов защиты. Следуя рекомендациям, вы сможете избежать нежелательных ситуаций.

Обратите внимание на следующие нюансы:

• небезопасный доступ. Если ПК могут использовать другие люди (например, коллеги или члены семьи), существует риск несанкционированного применения электронной подписи. Опасности легко избежать, если изолировать рабочую учётную запись и установить защиту на место хранения ключей (файл, папку, раздел памяти);
• подверженность атакам. Надёжный антивирус и обновления системы — обязательные условия, чтобы защититься от вредоносных программ;
• физическая утрата данных. При поломке или сбое в работе оборудования файл может быть утерян или оказаться недоступным. То же произойдёт, если оборудование украдут.

Хранение ключа ЭП на носителе

Если сотрудник или руководитель компании регулярно использует несколько рабочих мест, без отдельного внешнего аппаратного устройства для хранения ключей ЭП не обойтись. Это может быть специальный внешний аппаратный носитель с защищённой памятью (токен) или обычный смартфон. В последнем случае и хранение ключей ЭП, и её создание реализуются непосредственно в памяти смартфона, что удобно и достаточно безопасно для подавляющего большинства сфер применения ЭП. В таком случае на рабочем компьютере можно сохранить сертификаты, которые используются стационарно (например, для торгов), а на защищённом носителе (токене) — для распределённых задач.

Специальный носитель для ключей электронной подписи выглядит как обычная флешка с USB-разъёмом, доступ к нему защищается ПИН-кодом. Даже если на устройство записать несколько сертификатов, код будет единым. Поэтому хранить на одном девайсе подписи разных сотрудников недопустимо.

Выбор устройства — не самый простой этап. Здесь важно решить ряд вопросов:

• на каком оборудовании оно будет эксплуатироваться, с какими ОС должно быть совместимо (MacOS, Windows и т.д.);
• нужно ли встроенное или программное СКЗИ;
• где именно, с какой целью будет храниться и применяться ЭП;
• какие требования предъявляют информационные системы и какой порядок использования ЭП они предусматривают.

Зачастую существует требование использовать сертифицированные токены. Они делятся на два типа:

• получившие сертификат ФСТЭК России;
• получившие сертификат ФСБ РФ как имеющие СКЗИ.

Рассказываем о различиях подробнее.

Хранение ключей ЭП: токен без СКЗИ

Устройства нужны для ключевых контейнеров сертифицированных российских СКЗИ, самих ключей, профилей и паролей пользователей. Стоит иметь в виду: для работы в ЕГАИС они не подходят. Кроме того, для работы на стационарное устройство необходимо установить специальное ПО — СКЗИ (средство криптографической защиты информации). Без него цифровая подпись будет бесполезна.

Хранение ЭП: токен с встроенным СКЗИ

Токены уже имеют аппаратную реализацию криптографических алгоритмов. Проще говоря, на них уже встроено СКЗИ, поэтому устанавливать в стационарной системе дополнительное ПО не требуется. Среди наиболее популярных инструментов — JaCarta-2SE, Рутокен ЭЦП 3.0.

Незащищённые носители

Записать файлы можно и на обычную «флешку» или лазерный диск. Но так вы не сможете обеспечить неприкосновенность информации, а для ряда систем носители и вовсе будут недопустимы. Нужно выбирать более безопасные варианты.

Дополнительная защита

На сегодня существует два защитных этапа — пароль (ПИН-код) для запуска средства ЭП в работу и защита от копирования ключевой информации.

Ввод пароля (ПИН-кода) пользователя и его проверка нужны уже для допуска к самой работе со средством ЭП. Первоначальный стандартный ПИН-код устанавливает изготовитель средства ЭП. После приобретения средства ЭП его новому владельцу нужно обязательно изменить пароль доступа на собственный.

Изначально функция копирования есть, например, для переноса данных на другое оборудование. Чтобы доступ не получили злоумышленники и не создали копию ключей ЭП, владелец может поставить запрет на копирование и использовать ключи ЭП только при их считывании с конкретного аппаратного носителя. Это делается через настройки ПО, поставляемого со средством КЭП.

Хранение средств ЭП и ключей ЭП в организации и для личного пользования: главные правила

Чтобы ваша личная или корпоративная КЭП оставалась юридически значимой, важно соблюдать основные правила и принимать базовые меры для обеспечения цифровой безопасности. Вот ключевые рекомендации:

1. Установите и используйте надёжные, сложные ПИН-коды для ПК, токена и контейнера с ключами. Замените заводские коды — они часто слишком простые и уязвимые. Если есть возможность, установите на рабочем месте двухфакторную аутентификацию или вход по отпечатку пальца.
2. Не используйте один токен для работы нескольких человек — даже случайное нарушение конфиденциальности при работе с ключами ЭП может привести к признанию недействительности всех подписей, созданных с их помощью.
3. Ограничьте доступ к ключам ЭП посторонних лиц. Если кто-то будет действовать от вашего имени, доказать свою непричастность к подписыванию конкретного электронного документа вашей ЭП окажется сложно (практически невозможно). Чтобы от лица компании при работе с электронными документами выступал другой сотрудник, понадобится машиночитаемая доверенность (МЧД).
4. Оставляйте токен с ключами ЭП только в надёжно защищённом от доступа посторонних месте. Не стоит забывать технику на столе в офисе или оставлять её в прихожей вашей квартиры — держите её всегда при себе или размещайте в сейфе. Хранение носителей средства электронной подписи и ключей ЭП — зона полной ответственности владельца.
5. Следите за сроком действия сертификата: это чревато срывом сделок и штрафами за несвоевременно поданную отчётность. Заблаговременный перевыпуск ЭП занимает минимум времени.
6. Своевременно обновляйте ОС и базы антивирусного ПО, чтобы надёжно и постоянно защищать информационную систему от новых угроз.
7. Не записывайте важную информацию и коды доступа на стикерах. Лучше держать всё в менеджере паролей или в надёжном зашифрованном на отдельном ключе (пароле) хранилище, если не удаётся запомнить. Ваш стол и размещённые на нём вещи видны всем окружающим.
8. Своевременно аннулируйте в УЦ сертификат, если потеряли токен с ключами ЭП. В этом случае никто не сможет воспользоваться им и действовать от вашего имени.