3 Требования по установке и эксплуатации средств квалифицированной ЭП, общесистемного и специального программного обеспечения

3.1 При установке и использовании на СВТ средств квалифицированной ЭП должны выполняться следующие меры по защите информации:

1) в отношении СВТ должны соблюдаться правила:

- не допускается установка операционных систем (далее - ОС), не предусмотренных документацией на средства ЭП, либо измененных или отладочных версий ОС, указанных в документации;

- не допускается установка программных средств, реализующих функции удаленного управления, администрирование, модификацию ОС и ее настроек, а также среды разработки;

- не допускается установка нескольких ОС;

- неиспользуемые ресурсы СВТ должны быть отключены (протоколы, сервисы и т.п.);

- реализованные на СВТ режимы безопасности должны быть настроены на максимальный уровень;

- зарегистрированным пользователям СВТ назначаются минимально возможные для нормальной работы права;

- предоставление минимальных прав доступа к ресурсам СВТ, включая доступ к системному реестру, файлам и каталогам, временным файлам, файлам подкачки и т.п.

2) на СВТ необходимо:

- по окончании сеанса работы с использованием средств квалифицированной ЭП удалить временные файлы и файлы подкачки. Если это невыполнимо, то на жесткий диск должны распространяться требования, предъявляемые к ключевым носителям;

- исключить установку и выполнение на СВТ программ, позволяющих повысить привилегии пользователям СВТ;

- регулярно устанавливать обновления ОС, прикладных систем, антивирусные базы.

3) на СВТ следует использовать парольную защиту (для входа в ОС, BIOS, при шифровании на пароле и т.д.), обеспечивающую возможность реализации следующей политики:

- длина пароля должна быть не менее 8 символов;

- в последовательности символов пароля должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, номера телефонов, даты рождения и т.д.), а также распространенные сокращения (USER, ADMIN, root, и т.д.);

- осуществлять периодическую смену пароля в соответствии с регламентом, установленным в технической документации организации (рекомендуется не реже 1 раза в год);

- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях.

3.2 При необходимости подключения СВТ с установленными на них средствами квалифицированной ЭП к общедоступным сетям передачи данных (в том числе сети Интернет) такое подключение необходимо осуществлять при использовании средств защиты от сетевых атак. При работе на указанных СВТ необходимо исключить возможность открытия и исполнения файлов и иных получаемых по сети объектов без предварительной их проверки сертифицированными средствами антивирусной защиты.

3.3 Необходимо организовать сбор событий (лог-файлы) в отношении СВТ, на которых установлены средства ЭП и регулярное проведение их анализа.

3.4 Запрещается:

- использовать несертифицированные средства квалифицированной ЭП;

- вносить любые изменения в программное обеспечение средств квалифицированной ЭП;

- осуществлять несанкционированное копирование ключей;

- передавать ключевые документы (ключевые носители) лицам, к ним не допущенным, выводить ключевую информацию на печатающие устройства, иные средства отображения информации;

- использовать ключевые носители в режимах, не предусмотренных штатным режимом их использования;

- записывать на ключевые носители постороннюю информацию;

- оставлять СВТ с установленными на них средствами квалифицированной ЭП без контроля после ввода ключевой информации;

- использовать ключ ЭП, связанный с квалифицированным сертификатом ключа проверки ЭП, в отношении которого в аккредитованном удостоверяющем центре Банка России зарегистрировано заявление о прекращении его действия.