Обоснование использование Рутокена

Добрый день. Работаю в бюджетном медицинском учреждении. В один прекрасный день, врачей обязали подписывать документы электронной цифровой подписью (ЭЦП). ЭЦП изготавливала и выдавала частная организация и только на физических носителях (в качестве которых мы тогда и закупили Rutoken Lite).
Теперь, мы получаем ЭЦП в казначействе, которая формируется в два этапа. Первый - создание закрытого ключа, для которого нужна обычная флешка или токен. Вторая - создание открытой части ключа, которую отправляют на e-mail.
Т.е. заказывать дополнительные Rutoken Lite для новых врачей вроде как нет смысла. Вопрос - является ли использование Rutoken Lite для хранения на нём ЭЦП обязательным? Больница является объектом КИИ (без категории значимости и с третей категорией значимости), с помощью ЭЦП подписываются документы содержащие персональные данные пациентов и сотрудников.

Спасибо!

Re: Обоснование использование Рутокена

Здравствуйте ogankvik.
ФК РФ действительно не выдвигает никаких требований к носителям для хранения КСКПЭП.

Но, в тоже время, 63ФЗ «об электронной подписи» вполне конкретно «говорит», что для работы с КЭП требуются сертифицированные средства электронной подписи (в т.ч. носитель).

Помимо этого стоит обратить внимание, что в сертификате ключа проверки ЭП содержится информация о физическом лице, на которое этот сертификат выпущен. Т.е. КСКПЭП принадлежит не просто сотруднику мед. учреждения, например, «врачу анестезиологу-реаниматологу Иванову Ивану Ивановичу», но и просто «Иванову Ивану Ивановичу», с конкретным ИНН.
За все действия, которые производятся с его КСКПЭП он отвечает лично и несет в т.ч. уголовную ответственность.
Если КСКПЭП будет храниться в реестре ПК или на обычной флешке, украсть его не составит труда и тогда есть риск, что злоумышленник будет выписывать рецепты на наркотические препараты, например, или от имени врача составит ложный документ о состоянии поступившего пациента и подпишет валидной ЭП врача.
Это банальные примеры и, поверьте, злоумышленники придумывают варианты «поинтереснее».

Если мед. учреждение заботится о собственной репутации и репутации своих сотрудников, действуя в рамках законодательства, использование защищенных ключевых носителей, а еще лучше – криптографических токенов без возможности извлечения закрытого ключа, является обязательным для хранения КСКПЭП, полученного в ФК РФ.

Re: Обоснование использование Рутокена

Большое спасибо за ответ! Исчерпывающе.

Re: Обоснование использование Рутокена

Николай Киблицкий пишет:

Здравствуйте ogankvik.
ФК РФ действительно не выдвигает никаких требований к носителям для хранения КСКПЭП.

Но, в тоже время, 63ФЗ «об электронной подписи» вполне конкретно «говорит», что для работы с КЭП требуются сертифицированные средства электронной подписи (в т.ч. носитель).

Просмотрел 63ФЗ «об электронной подписи». Не нашел там информации что "для работы с КЭП требуются сертифицированные средства электронной подписи". Не могли бы вы указать конкретное место документа, в котором это указанно? Большое спасибо!

Re: Обоснование использование Рутокена

ogankvik, статья 5, часть 4, пункт 2 "для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом."

Re: Обоснование использование Рутокена

Николай Киблицкий пишет:

ogankvik, статья 5, часть 4, пункт 2 "для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом."

Николай, спасибо. Неловко себя чувствую, но где эти требования? Просмотрел ещё раз закон, не смог найти требований в которых бы говорилось, что КЭП нужно хранить именно на токене.
Организации нужно закупить пару сотен токенов (и не только моей), мы совместно не можем найти подтверждение тому что они нужны и в т.ч. в тех местах текста, на которые ссылаетесь вы в своих ответах. Нам нужно обосновать покупку токенов, опираясь на четкое требование предьявленное законе.

Спасибо!

Re: Обоснование использование Рутокена

Обычно подобные требования это распоряжения от Миниздрава или от конкретного МИАЦа, вам не нужно искать законодательные требования, тем более, что эти требования указаны не только в ФЗ, но и в приказах/руководящих документах ФСБ и ФСТЭК.
В том числе, вам нужно опираться на собственную политику информационной безопасности.
Мы, как вендор и эксперт в области информационной безопасности, можем исключительно рекомендовать вам использовать те или иные средства защиты информации. Но ответственность за принятие решения лежит на руководстве вашей организации.

Re: Обоснование использование Рутокена

Доброго денька!
Тут ещё такой нюанс... При всей, казалось бы, очевидности, в некоторых ситуациях желательна дополнительная аргументация при решении вопроса финансирования внедрения токенов. И вот тут крайне полезен был бы документ, прямо указывающий НЕОБХОДИМОСТЬ или ОБЯЗАТЕЛЬНОСТЬ использования именно отчуждаемых носителей ключевой информации. Построение от требования сертификации неплохо, но прямое требование - убедительнее и эффективнее.
Самое забавное, что некоторое время назад я находил такое требование в одном из документов, но не поставил закладку, ушёл в отпуск, неплохо отдохнул и после отпуска так и не смог вспомнить - где я это видел.
Опора на собственную политику безопасности эффективнее при наличии подтверждающей аргументации, а МИАЦы бывают разные - некоторые упорно и категорически избегают прямых рекомендаций.

Re: Обоснование использование Рутокена

АВМ пишет:

Тут ещё такой нюанс... При всей, казалось бы, очевидности, в некоторых ситуациях желательна дополнительная аргументация при решении вопроса финансирования внедрения токенов. И вот тут крайне полезен был бы документ, прямо указывающий НЕОБХОДИМОСТЬ или ОБЯЗАТЕЛЬНОСТЬ использования именно отчуждаемых носителей ключевой информации.

Как я писал ранее, обычно подобные требования это распоряжения от Миниздрава или от конкретного МИАЦа или других регулирующих органов в зависимости от сферы деятельности.
Для примера удостоверяющий центр ФНС выпустили собственный приказ, где обязали использовать сертифицированные средства защиты информации при получении ключей электронных подписей у них.