Обоснование использование Рутокена

Здравствуйте ogankvik.
ФК РФ действительно не выдвигает никаких требований к носителям для хранения КСКПЭП.

Но, в тоже время, 63ФЗ «об электронной подписи» вполне конкретно «говорит», что для работы с КЭП требуются сертифицированные средства электронной подписи (в т.ч. носитель).

Помимо этого стоит обратить внимание, что в сертификате ключа проверки ЭП содержится информация о физическом лице, на которое этот сертификат выпущен. Т.е. КСКПЭП принадлежит не просто сотруднику мед. учреждения, например, «врачу анестезиологу-реаниматологу Иванову Ивану Ивановичу», но и просто «Иванову Ивану Ивановичу», с конкретным ИНН.
За все действия, которые производятся с его КСКПЭП он отвечает лично и несет в т.ч. уголовную ответственность.
Если КСКПЭП будет храниться в реестре ПК или на обычной флешке, украсть его не составит труда и тогда есть риск, что злоумышленник будет выписывать рецепты на наркотические препараты, например, или от имени врача составит ложный документ о состоянии поступившего пациента и подпишет валидной ЭП врача.
Это банальные примеры и, поверьте, злоумышленники придумывают варианты «поинтереснее».

Если мед. учреждение заботится о собственной репутации и репутации своих сотрудников, действуя в рамках законодательства, использование защищенных ключевых носителей, а еще лучше – криптографических токенов без возможности извлечения закрытого ключа, является обязательным для хранения КСКПЭП, полученного в ФК РФ.

Просмотрел 63ФЗ «об электронной подписи». Не нашел там информации что "для работы с КЭП требуются сертифицированные средства электронной подписи". Не могли бы вы указать конкретное место документа, в котором это указанно? Большое спасибо!

Николай, спасибо. Неловко себя чувствую, но где эти требования? Просмотрел ещё раз закон, не смог найти требований в которых бы говорилось, что КЭП нужно хранить именно на токене.
Организации нужно закупить пару сотен токенов (и не только моей), мы совместно не можем найти подтверждение тому что они нужны и в т.ч. в тех местах текста, на которые ссылаетесь вы в своих ответах. Нам нужно обосновать покупку токенов, опираясь на четкое требование предьявленное законе.

Спасибо!

Доброго денька!
Тут ещё такой нюанс... При всей, казалось бы, очевидности, в некоторых ситуациях желательна дополнительная аргументация при решении вопроса финансирования внедрения токенов. И вот тут крайне полезен был бы документ, прямо указывающий НЕОБХОДИМОСТЬ или ОБЯЗАТЕЛЬНОСТЬ использования именно отчуждаемых носителей ключевой информации. Построение от требования сертификации неплохо, но прямое требование - убедительнее и эффективнее.
Самое забавное, что некоторое время назад я находил такое требование в одном из документов, но не поставил закладку, ушёл в отпуск, неплохо отдохнул и после отпуска так и не смог вспомнить - где я это видел.
Опора на собственную политику безопасности эффективнее при наличии подтверждающей аргументации, а МИАЦы бывают разные - некоторые упорно и категорически избегают прямых рекомендаций.