Количество:
Цена:
35
Скидка: %
?
У нас действует система скидок
бери больше - плати меньше
при заказе от 50 шт. - скидка 5%
при заказе от 100 шт. - скидка 10%
при заказе от 300 шт. - скидка 15%
при заказе от 500 шт. - скидка 20%
при заказе от 1000 шт. - скидка 25%
Сумма:
включая НДС 20%
X
Вы опять заказали тонкий журнал.
Возможно, Вам нужен журнал с большим количеством страниц и другими характеристиками.
Просим воспользоваться
калькулятором
Инструкция
о порядке учета, выдачи и передачи средств криптографической защиты
информации, электронной подписи, эксплуатационно-технической
документации и ключевых документов
1. Учет средств криптографической защиты информации (СКЗИ), эксплуатационно-технической документации на СКЗИ, ключевых документов и ЭП организуется в соответствии с требованиями «Инструкции об организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащих сведений, составляющих государственную тайну», утвержденной приказом Федерального агентства правительственной связи и информации (ФАПСИ) при Президенте Российской Федерации от 01.01.2001 № 152 (далее – Инструкция № 152), Правилами использования СКЗИ, утвержденными разработчиком СКЗИ.
2. Доставка СКЗИ в организацию должна осуществляться фельдъегерской связью (спецсвязь), либо непосредственно сотрудником самой организации, в таком же порядке должна осуществляться передача СКЗИ конечному пользователю, согласно п.32 Инструкции № 000.
3. Порядок упаковки СКЗИ должен соответствовать требованиям п.33, п.34 Инструкции № 000.
4. Передача СКЗИ оформляется актами приема-передачи, либо подтверждается сопроводительными отгрузочными документами.
5. При передаче СКЗИ уполномоченным нарочным, нарочный расписывается в актах приема-передачи СКЗИ, дата и номер акта заносятся в соответствующие журналы учета.
6. Поэкземплярный учет СКЗИ, поступающих от разработчиков, изготовителей и поставщиков СКЗИ необходимо вести в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации) (п.26, Приложение Инструкции № 000). Учет ведется ответственным пользователем криптосредств.
7. Пример внесения записи в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации) представлен в таблице 1.
Таблица 1.
№ п/п | Отметка о получении | Отметка о выдаче | Отметка о подключении (установке) СКЗИ | Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов | Примечание |
||||||||||
| От кого получены | Дата и номер сопроводительного письма | ФИО пользователя СКЗИ | ФИО сотрудников органа криптографической защиты, пользователя СКЗИ, произведших подключение (установку) | Дата подключения (установки) и подписи лиц произведших подключение (установку) | Номер аппаратных средств, в которые установлены или к которым подключены СКЗИ | Дата изъятия (уничтожения) | ФИО сотрудников органа криптографической защиты, пользователя СКЗИ, произведших изъятие (уничтожение) | Примечание |
|||||||
Тахограф Меркурий ТА-001 | 19С3А00113906524 | ООО "Инфоцентр" | № 000 от 14.04.15 | ||||||||||||
USB-устройство С-Терра «Пост» | 8544391000321DFA | ООО "Инфоцентр" | № 000 от 14.04.15 | Терминальная станция Kraftway | |||||||||||
Карта тахографа «Диамант» | RUX1234567891234 | ООО "Инфоцентр" | № 000 от 14.04.15 | Акт приема-передачи от 01.01.2001 |
8. Все передаваемые сторонним организациям экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы по акту приема-передачи и учтены в соответствующем Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для органа криптографической защиты) (п.26, Приложение к Инструкции № 152). Учет ведется ответственным пользователем криптосредств.
9. Пример внесения записи по учету СКЗИ при передаче сторонней организации представлен в таблице 2.
Таблица 2.
№ п/п | Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов | Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов | Номера экземпляров (криптографические номера) ключевых документов | Отметка о получении | Отметка о возврате | Дата ввода в действие | Дата вывода из действия | Отметка об уничтожении СКЗИ, ключевых документов | Примечание |
|||||||
| От кого получены или ФИО сотрудникаОКЗ, изготовившего ключевый документы | Дата и номер сопроводительного письма или дата изготовления ключевых документов и расписка в изготовлении | Кому разосланы | Дата и номер сопроводительного документа | Дата и номер подтверждения или расписка в получении | Дата и номер сопроводительного документа | Дата и номер подтверждения | Дата уничтожения | Номер акта или расписки об уничтожении | Примечание |
|||||||
Тахограф Меркурий ТА-001 | 19С3А00113906524 | ООО "Инфоцентр" | № 000 от 14.04.15 | Акт выдачи/возврата оборудования/ПО/Карт 000000027 от 01.01.2001 10:04:59 | Акт выдачи/возврата оборудования/ПО/Карт 000000027 от 01.01.2001 10:04:59 | |||||||||||
Штирх ККМ | ООО "Инфоцентр" | № 000 от 14.04.15 | ||||||||||||||
Тахограф Меркурий ТА-002 | 15С3А0078906111 | ООО "Инфоцентр" | № 000 от 14.04.15 |
10. Ответственный пользователь криптосредств заводит и ведет на каждого пользователя СКЗИ, (каждую организацию, кому передается СКЗИ) лицевой счет, в котором регистрирует числящиеся за ними СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы. Рекомендуемая типовая форма лицевого счета пользователя СКЗИ представлена в приложении к настоящей Инструкции.
11. Пример ведения лицевого счета пользователя СКЗИ представлен в таблице 3.
Таблица 3
Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов | Номера экземпляров (криптографические номера) ключевых документов | Ответственный исполнитель | Примечание |
|||||
Тахограф Меркурий ТА-001 | 19С3А00113906524 | № 000 от 14.04.15 | Акт выдачи/возврата оборудования/ПО/Карт 000000027 от 01.01.2001 10:04:59 | |||||
Штирх ККМ | № 000 от 14.04.15 | |||||||
Тахограф Меркурий ТА-002 | 15С3А0078906111 | № 000 от 14.04.15 |
12. Все полученные, используемые, хранимые или передаваемые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету. Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования, ключевой блокнот. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно.
Единицами поэкземплярного учета могут быть:
eToken (шт.) – ключевой носитель;
JKarta (шт.) – ключевой носитель;
Тахограф (шт.) - аппаратное средство, в которое установлены или к которым подключены СКЗИ;
Блок НКМ (шт.) – аппаратное СКЗИ;
Формуляр СКЗИ (экз.) – эксплуатационная или техническая документация.
13. Пример внесения записи в Технический (аппаратный) журнал представлен в таблице 4.
Таблица 4
№ | Дата | Тип и регистрационный номер СКЗИ | Запись по обслуживанию | Используемые криптоключи | Отметка об уничтожении (стирании) | Примечание | ||||
Тип ключевого документа | Серийный номер и экземпляр ключевого документа | Номер носителя крипто- | Дата уничтожения | Ответственный за уничтожение | ||||||
USB-устройство С-Терра «Пост» Регистрационный номер 2 | Смена PIN-кода | USB-устройство | 8544391000321DFA экземпляр 1 | |||||||
14. Учет СКЗИ, средств ЭП, эксплуатационной и технической документации, ключевых документов и информации должен быть организован на бумажных носителях или в электронном виде с помощью автоматизированной информационной системы , которая должна быть определена приказом руководителя организации, см. рис. 1.
15. Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только по акту приема-передачи и внесения записи в соответствующих журналах поэкземплярного учета.
16. Ответственным пользователем криптосредств в организации рекомендовано назначать ответственного за обеспечение безопасности персональных данных в информационной системе персональных данных.
17. Ведение непосредственных операций по учету СКЗИ, эксплуатационной и технической документации к ним, ключевых документов, в соответствии с функциональными обязанностями и инструкциями, возлагается на администратора безопасности информации или лицо с соответствующими функциональными обязанностями.
______________________
Приложение
к Инструкции о порядке учета выдачи и передачи средств криптографической защиты
информации, электронной подписи, эксплуатационно-технической документации и ключевых документов
ЛИЦЕВОЙ СЧЕТ ПОЛЬЗОВАТЕЛЯ КРИПТОСРЕДСТВ
_____________________________________________________________________________________________
(наименование организации или ФИО и должность сотрудника)
№п\п | Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов | Регистрационные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов | Номера экземпляров (криптографические номера) ключевых документов | Номер и дата сопроводительного документа при получении | Номер и дата сопроводительного документа при передаче | Ответственный исполнитель | Примечание |
|
___________________________
ЛИСТ ОЗНАКОМЛЕНИЯ
Использование цифровых сертификатов и ключевых носителей для многих компаний является обязательной практикой. Они применяются как для внутренних целей - защиты электронной почты, внутренний документооборот, аутентификация пользователей, так для общения со сторонними организациями при работе на торговых площадках, в ДБО и для формирования квалифицированной электронной цифровой подписи (ЭЦП). Сертификаты электронных ключей могут выпускаться как на собственных удостоверяющих центрах компании, так и в сторонних аккредитованных организациях. Управление разрозненной популяцией ключевых носителей становится сложной задачей, решить которую призваны специализированные системы. Indeed Certificate Manager предлагает централизованное и эффективное решение этой задачи.
Описание задачи
В общем виде можно сформулировать следующие задачи управления носителями и сертификатами:
- Контролирование использования сертификатов и ключевых носителей сотрудниками компании
- Учет сторонних сертификатов, выпускаемых внешними УЦ для работы в ДБО, торговых площадках, ЕГАИС и пр.
- Ведение электронного журнала учета СКЗИ
Решение
Для решение всех указанных задач в Indeed Certificate Manager реализованы соответствующие функции.
Контроль использования сертификатов и ключевых носителей
Для решения задачи контроля использования смарт-карт, токенов и сертификатов в Indeed CM реализован специализированный модуль - клиентский агент Indeed CM. Агент устанавливается на ПК пользователей и позволяет удаленно выполнять ряд операций:
- Передавать на сервер Indeed CM информацию об используемых ключевых носителях - к какому ПК в данный момент подключены токены и какой пользователь работает на ПК
- Блокировать сессию Windows или ключевой носитель, в случае нарушения правил использования. Например, смарт-карта СКЗИ(токен) может быть привязана к учетной записи пользователя или ПК; если текущий пользователь или ПК не совпадает с назначенными, агент может заблокировать смарт-карту
- Смена PIN-кода по требованию администратора
- Блокировка носителя по требованию администратора
- Обновление сертификатов на носителе
- Удаление информации с ключевого носителя
Таким образом, агент позволяет администраторам вести аудит использования смарт-карт и токенов и удаленно выполнять операции с ключевыми носителями на ПК пользователя. Также агент может предотвращать несанкционированное использование носителей.
Дополнительно к агенту, Indeed CM может отслеживать состояние учетной записи пользователя в каталоге Active Directory и приостанавливать действие сертификатов пользователей, чьи учетные записи были отключены. Это позволяет прекратить возможность использования сертификатов на период отпуска или увольнения сотрудника.
Учет сторонних сертификатов
Информация об уже записанных на носитель сертификатах считывается в момент закрепления носителя за пользователем и отображается в его профиле. При приближении окончания срока действия таких сертификатов, система уведомит пользователя и/или администратора о необходимости обновления сертификата.
Ведение электронного журнала СКЗИ
Для выполнения требований регуляторов организации может потребоваться вести журнал учета СКЗИ. Indeed CM позволяет вести такой журнал в электронном виде. При выпуске сертификатов в журнал автоматически будут добавляться новые СКЗИ. Также администратор может вручную добавить дополнительные СКЗИ различных типов, включая свои собственные, не входящие в стандартный набор. Просмотр журнала доступен в интерфейсе администратора Indeed CM, журнал также можно экспортировать в отдельный документ, формат которого настраивается под требования организации.
Ниже приведена общая схема решения.
В состав Indeed Certificate Manager входят следующие основные компоненты:
Indeed CM Server - основной компонент инфраструктуры Indeed CM. Представляет собой ASP.Net приложение, работающее на сервере Internet Information Services (IIS) . Indeed CM Server обеспечивает централизованное управление пользователями системы, репозиторием карт, журналом СКЗИ и политиками безопасности. Также Indeed CM Server обеспечивает получение информации от агентов и выполнение операций разблокировки смарт-карт и журналирования событий.
Журнал событий - хранилище событий Indeed CM. В журнале фиксируются все события, связанные с жизненным циклом смарт-карт и изменением параметров системы. Просмотр журнала доступен в интерфейсе консоли администратора Indeed CM, там же возможно построение отчетов по различным критериям.
Журнал СКЗИ - электронный журнал учета средств криптографической защиты информации. Журнал позволяет выполнить требования регуляторов в части учета СКЗИ. Просмотр журнала доступен в интерфейсе консоли администратора Indeed CM.
Реестр ключевых носителей содержит информацию по всем зарегистрированным в системе устройствам. Просмотр реестра доступен в интерфейсе консоли администратора Indeed CM.
Агент Indeed CM - клиентский компонент, реализующий функции контроля и мониторинга использования ключевых носителей. Также агент обеспечивает удаленное выполнение операций со смарт-картами и токенами: блокировка, смена PIN, обновление сертификатов ключа электронной подписи и др.
Эта статья будет интересна как специалистам, имеющим продолжительный опыт в ИБ, так и людям, которые были поставлены перед фактом или взвалили на себя груз ответственности за проведение работ по защите.
Проверка в отдельно взятой организации
Вступление
Исходные данные: Полное отсутствие проведенных работ по защите ПДн, в том числе, с использованием СКЗИ. Небольшая сеть на 40 АРМ. Ничего сверхъестественного в плане ИСПДн и прочего информационного взаимодействия. Все как у всех. Есть бухгалтерия, отдел кадров, администрация и несколько отделов по профилю организации.
Глава первая. Документы по ПДн
Комиссия обращает внимание на описание информационных систем: на основании чего созданы, что обрабатывается (категории ПДн) и с какой целью, структура систем и назначение подсистем.
Но главный документ, по которому они очень много работали это Перечень ИС (по ПП211). Мне доводилось видеть этот документ, в котором кроме шапки организации и подписи начальника было всего 2 строчки: ИСПДн «Бухгалтерия», ИСПДн «Отдел кадров». Я проработал этот документ и сделал его более удобным. В нем было подробно расписано для каждой ИС:
Назначение (например – Подсистема, предназначенная для автоматизации налогового и бухгалтерского учета и подготовки обязательной отчетности, а также расчета зарплаты, исчисления налогов, формирования отчетов и справок в государственные органы и социальные фонды);
Реализация (например - Подсистема реализована в виде файлов стандартных офисных приложений MS Office и системы автоматизации документооборота и делопроизводства СЭД «Дело- Web » );
Вводвывод (например - Информация поступает в подсистему путем ввода данных операторами а также в виде электронных почтовых сообщений );
Обработка (например - Режим обработки предусматривает следующие действия с данными: сбор, систематизацию, уточнение…);
Хранение (например - Данные хранятся на АРМ оператора);
Взаимодействие (например - Исходящая информация передается в виде отчетов в … с применением электронно-цифровой подписи и программной библиотеки защиты информации «КриптоПро» в электронном виде по каналам в сети Интернет посредством «СБИС». ).
Так же указаны основные характеристики ИС (режим обработки ПДн (многопользовательский ) , разграничение прав доступа (с разграничением ), масштаб ИС, класс защищенности…) в общем, как показала проверка, он очень понравился господам из ФСБ, и как результат, оказался самым «замятым».
Так же подробно рассматривались такие документы как Модели угрознарушителей, инструкции пользователяадминистратора и документы отражающие определение уровня защищенности ПДн (и все вытекающие отсюда объемы ПДн, типы угроз, и категории ПДн-все должно быть отражено в документах).
Глава вторая. Выполнение требований к СКЗИ
Основными документами в этой области являются 152 ФАПСИ и 378 ФСБ. В этом году мы отмечаем круглую дату- 15 лет с момента расформирования ФАПСИ.
Также проверялось наличие журналов. Лично у меня Журнал для учета журналов вызвал улыбку (вершина бюрократии).
В соответствии с п.30 ФАПСИ необходимо вести поэкземплярный учет СКЗИ и ключевых документов.
Основные документы: Акт определения уровня криптографической защиты информации в котором определяется класс используемого СКЗИ. Журнал поэкземплярного учета СКЗИ и технической документации. Журнал учета ключевой документации.
Что касается хранения ключевых документов и дистрибутивов СКЗИ, то тут все интересно. Электронных подписей у нас в организации много. Организовать каждому пользователю персональный железный ящик реально, но затратно. Да и времени было в обрез. Однако, отсутствие бесконтрольного доступа к СКЗИ все-таки мы обеспечили. На каждого пользователя были закуплены пластиковые тубусы для ключей (50 рублей) и металлические печати (400 рублей). Выдача печатей пользователю отражается в Журнале пломбиров. Каждый пользователь был проинструктирован о том, что в конце рабочего дня, он должен помещать е-токен в тубус, опечатывать его и запирать в своем ящике от стола. Первый экземпляры ключей от столов хранился в конвертах в сейфе у руководителя организации, второй- пользователь забирал с собой. Кроме того, закупились чашки для опечатывания и разработаны Перечни лиц имеющие свободный доступ в помещение с СКЗИ (А перед этим Перечень лиц имеющих право обрабатывать ПДн, Перечень лиц допущенных в помещение где ведется обработка ПДн (п.8а 8б П№378), и Перечень пользователей СКЗИ). В конце рабочего дня, помещение опечатывалось одним из пользователей СКЗИ.
Все автоматизированные рабочие места с установленными СКЗИ и программно-аппаратные СКЗИ оборудованы средствами контроля за их вскрытием во исполнение пункта 31 ФАПСИ. Тут пригодился опыт с прошлого места работы. Системные блоки опечатывать надо. Но чем? Какой печатью? Где ее взять? Как учитывать? Поступили следующим образом: в Word была разработана синяя печать с названием организации, датой и местом под подпись ответственного лица, проводившего установку Крипто-про на АРМ. Куплен лист самоклеящейся бумаги формата А4, и напечатано на цветном струйном принтере (не печатайте на лазерном, это плохая идея). По результатам, системные блоки с установленным Крипто-про были опечатаны в двух местах что бы не было бесконтрольного вскрытия. Пользователь каждый день визуально проверял эти наклейки и это было прописано в Положении об использовании СКЗИ в организации, Инструкции пользователяадминистратора СКЗИ.
На все используемые СКЗИ и ключевые носители имеются документы, подтверждающие соблюдение мер, исключающих бесконтрольный доступ к ним во время доставки. Необходимо предоставить акты приема-передачи, сопроводительные письма и доверенности (о них подробно ниже), акты ввода в эксплуатацию.
В нашей организации был разработан Приказ в котором назначался ответственный за СКЗИ, который получал Крипто-про и е-токены, а затем выдавал их пользователям по Журналу поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.
Не знаю как в вашей организации, но в нашей у руководителя около 5 ЭЦП для работы в различных системах. НО! Само он, лично ничего не подписывает. За него это делают в приемной, бухгалтер, отдел кадров…Как же быть?
Оформляется доверенность, в которой работник уполномочивается использовать ЭЦП для работы в таких-то ИС с такими-то целями. Не забудьте определяются сроки доверенности.
Определен порядок действий при компрометации (п5.0 ФАПСИ), и порядок уничтожения СКЗИ (п.4.14 ФАПСИ). Все это было описано в «Положении о порядке использования средств криптографической защиты информации и ключевой информации к ним».
Кроме того, использование СКЗИ осуществляется в соответствии формулярами к ним (заполнились таблица закрепления СКЗИ за пользователем).
Глава третья. Требования к помещениям
Как я уже писал, помещения с СКЗИ у нас опечатываются (п.59 ФАПСИ) в конце рабочего дня. Так же имеют прочные замки и пожарную сигнализацию (п. 6а П№378).
Помимо всех Перечней допущенных в помещения (п.6в П№378) о которых я писал выше, есть еще Регламенте доступа в помещения с компонентами СКЗИ определяющий правила доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях. (п.6а П№378). В соответствии с этим же регламентом организована охрана (для проверки нужно было показать договор с охранной фирмой) (п.54,63 ФАПСИ).
Глава четвертая. Персонал
Комиссии были предоставлены документы, подтверждающие, что ответственные пользователи СКЗИ имеют необходимый уровень квалификации для обеспечения защиты персональных данных с использованием СКЗИ (п.13 ФАПСИ). Администратор ИБ и ответственный за СКЗИ прошли курсы повышения квалификации (предоставили документы для комиссии) (п.17 ФАПСИ). Так же были предоставлены документы, подтверждающих письменное ознакомление ответственных пользователей СКЗИ с Инструкцией пользователя СКЗИ, Регламентом доступа в помещения с СКЗИ, Положением о порядке использования СКЗИ.
Проверялось и наличие утвержденных функциональных обязанностей сотрудников ОКЗИ (п.18 ФАПСИ). Все они были закреплены в приказе об СКЗИ. В нем вводился режим защиты информации с использованием СКЗИ, назначались ответственные лица (инструкция администратора СКЗИ-отдельным документом) и комиссия для определения класса СКЗИ. Кроме того, в должностные инструкции так же были внесены изменения.
Что касается исполнения п.21 ФАПСИ, то возможность допуска сотрудников к самостоятельной работе с СКЗИ отражается в «Акте ввода в эксплуатацию СКЗИ», который создавался в 2х экземплярах, один хранился у пользователя, второй у ответственного за СКЗИ.
Со всеми пользователями был проведен подробный инструктаж, и комиссия провела беседу с каждым. Спрашивали основные моменты знания инструкции пользователя, для чего используют ЭЦП, в каких программах работают, куда передают, как хранят ЭЦП и как опечатывают. А также, кто производил установку крипто-про на АРМ.
У бухгалтера попросили договор с банком и поинтересовались процессом передачи в банк данных о начислении заработной платы. Отдельного внимания заслужила программа СБИС.
По поводу используемых программ. С помощью специального ПО был составлен перечень разрешенного к использыванию ПО на каждый АРМ. Каждый АРМ имел свой инвентарный номер.
Глава пятая. Организационные меры
По большей части в нашей организации электронный документооборот и все файлы гоняются по сети. Но в бухгалтерии есть одна флешка на которую они выгружают отчеты. Поэкземплярный учет машинных носителей персональных данных ведется в «Журнале учета машинных носителей информации». Флешка выдана под роспись для выполнения служебных обязанностей сотруднику. По окончанию рабочего дня он хранит ее вместе с е-токеном. В инструкции пользователя /администратора прописаны соответствующие пункты по учету, хранению, передаче и уничтожению этой флешки.
Кроме того, были учтены все жесткие диски в соответствующем журнале. Как это сделано? Нет-нет, я не стал разбирать каждый АРМ и клеить на него номер, или смотреть номер на нем самом. Той же АИДОЙ 64 можно посмотреть уникальный номер диска.
Среди прочих замечаний это стояло особняком. Дело касалось Методических рекомендации от 1 марта 2015 года №149/7/2/6-432. Обратите на этот документ внимание, он есть в открытом доступе на сайте ФСБ. В соответствии с ним нужно разработать документ, в котором будут определены обобщенные возможности источников атак и как следствие Перечень организационно-технических мер, реализация которых позволяет нейтрализовать угрозы безопасности ПДн.
Послесловие
Средства криптографической защиты информации (СКЗИ) на сегодняшний день применяются практически во всех компаниях, будь то при обмене данными с контрагентами, или при связи и отправке платежных поручений в банк, программой банк клиент.
Но не все знают, что согласно закону ключи шифрования должны учитываться.
В данной статье я расскажу об учете средств криптографической защиты информации и приведу ссылки на законные акты Российской Федерации.
Основными законами которые регулирует СКЗИ являются:
Приказ ФСБ РФ от 9 февраля 2005 г. N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)"
Приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" и Приложение к приказу ФАПСИ РФ от 13 июня 2001 г. N 152
Если посмотреть приказ ФСБ №66 в приложении в пункте 48, можно увидеть следующее содержание:
48. СКЗИ и их опытные образцы подлежат поэкземплярному учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов (условных наименований) и регистрационных номеров поэкземплярного учета СКЗИ и их опытных образцов определяет ФСБ России.
Организация поэкземплярного учета опытных образцов СКЗИ возлагается на разработчика СКЗИ.
Организация поэкземплярного учета изготовленных СКЗИ возлагается на изготовителя СКЗИ.
Организация поэкземплярного учета используемых СКЗИ возлагается на заказчика СКЗИ.
Это означает, что даже если простая компания, не занимающаяся созданием и продажей средств криптографической защиты информации решила приобрести несколько USB-ключей eToken, то они все равно должны быть учтены и закреплены за конечным пользователем, то есть сотрудником. Причем на вполне законных основаниях проверить учет может ФСБ, приехав в офис любой компании.
Данный учет средств криптографической защиты информации должен вестись в специальном журнале, а еще лучше в добавок и в электронном виде, где должны быть учтена следующая информация:
1. что выдали
2. на чем выдали
3. кто получил
4. кто сдал
5. отметка о уничтожении
Учитывать следует сами электронные ключи, ключевые носители, программное обеспечение которое делает криптографические преобразования информации, лицензии на право использования СКЗИ.
Таким образом СКЗИ для учета следует разделить на:
Ключевой носитель
- физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т. п.).
Ключевой документ
- физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию; (по сути это носитель с записанным секретным ключом)
Дистрибутив СКЗИ
— само программное обеспечение(например КриптоПро CSP, тут следует учесть номер дистрибутива, который можно найти в формуляре на СКЗИ)
Лицензия СКЗИ
— сама по себе не является средством шифрования, но ее тоже следует учесть в журнале, так как были инциденты, когда компании из за этого штрафовали, а еще я слышал случаи о возбуждении уголовных дел.
Кстати говоря у многих возникает спор, в чем же разница между ключевым документом и ключевым носителем. Кто-то придерживается мнения, что ключевой документ это сам по себе ключевой контейнер или ключевая информация, и в принципе это логично, но то описание которое я привел выше, было взять из приложения к Приказу ФАПСИ от 13 июня 2001 г. N 152, где четко прописано, что это физический носитель.
Поэтому лично с моей точки зрения это следует подразумевать, как не просто ключевая информация в электронном виде, а физический носитель с записанной на него ключевой информацией. В принципе это не составляет труда учесть, так как можно в журнале указать номер носителя и идентификатор секретного ключа в одном пункте.
В приложении к приказу ФАПСИ РФ от 13 июня 2001 г. N 152 , можно найти примеры типовых журналов по учету средств криптографической защиты информации. http://base.garant.ru/183628/#block_1000
Мое и не только мое мнение для учета лучше всего вести несколько журналов:
Журнал поэкземплярного учёта дистрибутивов СКЗИ.
Журнал поэкземплярного учёта лицензий на право использования СКЗИ.
Журнал поэкземплярного учёта ключевых документов СКЗИ.
Журнал поэкземплярного учёта аппаратных ключевых носителей СКЗИ.
В журнале поэкземплярного учёта дистрибутивов средств криптографической защиты информации
, СКЗИ учитываются по номерам дистрибутивов, записанных в формуляре на изделие.
В журнале поэкземплярного учёта лицензий на право использования средств криптографической защиты информации
, СКЗИ учитываются по серийным номерам лицензий.
В журнале поэкземплярного учёта ключевых документов средств криптографической защиты информации
, СКЗИ учитываются по номерам токенов (а они напечатаны на каждом токене) или по номерам дискет/флешек (серийным номерам томов, которые можно увидеть по команде DIR), так же в этом журнале прописывается имя крипто-контейнера или серийный номер ключа.
В журнале поэкземплярного учета аппаратных ключевых носителей средств криптографической защиты информации
, СКЗИ учитываются по номерам токенов (а они напечатаны на каждом токене). Данный журнал целесообразно использовать, чисто по хранящимся токенам, которые поступили на склад, но никому не выдаются и не содержат ключевой информации, либо были переданы, но без ключевой информации.
В целях упрощения учета, при получении большого количества СКЗИ, следует запросить учетную информацию в электронном виде, у поставщика или криптографического органа, что бы не перепечатывать эти серийные номера вручную.
Примеры журналов учета СКЗИ, можно найти в конце приложения к приказу ФАПСИ РФ от 13 июня 2001 г. N 152.
Вопросы
