Инструкция
относно реда за отчитане, издаване и прехвърляне на средства за криптографска защита
информация, електронен подпис, експлоатационни и технически
документация и ключови документи
1. Счетоводство за криптографска защита на информацията (CIPF), оперативно техническа документацияна CIPF, ключови документи и ЕС е организирано в съответствие с изискванията на „Инструкцията за организация и сигурност на съхранение, обработка и предаване по комуникационни канали, използващи криптографска защита на информация с ограничен достъп, която не съдържа информация, съставляваща държавна тайна“, одобрен със заповед федерална агенцияПравителствени комуникации и информация (FAPSI) при президента Руска федерацияот 01.01.2001 г. № 152 (наричана по-долу Инструкция № 152), Правила за използване на CIPF, одобрени от разработчика на CIPF.
2. Доставката на CIPF до организацията трябва да се извърши чрез куриерска комуникация (специална комуникация) или директно от служител на самата организация, по същия начин, CIPF трябва да бъде прехвърлен на крайния потребител, в съответствие с клауза 32 от Инструкция No 000.
3. Процедурата за опаковане на CIPF трябва да отговаря на изискванията на точка 33, точка 34 от Инструкция № 000.
4. Прехвърлянето на CIPF се формализира със сертификати за приемане или се потвърждава от придружаващи документи за превоз.
5. При прехвърляне на ФКИР от упълномощен куриер, куриерът се подписва в удостоверенията за приемане и предаване на КФРК, като датата и номерът на акта се вписват в съответните регистри.
6. Инстанционното счетоводство на CIPF, идващо от разработчици, производители и доставчици на CIPF, трябва да се води в Журнала за инстанционно счетоводство на CIPF, оперативна и техническа документация за тях, ключови документи (за собственика на поверителна информация) (клауза 26, Приложение Инструкция № 000). Счетоводството се поддържа от отговорния потребител на криптографски инструменти.
7. Пример за вписване в дневника за индивидуално счетоводство на CIPF, оперативна и техническа документация за тях, ключови документи (за собственика на поверителна информация) е представен в таблица 1.
Маса 1.
№ п / стр | знак за разписка | Емисионен знак | Марка за свързване (монтаж) CIPF | Бележка за оттеглянето на защитата на криптографската информация от хардуера, унищожаването на ключови документи | Забележка |
||||||||||
От кого получи | дата и номер мотивационно писмо | Пълно име на потребителя на CIPF | Пълно име на служителите на органа за криптографска защита, потребителя на CIPF, извършил връзката (инсталацията) | Дата на свързване (монтаж) и подписи на лицата, извършили свързването (монтажа) | Брой хардуер, в който е инсталиран или свързан CIPF | Дата на изтегляне (унищожаване) | Пълно име на служителите на органа за криптографска защита, потребителя на CIPF, извършил изтеглянето (унищожаването) | Забележка |
|||||||
Тахограф Mercury TA-001 | 19С3А00113906524 | ООД "Инфоцентър" | бр.000 от 14.04.15г | ||||||||||||
USB-устройство C-Terra "Post" | 8544391000321DFA | ООД "Инфоцентър" | бр.000 от 14.04.15г | Крафтуей терминална станция | |||||||||||
Тахографска карта "Диамант" | RUX1234567891234 | ООД "Инфоцентър" | бр.000 от 14.04.15г | Удостоверение за приемане и прехвърляне от 01.01.2001 г |
8. Всички копия на CIPF, оперативна и техническа документация за тях, ключови документи, прехвърлени на трети лица, трябва да бъдат издадени съгласно акта за приемане и отчетени в съответния Журнал за инстанционно счетоводство на CIPF, оперативна и техническа документация за тях ключови документи (за органа за криптографска защита) (стр. 26, Приложение към Инструкция № 152). Счетоводството се поддържа от отговорния потребител на криптографски инструменти.
9. Пример за извършване на запис за счетоводство на CIPF при прехвърляне към организация на трета страна е представен в таблица 2.
Таблица 2.
№ п / стр | Име на CIPF, оперативна и техническа документация за тях, ключови документи | Серийни номера на CIPF, оперативна и техническа документация за тях, серийни номера на ключови документи | Копира номера (криптографски номера) на ключови документи | знак за разписка | обратна бележка | Дата на влизане в сила | Дата на излизане | Маркирайте унищожаването на CIPF, ключови документи | Забележка |
|||||||
От кого е получено или пълното име на служителя на OKZ, изготвил ключовите документи | Дата и номер на мотивационното писмо или дата на изготвяне на ключови документи и получаване в производството | На кого е изпратено | дата и номер придружителен документ | Дата и номер на потвърждението или получаването на разписката | Дата и номер на придружителния документ | Дата и номер за потвърждение | Дата на унищожаване | Номер на акта или разписката за унищожаване | Забележка |
|||||||
Тахограф Mercury TA-001 | 19С3А00113906524 | ООД "Инфоцентър" | бр.000 от 14.04.15г | Удостоверение за издаване / връщане на оборудване / софтуер / карти 000000027 от 01.01.2001 10:04:59 | Удостоверение за издаване / връщане на оборудване / софтуер / карти 000000027 от 01.01.2001 10:04:59 | |||||||||||
Разбъркайте KKM | ООД "Инфоцентър" | бр.000 от 14.04.15г | ||||||||||||||
Тахограф Mercury TA-002 | 15С3А0078906111 | ООД "Инфоцентър" | бр.000 от 14.04.15г |
10. Отговорният ползвател на криптографски инструменти открива и поддържа за всеки потребител на ФКИРФ (всяка организация, на която се прехвърля КИРФ) личен акаунт, в който регистрира възложените му КФРЗ, оперативна и техническа документация за тях, ключови документи. Препоръчва се тип формулярличната сметка на потребителя на ФКИПФ е представена в приложението към тази Инструкция.
11. Пример за поддържане на личен акаунт на потребител на CIPF е представен в таблица 3.
Таблица 3
Име на CIPF, оперативна и техническа документация за тях, ключови документи | Копира номера (криптографски номера) на ключови документи | Отговорен изпълнител | Забележка |
|||||
Тахограф Mercury TA-001 | 19С3А00113906524 | бр.000 от 14.04.15г | Удостоверение за издаване / връщане на оборудване / софтуер / карти 000000027 от 01.01.2001 10:04:59 | |||||
Разбъркайте KKM | бр.000 от 14.04.15г | |||||||
Тахограф Mercury TA-002 | 15С3А0078906111 | бр.000 от 14.04.15г |
12. Всички получени, използвани, съхранявани или предадени CIPF, оперативна и техническа документация за тях, ключови документи подлежат на копично счетоводство. Единицата за отчитане на копия на ключови документи се счита за ключов носител за многократна употреба, ключов бележник. Ако един и същ ключов носител се използва многократно за записване на крипто ключове, тогава той трябва да се регистрира отделно всеки път.
Инстанционните счетоводни единици могат да бъдат:
eToken (бр.) – носител на ключ;
JKarta (бр.) - ключодържател;
Тахограф (бр.) - хардуер, в който е инсталиран или свързан CIPF;
Блок NKM (бр.) - хардуер CIPF;
CIPF формуляр (копие) - оперативна или техническа документация.
13. Пример за вписване в техническия (хардуерен) журнал е представен в Таблица 4.
Таблица 4
№ | дата | Вид и регистрационен номер на CIPF | Запис за поддръжка | Използвани крипто ключове | Марка за унищожаване (изтриване) | Забележка | ||||
Тип ключов документ | Сериен номер и копие на ключов документ | Номер на крипто оператор | Дата на унищожаване | Отговорен за унищожаването | ||||||
USB-устройство C-Terra "Post" Регистрационен номер 2 | Промяна на ПИН | USB устройство | 8544391000321DFA копие 1 | |||||||
14. Отчитането на CIPF, инструменти за ES, оперативна и техническа документация, ключови документи и информация трябва да бъде организирано на хартиени носителиили в в електронен форматс помощта на автоматизирана информационна система, която трябва да бъде определена със заповед на ръководителя на организацията, вижте фиг. един.
15. Прехвърлянето на КИРФ, оперативна и техническа документация за тях, ключови документи се допуска само по акта за приемане и предаване и извършване на вписване в съответните дневници на копие счетоводство.
16. Препоръчително е отговорният потребител на криптографски инструменти в организацията да назначи лице, отговорно за осигуряване сигурността на личните данни в информационна системалични данни.
17. Провеждане на преки операции по счетоводство на ККИФР, оперативна и техническа документация за тях, ключови документи, съгл. функционални отговорностии инструкции, се възлага на администратора по информационна сигурност или лице със съответните функционални отговорности.
______________________
Приложение
към Инструкцията за реда за отчитане на издаването и прехвърлянето на средства за криптографска защита
информация, електронен подпис, оперативна и техническа документация и ключови документи
ЛИЧЕН ПРОФИЛ НА ПОТРЕБИТЕЛЯ НА CRYPTOS
_____________________________________________________________________________________________
(име на организацията или пълно име и длъжност на служителя)
№p\n | Име на CIPF, оперативна и техническа документация за тях, ключови документи | Регистрационни номера на CIPF, оперативна и техническа документация за тях, сериен номер на ключови документи | Копира номера (криптографски номера) на ключови документи | Номер и дата на придружителния документ при получаване | Номер и дата на придружителния документ при прехвърляне | Отговорен изпълнител | Забележка |
|
___________________________
СПИСЪК ЗА РЕФЕРЕНЦИИ
количество:
Цена: 35
Отстъпка: %?
Имаме система за отстъпки
вземете повече - плащайте по-малко
при поръчка от 50 бр. - 5% отстъпка
при поръчка от 100 бр. - 10% отстъпка
при поръчка от 300 бр. - 15% отстъпка
при поръчка от 500 бр. - 20% отстъпка
при поръчка от 1000 бр. - 25% отстъпка
сума:
с включен ДДС 20%
х
Отново поръчахте тънко списание.
Може би имате нужда от списание с повече страници и други характеристики.
Моля използвайтекалкулатор
Средства за криптографска защита на информацията (CIPF)днес те се използват в почти всички компании, независимо дали при обмен на данни с контрагенти, или при комуникация и изпращане на платежни нареждания до банка, използвайки програмата клиентска банка.
Но не всеки знае, че според закона ключовете за криптиране трябва да се вземат предвид.
В тази статия ще говоря за отчитането на защитата на криптографската информация и ще предоставя връзки към правни актове на Руската федерация.
Основните закони, които уреждат CIPF са:
Заповед на Федералната служба за сигурност на Руската федерация от 9 февруари 2005 г. N 66 "За одобряване на Наредбата за разработване, производство, продажба и експлоатация на криптографски инструменти за сигурност на информацията (Регламент PKZ-2005)"
Заповед на FAPSI от 13 юни 2001 г. N 152 "За одобряване на Инструкция за организиране и осигуряване на сигурността на съхранение, обработка и предаване по комуникационни канали с помощта на криптографска защита на информация с ограничен достъп, която не съдържа информация, представляваща държавна тайна" и Приложение към заповед на FAPSI RF от 13 юни 2001 г. N 152
Ако погледнете заповед № 66 на ФСБ в допълнението в параграф 48, можете да видите следното съдържание:
48. CIPF и техните прототипи подлежат на копиране на отчитане с помощта на индекси или условни имена и регистрационни номера. Списъкът с индекси (конвенционални имена) и регистрационни номера за отчитане на копия на CIPF и техните прототипи се определя от FSB на Русия.
Организацията на отделното отчитане на прототипи на CIPF е възложена на разработчика на CIPF.
Организацията на отчитането на копията на произведените инструменти за защита на криптографска информация е възложена на производителя на средствата за защита на криптографска информация.
Организацията на инстанционно отчитане на използваните КРКИ се възлага на клиента на ФКИР.
Това означава, че дори ако проста компания, която не участва в създаването и продажбата на инструменти за криптографска защита на информацията, реши да закупи няколко eToken USB ключа, те все пак трябва да бъдат отчетени и възложени на крайния потребител, тоест на служителя. И на доста правни основания FSB може да провери счетоводството, като пристигне в офиса на всяка компания.
Това отчитане на средствата за криптографска защита на информацията трябва да се води в специален журнал, а още по-добре в допълнение и в електронен вид, където трябва да се вземе предвид следната информация:
1. какво е издадено
2. на това, което са издали
3. който е получил
4. който премина
5. знак за унищожение
Необходимо е да се вземат предвид самите електронни ключове, ключоносители, софтуеркоято извършва криптографски трансформации на информация, лицензи за право на използване на CIPF.
По този начин CIPF за счетоводство трябва да бъде разделен на:
ключодържател- физически носител на определена структура, предназначен за поставяне на ключова информация върху нея (първоначална ключова информация). Прави се разграничение между един ключов носител (маса, перфолента, перфокарта и т.н.) и ключов носител за многократна употреба (магнитна лента, флопи диск, компактдиск, ключ за данни, смарт карта, сензорна памет и др.).
ключов документ- физически носител на определена структура, съдържащ ключова информация (първоначална ключова информация), и при необходимост контролна, сервизна и технологична информация; (всъщност това е носител със записан таен ключ)
Разпределение CIPF- самият софтуер CryptoPro CSP, тук трябва да вземете предвид номера за разпространение, който може да се намери във формуляра на CIPF)
CIPF лиценз- не е инструмент за криптиране сам по себе си, но също така трябва да се вземе предвид в дневника, тъй като е имало инциденти, когато компаниите са били глобявани заради това, а също така съм чувал случаи на образуване на наказателни дела.
Между другото, мнозина спорят каква е разликата между ключов документ и ключов носител. Някой е на мнение, че ключовият документ сам по себе си е ключов контейнер или ключова информация и по принцип това е логично, но описанието, което дадох по-горе, е взето от приложението към Заповедта на FAPSI от 13 юни 2001 г. N 152, където ясно е посочено, че това е физическа среда.
Следователно, от моя лична гледна точка, това трябва да се разбира не просто като ключова информация в електронен вид, а като физически носител с ключова информация, записана върху него. По принцип това не е трудно да се вземе предвид, тъй като в дневника е възможно да се посочи номерът на превозвача и идентификаторът на секретния ключ в един параграф.
Приложен към Заповед на FAPSI RF от 13 юни 2001 г. N 152, можете да намерите примери за типични списания за отчитане на криптографска защита на информацията. http://base.garant.ru/183628/#block_1000
Моето и не само моето мнение за счетоводството е най-добре да водя няколко дневника:
Дневник за отчитане на инстанция по инстанция на комплектите за разпространение на CIPF.
Дневник за регистриране на инстанция по инстанция на лицензи за право на използване на CIPF.
Дневник на копие счетоводство на ключови документи на CIPF.
Дневник за отчитане на отделни екземпляри на носители на хардуерни ключове на CIPF.
В дневника за отчитане на инстанция по инстанция на комплекти за разпространение на инструменти за защита на криптографска информация, CIPF се отчитат от броя на дистрибутивните комплекти, записани във формуляра за продукта.
В регистъра на лицензите копие по екземпляр за правото на използване на средства за защита на криптографска информация, средствата за защита на криптографската информация се отчитат по серийни номера на лицензите.
В дневника за отделно отчитане на ключови документи на средства за криптографска защита на информацията, CIPF се отчитат по номера на маркери (и те се отпечатват на всеки токен) или по номера на дискети/флаш устройства (серийни номера на томовете, които могат да се видят с командата DIR), името на крипто-контейнера или серийния номер на ключът също е записан в този дневник.
В дневника за отчитане на отделни екземпляри на носители на хардуерни ключове за защита на криптографска информация, инструментите за защита на криптографската информация се отчитат по номера на маркери (и те се отпечатват върху всеки маркер). Препоръчително е този дневник да се използва само за съхранени токени, които са пристигнали в склада, но не са издадени на никого и не съдържат ключова информация, или са били прехвърлени, но без ключова информация.
С цел опростяване на счетоводството, при получаване Голям брой CIPF, трябва да поискате счетоводна информация по електронен път от доставчика или криптографския орган, за да не отпечатвате ръчно тези серийни номера.
Примери за счетоводни дневници на CIPF можете да намерите в края на приложението към заповедта на FAPSI RF от 13 юни 2001 г. N 152.