Instrucción
sobre el procedimiento de contabilización, emisión y transferencia de medios criptográficos de protección
información, firma electronica, operativos y técnicos
documentación y documentos clave
1. Contabilidad para la protección de información criptográfica (CIPF), operativa documentación técnica sobre CIPF, documentos clave y SE está organizado de acuerdo con los requisitos de las "Instrucciones sobre la organización y seguridad del almacenamiento, procesamiento y transmisión a través de canales de comunicación que utilizan protección criptográfica de información con acceso limitado que no contiene información que constituye secreto de estado”, aprobado por orden agencia Federal Comunicaciones e Información Gubernamentales (FAPSI) bajo la Presidencia Federación Rusa de fecha 01.01.2001 No. 152 (en lo sucesivo, Instrucción No. 152), Reglas para el uso de CIPF, aprobadas por el desarrollador de CIPF.
2. La entrega de CIPF a la organización debe realizarse por comunicación courier (comunicación especial), o directamente por un empleado de la propia organización, de igual manera, la CIPF debe ser transferida al usuario final, de acuerdo con la cláusula 32 de la Instrucción N° 000.
3. El procedimiento de envasado CIPF deberá cumplir con los requisitos del inciso 33, inciso 34 de la Instrucción N° 000.
4. La transferencia de CIPF se formaliza mediante certificados de aceptación, o se confirma mediante documentos de embarque adjuntos.
5. Cuando el CIPF sea transferido por un correo autorizado, el correo firmará en los certificados de aceptación y transferencia del CIPF, la fecha y el número del acto se inscribirán en los registros correspondientes.
6. La contabilidad de instancias de CIPF proveniente de desarrolladores, fabricantes y proveedores de CIPF debe llevarse en el Diario de contabilidad de instancias de CIPF, documentación operativa y técnica para ellos, documentos clave (para el propietario de información confidencial) (cláusula 26, Apéndice Instrucción nº 000). La contabilidad es mantenida por el usuario responsable de las herramientas criptográficas.
7. Un ejemplo de cómo hacer una entrada en el Diario de contabilidad individual de CIPF, documentación operativa y técnica para ellos, documentos clave (para el propietario de información confidencial) se presenta en la tabla 1.
Tabla 1.
Nº p/p | marca de recibo | marca de emisión | Marca de conexión (instalación) CIPF | Una nota sobre el retiro de la protección de información criptográfica del hardware, la destrucción de documentos clave | Nota |
||||||||||
| de quien recibió | fecha y número carta de presentación | Nombre completo del usuario CIPF | Nombre completo de los empleados de la autoridad de protección criptográfica, el usuario del CIPF que realizó la conexión (instalación) | Fecha de conexión (instalación) y firmas de las personas que realizaron la conexión (instalación) | Número de hardware en el que está instalado o conectado CIPF | Fecha de retirada (destrucción) | Nombre completo de los empleados de la autoridad de protección criptográfica, el usuario del CIPF, que realizó el retiro (destrucción) | Nota |
|||||||
Tacógrafo Mercurio TA-001 | 19С3А00113906524 | LLC "Infocentro" | N° 000 del 14/04/15 | ||||||||||||
Dispositivo USB C-Terra "Post" | 8544391000321DFA | LLC "Infocentro" | N° 000 del 14/04/15 | Estación terminal de Kraftway | |||||||||||
Tarjeta de tacógrafo "Diamante" | RUX1234567891234 | LLC "Infocentro" | N° 000 del 14/04/15 | Certificado de aceptación y transferencia de fecha 01/01/2001 |
8. Todas las copias de CIPF, documentación operativa y técnica para ellos, documentos clave transferidos a terceros deben emitirse de acuerdo con el acto de aceptación y contabilizarse en el Diario correspondiente de contabilidad instancia por instancia de CIPF, documentación operativa y técnica. para ellos, documentos clave (para la autoridad de protección criptográfica) (p. 26, Anexo a la Instrucción N° 152). La contabilidad es mantenida por el usuario responsable de las herramientas criptográficas.
9. En la tabla 2 se presenta un ejemplo de cómo hacer una entrada para la contabilidad de CIPF al transferirse a una organización de terceros.
Tabla 2.
Nº p/p | Nombre de los CIPF, documentación operativa y técnica de los mismos, documentos clave | Números de serie de CIPF, documentación operativa y técnica de los mismos, números de serie de documentos clave | Copia números (números criptográficos) de documentos clave | marca de recibo | nota de devolución | Fecha de entrada en vigor | fecha de salida | Marca en la destrucción de CIPF, documentos clave | Nota |
|||||||
| De quién recibió o el nombre completo del empleado de OKZ que preparó los documentos clave | Fecha y número de la carta de presentación o fecha de producción de documentos clave y recibo en producción | a quien envió | fecha y número documento adjunto | Fecha y número de confirmación o recibo de recibo | Fecha y número del documento adjunto | Fecha y número de confirmación | Fecha de destrucción | Número del acto o recibo de destrucción | Nota |
|||||||
Tacógrafo Mercurio TA-001 | 19С3А00113906524 | LLC "Infocentro" | N° 000 del 14/04/15 | Certificado de emisión/devolución de equipos/software/tarjetas 000000027 de fecha 01.01.2001 10:04:59 | Certificado de emisión/devolución de equipos/software/tarjetas 000000027 de fecha 01.01.2001 10:04:59 | |||||||||||
Estire KKM | LLC "Infocentro" | N° 000 del 14/04/15 | ||||||||||||||
Tacógrafo Mercurio TA-002 | 15С3А0078906111 | LLC "Infocentro" | N° 000 del 14/04/15 |
10. El usuario responsable de las herramientas criptográficas abre y mantiene para cada usuario de CIPF (cada organización a la que se transfiere el CIPF) una cuenta personal en la que registra el CIPF que le ha sido asignado, documentación operativa y técnica para ellos, documentos clave. Recomendado tipo de formulario cuenta personal del usuario del CIPF se presenta en el anexo de esta Instrucción.
11. En la tabla 3 se presenta un ejemplo de mantenimiento de una cuenta personal de un usuario de CIPF.
Tabla 3
Nombre de los CIPF, documentación operativa y técnica de los mismos, documentos clave | Copia números (números criptográficos) de documentos clave | ejecutor responsable | Nota |
|||||
Tacógrafo Mercurio TA-001 | 19С3А00113906524 | N° 000 del 14/04/15 | Certificado de emisión/devolución de equipos/software/tarjetas 000000027 de fecha 01.01.2001 10:04:59 | |||||
Estire KKM | N° 000 del 14/04/15 | |||||||
Tacógrafo Mercurio TA-002 | 15С3А0078906111 | N° 000 del 14/04/15 |
12. Toda la documentación CIPF, operativa y técnica recibida, utilizada, almacenada o transferida para ellos, los documentos clave están sujetos a contabilidad de copias. La unidad de contabilidad de copias de documentos clave se considera un portador de claves reutilizable, un bloc de notas clave. Si el mismo medio de clave se usa repetidamente para registrar claves criptográficas, entonces debe registrarse por separado cada vez.
Las unidades de contabilidad de instancia pueden ser:
eToken (uds.) – portador de llaves;
JKarta (uds.) - portador de llaves;
Tacógrafo (uds.) - hardware en el que está instalado o conectado CIPF;
Bloque NKM (uds.) - hardware CIPF;
Formulario CIPF (copia) - documentación operativa o técnica.
13. En la Tabla 4 se presenta un ejemplo de cómo hacer una entrada en el Diario técnico (hardware).
Tabla 4
№ | fecha | Tipo y número de registro de CIPF | Registro de mantenimiento | Claves criptográficas usadas | Marca de destrucción (supresión) | Nota | ||||
Tipo de documento clave | Número de serie y copia del documento clave | Número de operador criptográfico | Fecha de destrucción | Responsable de la destrucción | ||||||
Dispositivo USB C-Terra "Post" Número de registro 2 | Cambiar PIN | dispositivo USB | 8544391000321DFA instancia 1 | |||||||
14. La contabilidad del CIPF, las herramientas de ES, la documentación operativa y técnica, los documentos clave y la información deben organizarse en medios de papel o en en formato electrónico utilizando un sistema de información automatizado, que debe ser determinado por orden del jefe de la organización, ver fig. una.
15. La transferencia de CIPF, documentación operativa y técnica a ellos, documentos clave, solo se permite bajo el acto de aceptación y transferencia y haciendo una entrada en los diarios correspondientes de contabilidad de copias.
16. Se recomienda que el usuario responsable de las herramientas criptográficas en la organización designe a un responsable de velar por la seguridad de los datos personales en sistema de informacion información personal.
17. Realización de operaciones directas para la contabilidad de CIPF, documentación operativa y técnica para los mismos, documentos clave, de conformidad con responsabilidades funcionales e instrucciones, se asigna al administrador de seguridad de la información o a una persona con responsabilidades funcionales relevantes.
______________________
Apéndice
a la Instrucción sobre el procedimiento de contabilización de la emisión y transferencia de medios de protección criptográfica
información, firma electrónica, documentación operativa y técnica y documentos clave
CUENTA PERSONAL DEL USUARIO DE CRYPTOS
_____________________________________________________________________________________________
(nombre de la organización o nombre completo y cargo del empleado)
№p\p | Nombre de los CIPF, documentación operativa y técnica de los mismos, documentos clave | Números de registro de CIPF, documentación operativa y técnica de los mismos, números de serie de documentos clave | Copia números (números criptográficos) de documentos clave | Número y fecha del documento adjunto a la recepción | Número y fecha del documento de acompañamiento en el momento de la transferencia | ejecutor responsable | Nota |
|
___________________________
LISTA DE REFERENCIA
Cantidad:
Precio: 35
Descuento: %?
Disponemos de un sistema de descuentos.
tome más - pague menos
al pedir a partir de 50 uds. - 5% de descuento
al pedir a partir de 100 uds. - 10% de descuento
al pedir a partir de 300 uds. - 15% de descuento
al pedir a partir de 500 uds. - 20% de descuento
al hacer un pedido a partir de 1000 uds. - 25% de descuento
Suma:
IVA incluido 20%
X
Volviste a pedir una revista delgada.
Quizás necesites una revista con más páginas y otras características.
Por favor use calculadora
Medios de protección de la información criptográfica (CIPF) hoy en día se utilizan en casi todas las empresas, ya sea al intercambiar datos con las contrapartes, o al comunicar y enviar órdenes de pago a un banco, utilizando el programa del banco cliente.
Pero no todo el mundo sabe que, según la ley, se deben tener en cuenta las claves de cifrado.
En este artículo, hablaré sobre la contabilidad para la protección de la información criptográfica y proporcionaré enlaces a actos legales de la Federación Rusa.
Las principales leyes que rigen el CIPF son:
Orden del Servicio Federal de Seguridad de la Federación Rusa del 9 de febrero de 2005 N 66 "Sobre la aprobación del Reglamento sobre el desarrollo, producción, venta y operación de herramientas de seguridad de la información de cifrado (criptográficas) (Reglamento PKZ-2005)"
Orden FAPSI de 13 de junio de 2001 N 152 "Por la que se aprueba la Instrucción sobre la organización y garantía de la seguridad del almacenamiento, procesamiento y transmisión a través de canales de comunicación que utilicen la protección criptográfica de la información de acceso limitado que no contenga información que constituya un secreto de Estado" y Anexo a la orden FAPSI RF del 13 de junio de 2001 N 152
Si observa la orden del FSB No. 66 en el apéndice en el párrafo 48, puede ver el siguiente contenido:
48. Los CIPF y sus prototipos están sujetos a contabilidad de copia utilizando índices o nombres condicionales y números de registro. La lista de índices (nombres convencionales) y números de registro para la contabilidad de copias de CIPF y sus prototipos está determinada por el FSB de Rusia.
La organización de la contabilidad instancia por instancia de los prototipos del CIPF se asigna al desarrollador del CIPF.
La organización de la contabilidad de copias de las herramientas de protección de información criptográfica fabricadas se asigna al fabricante de las herramientas de protección de información criptográfica.
La organización de la contabilidad instancia por instancia del CIPF utilizado se asigna al cliente del CIPF.
Esto significa que incluso si empresa sencilla, que no se dedica a la creación y venta de herramientas de protección de información criptográfica, decidió comprar varias llaves USB eToken, aún deben contabilizarse y asignarse al usuario final, es decir, al empleado. y en bastante motivos legales El FSB puede comprobar la contabilidad llegando a la oficina de cualquier empresa.
Esta contabilidad de medios de protección criptográfica de la información deberá llevarse en un diario especial, y mejor aún en forma adicional y electrónica, donde se deberá tener en cuenta la siguiente información:
1. lo que se emitió
2. sobre lo que emitieron
3. quien recibió
4. quien paso
5. marca de destrucción
Hay que tener en cuenta las propias claves electrónicas, portadores de claves, software que realiza transformaciones criptográficas de información, licencias para el derecho de uso de CIPF.
Así, el CIPF para la contabilidad debe dividirse en:
portador de llaves- un soporte físico de una determinada estructura, destinado a colocar información clave en él (información clave inicial). Se distingue entre un soporte de llave única (tabla, cinta perforada, tarjeta perforada, etc.) y un soporte de llave reutilizable (cinta magnética, disquete, CD, Data Key, Smart Card, Touch Memory, etc.).
documento clave- un soporte físico de una determinada estructura que contiene información clave (información clave inicial) y, si es necesario, información de control, de servicio y tecnológica; (de hecho, este es un medio con una clave secreta registrada)
Distribución CIPF- el propio software CryptoPro CSP, aquí debe tener en cuenta el número de distribución, que se puede encontrar en el formulario en el CIPF)
licencia CIPF- no es una herramienta de cifrado en sí, pero también debe tenerse en cuenta en el registro, ya que ha habido incidentes en los que las empresas fueron multadas por esto, y también escuché casos de casos penales que se iniciaron.
Por cierto, muchos discuten cuál es la diferencia entre un documento clave y un portador de claves. Alguien opina que el documento clave es en sí mismo un contenedor clave o información clave, y en principio esto es lógico, pero la descripción que hice más arriba fue tomada del anexo de la Orden FAPSI de 13 de junio de 2001 N 152, donde se indica claramente que se trata de un medio físico.
Por lo tanto, desde mi punto de vista personal, esto debe entenderse no solo como información clave en formato electrónico, sino como un medio físico con información clave registrada en él. En principio, esto no es difícil de tener en cuenta, ya que es posible indicar en el diario el número de transportista y el identificador de la clave secreta en un párrafo.
Adjunto a Resolución de FAPSI RF de 13 de junio de 2001 N 152, puede encontrar ejemplos de diarios típicos para contabilizar la protección de información criptográfica. http://base.garant.ru/183628/#block_1000
Mi y no solo mi opinión para la contabilidad es mejor llevar varios diarios:
Diario de contabilidad caso por caso de los kits de distribución de CIPF.
Diario de registro instancia por instancia de licencias para el derecho de uso de CIPF.
Diario de contabilidad de copia de documentos clave del CIPF.
Diario de contabilidad instancia por instancia de portadores de claves de hardware de CIPF.
En el diario de contabilidad instancia por instancia de kits de distribución de herramientas de protección de información criptográfica, CIPF se contabilizan por el número de kits de distribución registrados en el formulario del producto.
En el registro de copia por instancia de licencias para el derecho a utilizar herramientas de protección de información criptográfica, las herramientas de protección de información criptográfica se contabilizan por números de serie de licencias.
En el diario de contabilidad instancia por instancia de documentos clave de medios de protección de información criptográfica, CIPF se cuentan por números de token (y están impresos en cada token) o por números de disquete/unidad flash (números de serie de volúmenes que se pueden ver con el comando DIR), el nombre del criptocontenedor o el número de serie de la clave también se escribe en este registro.
En el diario de contabilidad instancia por instancia de portadores de claves de hardware de protección de información criptográfica, las herramientas de protección de información criptográfica se contabilizan mediante números de token (y están impresos en cada token). Es recomendable usar este registro únicamente para tokens almacenados que llegaron al almacén, pero que no se entregaron a nadie y no contienen información clave, o que se transfirieron, pero sin información clave.
Con el fin de simplificar la contabilidad, al recibir un número grande CIPF, debe solicitar información contable electrónicamente al proveedor o autoridad criptográfica, para no volver a imprimir estos números de serie manualmente.
Se pueden encontrar ejemplos de registros contables del CIPF al final del anexo de la orden de la FAPSI RF del 13 de junio de 2001 N 152.