Utasítás
a kriptográfiai védelmi eszközök elszámolásának, kiadásának és átadásának rendjéről
információ, Elektronikus aláírás, működési és műszaki
dokumentációt és a legfontosabb dokumentumokat
1. A kriptográfiai információvédelem (CIPF) elszámolása, működőképes technikai dokumentáció a CIPF-en, a kulcsdokumentumokat és az ES-t az „Útmutató a tárolás, feldolgozás és kommunikációs csatornákon keresztül történő továbbításának megszervezésére és biztonságára vonatkozó, korlátozott hozzáférésű, olyan információkat nem tartalmazó információk kriptográfiai védelmét alkalmazó továbbítására vonatkozó utasítások” követelményei szerint szervezik. államtitok”, végzéssel jóváhagyva szövetségi ügynökség Kormányzati Kommunikáció és Tájékoztatás (FAPSI) az elnök alatt Orosz Föderáció 2001.01.01. keltezésű, 152. sz. (a továbbiakban: 152. számú utasítás), a CIPF használatának szabályai, a CIPF fejlesztője által jóváhagyott.
2. A CIPF-nek a szervezethez történő eljuttatását futárszolgálattal (speciális kommunikáció), vagy közvetlenül magának a szervezet alkalmazottjának kell végrehajtania, azonos módon, a CIPF-et a végfelhasználónak kell átadni, a záradéknak megfelelően. 000. számú utasítás 32. -a.
3. A CIPF csomagolási eljárásának meg kell felelnie a 000. számú utasítás 33., 34. pontjában foglalt követelményeknek.
4. A CIPF átadását átvételi igazolások formálják, vagy a kísérő szállítási okmányok igazolják.
5. A CIPF felhatalmazott futár általi átadása esetén a futár a CIPF átvételi és átadási igazolásaiban aláírja magát, az aktus dátuma és száma bekerül a megfelelő nyilvántartásokba.
6. A CIPF fejlesztőitől, gyártóitól és beszállítóitól származó CIPF példányszámítását a Példánykönyvben kell vezetni a CIPF könyvelése, az ezekre vonatkozó működési és műszaki dokumentáció, a legfontosabb dokumentumok (a bizalmas információk tulajdonosa számára) (26. pont, Függelék Utasítás 000. sz.). A könyvelést a kriptográfiai eszközök felelős felhasználója vezeti.
7. A CIPF egyéni számviteli, működési és műszaki dokumentációja, a kulcsdokumentumok (a bizalmas információk tulajdonosa számára) naplóba történő bejegyzésének példája az 1. táblázatban látható.
Asztal 1.
sz. p / p | nyugtajel | Kiadási jel | Csatlakozás (telepítés) jele CIPF | Megjegyzés a kriptográfiai információvédelem hardvertől való visszavonásáról, a kulcsfontosságú dokumentumok megsemmisítéséről | jegyzet |
||||||||||
Kitől kapott | dátum és szám kísérő levél | A CIPF felhasználó teljes neve | A kriptográfiai védelmi hatóság alkalmazottainak, a CIPF felhasználójának teljes neve, aki a kapcsolatot (telepítést) végezte | A csatlakozás (telepítés) dátuma és a csatlakozást (telepítést) végző személyek aláírása | Azon hardverek száma, amelyekre a CIPF telepítve van vagy csatlakoztatva van | A visszavonás (megsemmisítés) dátuma | A kriptográfiai védelmi hatóság, a CIPF felhasználójának a visszavonást (megsemmisítést) végző alkalmazottainak teljes neve | jegyzet |
|||||||
Mercury TA-001 tachográf | 19С3А00113906524 | LLC "Infocenter" | 000. sz., 15.04.14 | ||||||||||||
USB-eszköz C-Terra "Post" | 8544391000321DFA | LLC "Infocenter" | 000. sz., 15.04.14 | Kraftway végállomás | |||||||||||
"Diamond" tachográf kártya | RUX1234567891234 | LLC "Infocenter" | 000. sz., 15.04.14 | Átvételi és átadási igazolás 2001.01.01 |
8. A CIPF minden másolatát, az ezekre vonatkozó üzemeltetési és műszaki dokumentációt, a harmadik félnek átadott kulcsfontosságú dokumentumokat az átvételi okirat szerint kell kiállítani és elszámolni a megfelelő CIPF esetenkénti könyvelési, üzemeltetési és műszaki dokumentációjában. számukra kulcsdokumentumok (a kriptográfiai védelmi hatóság számára) (26. o., 152. számú utasítás melléklete). A könyvelést a kriptográfiai eszközök felelős felhasználója vezeti.
9. A 2. táblázat egy példát mutat be a CIPF könyvelésére vonatkozó bejegyzés végrehajtására harmadik fél szervezetnek történő átutaláskor.
2. táblázat.
sz. p / p | A CIPF neve, működési és műszaki dokumentációjuk, kulcsdokumentumok | CIPF-ek sorszámai, működési és műszaki dokumentációjuk, kulcsdokumentumok sorozatszámai | Másolja a kulcsdokumentumok számát (kriptográfiai számait). | nyugtajel | visszáru | Hatálybalépés időpontja | Kilépés dátuma | Jelölés a CIPF, kulcsfontosságú dokumentumok megsemmisítéséről | jegyzet |
|||||||
Kitől kapta vagy a kulcsdokumentumokat készítő OKZ-s munkatárs teljes neve | A kísérőlevél dátuma és száma vagy a kulcsfontosságú dokumentumok bemutatásának és a kézhezvételnek a dátuma | Kinek küldték | dátum és szám kísérő okmány | Az átvétel visszaigazolásának vagy átvételének dátuma és száma | A kísérőokmány dátuma és száma | Dátum és visszaigazolási szám | A megsemmisítés dátuma | A megsemmisítésről szóló cselekmény vagy nyugta száma | jegyzet |
|||||||
Mercury TA-001 tachográf | 19С3А00113906524 | LLC "Infocenter" | 000. sz., 15.04.14 | Kibocsátó tanúsítvány / felszerelés / szoftver / kártyák visszaküldése 000000027 2001.01.01. 10:04:59 | Kibocsátó tanúsítvány / felszerelés / szoftver / kártyák visszaküldése 000000027 2001.01.01. 10:04:59 | |||||||||||
Stirch KKM | LLC "Infocenter" | 000. sz., 15.04.14 | ||||||||||||||
Mercury TA-002 tachográf | 15С3А0078906111 | LLC "Infocenter" | 000. sz., 15.04.14 |
10. A kriptográfiai eszközök felelős használója minden CIPF felhasználó számára (minden szervezet, amelyre a CIPF átkerül) személyes fiókot nyit és vezet, amelyen regisztrálja a hozzájuk rendelt CIPF-et, a számukra szükséges működési és műszaki dokumentációt, kulcsdokumentumokat. Ajánlott típusú űrlap a CIPF-felhasználó személyes fiókja a jelen Útmutató mellékletében található.
11. Egy CIPF-felhasználó személyes fiókjának karbantartására a 3. táblázatban látható példa.
3. táblázat
A CIPF neve, működési és műszaki dokumentációjuk, kulcsdokumentumok | Másolja a kulcsdokumentumok számát (kriptográfiai számait). | Felelős végrehajtó | jegyzet |
|||||
Mercury TA-001 tachográf | 19С3А00113906524 | 000. sz., 15.04.14 | Kibocsátó tanúsítvány / felszerelés / szoftver / kártyák visszaküldése 000000027 2001.01.01. 10:04:59 | |||||
Stirch KKM | 000. sz., 15.04.14 | |||||||
Mercury TA-002 tachográf | 15С3А0078906111 | 000. sz., 15.04.14 |
12. Minden átvett, használt, tárolt vagy továbbított CIPF, az ezekre vonatkozó működési és műszaki dokumentáció, kulcsdokumentum másolati elszámolás alá tartozik. A kulcsdokumentumok másolat-elszámolási egysége egy újrafelhasználható kulcshordozó, egy kulcsjegyzettömb. Ha ugyanazt a kulcshordozót ismételten használják titkosítási kulcsok rögzítésére, akkor azt minden alkalommal külön kell regisztrálni.
A példányszámviteli egységek lehetnek:
eToken (db) – kulcshordozó;
JKarta (db) - kulcstartó;
Tachográf (db) - hardver, amelybe a CIPF telepítve van vagy csatlakoztatva van;
NKM blokk (db) - hardver CIPF;
CIPF nyomtatvány (másolat) - működési vagy műszaki dokumentáció.
13. A Műszaki (hardver) naplóba történő bejegyzés készítésének példája a 4. táblázatban látható.
4. táblázat
№ | dátum | A CIPF típusa és regisztrációs száma | Karbantartási jegyzőkönyv | Használt titkosítási kulcsok | Megsemmisítési jel (törlés) | jegyzet | ||||
Kulcs dokumentumtípus | Sorozatszám és kulcsdokumentum másolat | A kriptográfiai szolgáltató száma | A megsemmisítés dátuma | Felelős a pusztításért | ||||||
USB-eszköz C-Terra "Post" Regisztrációs szám 2 | PIN módosítása | USB eszköz | 8544391000321DFA 1. példány | |||||||
14. A CIPF, az ES eszközök, az üzemeltetési és műszaki dokumentáció, a legfontosabb dokumentumok és információk elszámolását papír hordozó vagy be elektronikus formátumban automatizált információs rendszer használatával, amelyet a szervezet vezetőjének utasítására kell meghatározni, lásd az ábrát. egy.
15. A CIPF, az ezekre vonatkozó üzemeltetési és műszaki dokumentáció, kulcsdokumentumok átadása csak az átvételi és átadási aktus, valamint a megfelelő példányszámviteli naplókba történő bejegyzés alapján megengedett.
16. Javasoljuk, hogy a kriptográfiai eszközök felelős felhasználója a szervezetben jelöljön ki egy személyt, aki a személyes adatok biztonságának biztosításáért felelős. tájékoztatási rendszer személyes adatok.
17. Közvetlen műveletek lebonyolítása a CIPF elszámolására, az ezekre vonatkozó működési és műszaki dokumentációra, kulcsdokumentumokra, a funkcionális felelősségekés utasításokat, az információbiztonsági adminisztrátorhoz vagy egy megfelelő funkcionális felelősséggel rendelkező személyhez van rendelve.
______________________
Függelék
a kriptográfiai védelmi eszközök kiadása és átadása elszámolásának rendjéről szóló utasításhoz
információk, elektronikus aláírás, működési és műszaki dokumentáció és kulcsdokumentumok
CRYPTOS FELHASZNÁLÓI SZEMÉLYES FIÓK
_____________________________________________________________________________________________
(a szervezet neve vagy az alkalmazott teljes neve és beosztása)
№p\n | A CIPF neve, működési és műszaki dokumentációjuk, kulcsdokumentumok | CIPF regisztrációs számai, működési és műszaki dokumentációjuk, kulcsdokumentumok sorozatszámai | Másolja a kulcsdokumentumok számát (kriptográfiai számait). | Az átvételkor a kísérőokmány száma és kelte | Az átadáskor a kísérőokmány száma és kelte | Felelős végrehajtó | jegyzet |
|
___________________________
REFERENCIALISTA
Mennyiség:
Ár: 35
Kedvezmény: %?
Kedvezményrendszerünk van
vegyen többet - fizessen kevesebbet
rendeléskor 50 db-tól. - 5% kedvezmény
rendeléskor 100 db-tól. - 10% kedvezmény
rendeléskor 300 db-tól. - 15% kedvezmény
rendeléskor 500 db-tól. - 20% kedvezmény
rendeléskor 1000 db-tól. - 25% kedvezmény
Összeg:
áfával 20%
x
Megint egy vékony magazint rendeltél.
Talán szüksége van egy magazinra több oldallal és egyéb jellemzőkkel.
Kérlek használd számológép
A kriptográfiai információvédelem eszközei (CIPF) Ma már szinte minden cégnél alkalmazzák, akár a partnerekkel való adatcserénél, akár a fizetési megbízások bank felé történő kommunikálásánál és küldésénél, az ügyfélbank program segítségével.
De nem mindenki tudja, hogy a törvény szerint a titkosítási kulcsokat figyelembe kell venni.
Ebben a cikkben a kriptográfiai információk védelmének elszámolásáról fogok beszélni, és hivatkozásokat biztosítok az Orosz Föderáció jogi aktusaihoz.
A CIPF-re vonatkozó főbb törvények a következők:
Az Orosz Föderáció Szövetségi Biztonsági Szolgálatának 2005. február 9-i N 66 rendelete "A titkosítási (kriptográfiai) információbiztonsági eszközök fejlesztéséről, előállításáról, értékesítéséről és üzemeltetéséről szóló rendelet jóváhagyásáról (PKZ-2005 rendelet)"
FAPSI 2001. június 13-i N 152. számú „Az államtitkot nem tartalmazó, korlátozott hozzáférésű információk titkosítási védelmét alkalmazó kommunikációs csatornákon történő tárolásának, feldolgozásának és továbbításának megszervezéséről és biztonságának biztosításáról szóló utasítás jóváhagyásáról” és a függelék. a 2001. június 13-án kelt N 152 RF FAPSI-megrendeléshez
Ha megnézi az FSB 66. számú végzését a 48. pont függelékében, akkor a következő tartalmat láthatja:
48. A CIPF-re és prototípusaira indexek vagy feltételes nevek használatával történő másolatszámítás vonatkozik regisztrációs számokat. Az indexek (hagyományos nevek) és regisztrációs számok listáját a CIPF és prototípusaik másolatának könyveléséhez az orosz FSB határozza meg.
A CIPF prototípusai példányonkénti elszámolásának megszervezése a CIPF fejlesztőjére van bízva.
A legyártott kriptográfiai információvédelmi eszközök másoláselszámolásának megszervezése a kriptográfiai információvédelmi eszközök gyártójára van bízva.
A használt CIPF példányonkénti elszámolásának megszervezése a CIPF ügyfeléhez van rendelve.
Ez azt jelenti, hogy még akkor is egyszerű társaság, amely nem vesz részt a kriptográfiai információvédelmi eszközök létrehozásában és értékesítésében, több eToken USB kulcs vásárlása mellett döntött, ezeket továbbra is el kell számolni és hozzá kell rendelni a végfelhasználóhoz, vagyis a munkavállalóhoz. És egészen jogi indokok Az FSB bármely cég irodájába megérkezve ellenőrizheti a könyvelést.
Az információ kriptográfiai védelmének ezen eszközeinek könyvelését egy speciális naplóban kell vezetni, és még jobb, ha elektronikus formában, ahol a következő információkat kell figyelembe venni:
1. amit kiadtak
2. amit kiadtak
3. aki megkapta
4. aki átment
5. a pusztulás nyoma
Figyelembe kell venni magukat az elektronikus kulcsokat, a kulcshordozókat, szoftver amely az információk kriptográfiai átalakításait végzi, licenceket a CIPF használati jogához.
Így a számviteli CIPF-et a következőkre kell osztani:
kulcshordozó- egy bizonyos szerkezetű fizikai hordozó, amely kulcsfontosságú információk elhelyezésére szolgál (kezdeti kulcsinformáció). Különbséget tesznek az egykulcsos adathordozók (asztal, lyukszalag, lyukkártya stb.) és az újrafelhasználható kulcshordozók (mágnesszalag, hajlékonylemez, CD, adatkulcs, intelligens kártya, érintőmemória stb.) között.
kulcsfontosságú dokumentum- kulcsinformációkat (kezdeti kulcsinformációkat), és szükség esetén vezérlési, szolgáltatási és technológiai információkat tartalmazó, meghatározott szerkezetű fizikai hordozó; (valójában ez egy rögzített titkos kulccsal rendelkező adathordozó)
Elosztás CIPF- maga a szoftver CryptoPro CSP, itt figyelembe kell venni a terjesztési számot, amely a CIPF-en található űrlapon található)
CIPF licenc- önmagában nem titkosító eszköz, de a naplóban is figyelembe kell venni, hiszen voltak olyan esetek, amikor emiatt pénzbírságot szabtak ki cégeknek, illetve hallottam olyan esetről is, amikor büntetőeljárás indult.
Egyébként sokan vitatkoznak azon, hogy mi a különbség a kulcsdokumentum és a kulcshordozó között. Valaki azon a véleményen van, hogy a kulcsdokumentum önmagában egy kulcstároló vagy kulcsinformáció, és ez elvileg logikus is, de a leírás, amit fent adtam, a 2001. június 13-i N 152 FAPSI-rendelet mellékletéből származik, ahol egyértelműen ki van írva, hogy ez egy fizikai közeg.
Ezért személyes álláspontom szerint ez alatt nem csupán elektronikus formában lévő kulcsfontosságú információkat kell érteni, hanem olyan fizikai adathordozót, amelyen kulcsfontosságú információkat rögzítenek. Ezt elvileg nem nehéz figyelembe venni, hiszen a naplóban lehetséges egy bekezdésben feltüntetni a hordozószámot és a titkos kulcs azonosítóját.
Csatolt A FAPSI RF 2001. június 13-i végzése N 152, találhat példákat tipikus folyóiratokra a kriptográfiai információk védelmére. http://base.garant.ru/183628/#block_1000
Az én véleményem és nem csak az én számviteli véleményem a legjobb, ha több naplót vezetek:
A CIPF terjesztési készletek példányonkénti elszámolásának naplója.
A CIPF használati jogához szükséges licencek példányonkénti nyilvántartásának naplója.
A CIPF legfontosabb dokumentumainak másolati könyvelési naplója.
A CIPF hardverkulcs-hordozóinak példányonkénti elszámolásának naplója.
A kriptográfiai információvédelmi eszközök terjesztési készleteinek példányonkénti elszámolásának naplójában, a CIPF-et a termékhez tartozó űrlapon rögzített elosztókészletek száma határozza meg.
A kriptográfiai információvédelmi eszközök használati jogára vonatkozó engedélyek példányonkénti nyilvántartásában a kriptográfiai információvédelmi eszközök az engedélyek sorszáma szerint kerülnek elszámolásra.
A kriptográfiai információvédelmi eszközök kulcsdokumentumainak példányonkénti elszámolásának naplójában, a CIPF-eket tokenszámok (és minden tokenre rá vannak nyomtatva) vagy floppy/flash drive számok (a kötetek DIR paranccsal látható sorozatszámai), a kriptotároló neve vagy a a kulcs is be van írva ebbe a naplóba.
A kriptográfiai információvédelem hardverkulcshordozóinak példányonkénti elszámolásának naplójában a kriptográfiai információvédelmi eszközöket tokenszámok alapján könyvelik el (és ezek mindegyik tokenre rá vannak nyomtatva). Célszerű ezt a naplót kizárólag a raktárba érkezett, de senkinek ki nem bocsátott és kulcsfontosságú információkat nem tartalmazó tárolt tokenekhez használni, vagy átvitték, de kulcsinformáció nélkül.
A könyvelés egyszerűsítése érdekében átvételkor egy nagy szám CIPF, elektronikusan kell kérnie a számviteli információkat a szállítótól vagy a kriptográfiai hatóságtól, hogy ne nyomtassa ki ezeket a sorozatszámokat manuálisan.
Példák a CIPF könyvelési naplókra a FAPSI RF 2001. június 13-án kelt N 152. számú végzésének mellékletének végén találhatók.