Instruire
privind procedura de contabilizare, eliberare și transfer de mijloace criptografice de protecție
informație, semnatura electronica, operaționale și tehnice
documentație și documente cheie
1. Contabilitate pentru protecția informațiilor criptografice (CIPF), operațional documentatie tehnica privind CIPF, documentele cheie și ES este organizată în conformitate cu cerințele „Instrucțiunilor privind organizarea și securitatea stocării, prelucrării și transmiterii prin canale de comunicație folosind protecția criptografică a informațiilor cu acces limitat care nu conține informații constitutive. secret de stat”, aprobat prin ordin agentie federala Comunicații și Informații Guvernamentale (FAPSI) în subordinea Președintelui Federația Rusă din 01.01.2001 Nr. 152 (denumită în continuare Instrucțiunea Nr. 152), Reguli de utilizare a CIPF, aprobate de către dezvoltatorul CIPF.
2. Livrarea CIPF către organizație trebuie să fie efectuată prin comunicare curier (comunicare specială), sau direct de către un angajat al organizației însăși, în același mod, CIPF trebuie să fie transferat utilizatorului final, în conformitate cu clauza 32 din Instrucțiunea nr.000.
3. Procedura de ambalare a CIPF trebuie să respecte cerințele clauzei 33, clauza 34 din Instrucțiunea nr. 000.
4. Transferul CIPF se formalizează prin certificate de acceptare, sau se confirmă prin documentele de expediere însoțitoare.
5. Când CIPF este transferat de către un curier autorizat, curierul semnează certificatele de acceptare și transfer ale CIPF, data și numărul actului sunt trecute în registrele relevante.
6. Contabilitatea de instanță a CIPF provenită de la dezvoltatori, producători și furnizori de CIPF trebuie ținută în Jurnalul de contabilitate de instanță al CIPF, documentația operațională și tehnică pentru aceștia, documentele cheie (pentru proprietarul informațiilor confidențiale) (clauza 26, Anexa Instrucțiuni). nr. 000). Contabilitatea este ținută de utilizatorul responsabil al instrumentelor criptografice.
7. Un exemplu de efectuare a unei înscrieri în Jurnalul de contabilitate individuală a CIPF, documentație operațională și tehnică pentru aceștia, documente cheie (pentru proprietarul informațiilor confidențiale) este prezentat în tabelul 1.
Tabelul 1.
Nu. p / p | marca de primire | Semn de emisie | Marca de conectare (instalare) CIPF | O notă despre retragerea protecției informațiilor criptografice din hardware, distrugerea documentelor cheie | Notă |
||||||||||
De la cine a primit | data si numarul scrisoare de intenție | Numele complet al utilizatorului CIPF | Numele complet al angajaților autorității de protecție criptografică, utilizatorul CIPF care a efectuat conexiunea (instalarea) | Data racordării (instalării) și semnăturile persoanelor care au efectuat racordarea (instalarea) | Numărul de hardware în care este instalat sau conectat CIPF | Data retragerii (distrugerii) | Numele complet al angajaților autorității de protecție criptografică, utilizatorul CIPF, care a efectuat retragerea (distrugerea) | Notă |
|||||||
Tahograf Mercur TA-001 | 19С3А00113906524 | SRL „Centrul de informații” | Nr.000 din 14.04.15 | ||||||||||||
Dispozitiv USB C-Terra „Post” | 8544391000321DFA | SRL „Centrul de informații” | Nr.000 din 14.04.15 | Stația terminală Kraftway | |||||||||||
Card tahograf „Diamond” | RUX1234567891234 | SRL „Centrul de informații” | Nr.000 din 14.04.15 | Certificat de acceptare si transfer din 01/01/2001 |
8. Toate copiile CIPF, documentația operațională și tehnică pentru acestea, documentele cheie transferate către terți trebuie să fie emise conform actului de acceptare și contabilizate în Jurnalul corespunzător de contabilitate individuală a CIPF, documentația operațională și tehnică. pentru acestea, documente cheie (pentru autoritatea de protecție criptografică) (p. 26, Anexa la Instrucțiunea nr. 152). Contabilitatea este ținută de utilizatorul responsabil al instrumentelor criptografice.
9. Un exemplu de efectuare a unei înregistrări pentru contabilitatea CIPF la transferul către o organizație terță este prezentat în tabelul 2.
Masa 2.
Nu. p / p | Denumirea CIPF, documentația operațională și tehnică a acestora, documentele cheie | Numerele de serie ale CIPF, documentația operațională și tehnică pentru acestea, numerele de serie ale documentelor cheie | Copiază numerele (numerele criptografice) ale documentelor cheie | marca de primire | nota de returnare | Data intrării în vigoare | Data de ieșire | Marcați despre distrugerea CIPF, documente cheie | Notă |
|||||||
De la cine a primit sau numele complet al angajatului OKZ care a întocmit documentele cheie | Data și numărul scrisorii de intenție sau data producerii documentelor cheie și a chitanței în producție | Cui a trimis | data si numarul document de însoțire | Data și numărul confirmării sau primirii primirii | Data și numărul documentului de însoțire | Data și numărul de confirmare | Data distrugerii | Numărul actului sau al primirii de distrugere | Notă |
|||||||
Tahograf Mercur TA-001 | 19С3А00113906524 | SRL „Centrul de informații” | Nr.000 din 14.04.15 | Certificat de eliberare / returnare echipament / software / carduri 000000027 din 01.01.2001 10:04:59 | Certificat de eliberare / returnare echipament / software / carduri 000000027 din 01.01.2001 10:04:59 | |||||||||||
Stirch KKM | SRL „Centrul de informații” | Nr.000 din 14.04.15 | ||||||||||||||
Tahograf Mercur TA-002 | 15С3А0078906111 | SRL „Centrul de informații” | Nr.000 din 14.04.15 |
10. Utilizatorul responsabil de instrumente criptografice deschide și menține pentru fiecare utilizator CIPF (fiecare organizație către care este transferat CIPF) un cont personal în care înregistrează CIPF care îi este atribuit, documentație operațională și tehnică pentru acesta, documente cheie. Recomandat tip formular contul personal al utilizatorului CIPF este prezentat în anexa la această instrucțiune.
11. Un exemplu de menținere a unui cont personal al unui utilizator CIPF este prezentat în tabelul 3.
Tabelul 3
Denumirea CIPF, documentația operațională și tehnică a acestora, documentele cheie | Copiază numerele (numerele criptografice) ale documentelor cheie | Executor responsabil | Notă |
|||||
Tahograf Mercur TA-001 | 19С3А00113906524 | Nr.000 din 14.04.15 | Certificat de eliberare / returnare echipament / software / carduri 000000027 din 01.01.2001 10:04:59 | |||||
Stirch KKM | Nr.000 din 14.04.15 | |||||||
Tahograf Mercur TA-002 | 15С3А0078906111 | Nr.000 din 14.04.15 |
12. Toate documentele primite, utilizate, stocate sau transmise CIPF, operaționale și tehnice pentru acestea, documentele cheie sunt supuse copierii contabile. Unitatea de contabilizare a copierii documentelor cheie este considerată a fi un suport de chei reutilizabil, un bloc de note cu cheie. Dacă același mediu de cheie este utilizat în mod repetat pentru a înregistra cheile cripto, atunci acesta ar trebui înregistrat separat de fiecare dată.
Unitățile contabile de exemplu pot fi:
eToken (buc.) – purtător de chei;
JKarta (buc.) - port chei;
Tahograf (buc.) - hardware în care este instalat sau conectat CIPF;
Bloc NKM (buc.) - hardware CIPF;
Formular CIPF (copie) - documentație operațională sau tehnică.
13. Un exemplu de realizare a unei intrări în jurnalul tehnic (hardware) este prezentat în Tabelul 4.
Tabelul 4
№ | Data | Tipul și numărul de înregistrare al CIPF | Fișa de întreținere | Chei criptografice folosite | marca de distrugere (ștergere) | Notă | ||||
Tip document cheie | Numărul de serie și copia documentului cheie | Numărul operatorului cripto | Data distrugerii | Responsabil de distrugere | ||||||
Dispozitiv USB C-Terra „Post” Numărul de înregistrare 2 | Schimba pin-ul | dispozitiv USB | 8544391000321DFA instanța 1 | |||||||
14. Contabilitatea pentru CIPF, instrumentele ES, documentația operațională și tehnică, documentele și informațiile cheie ar trebui organizate pe suport de hârtie sau în în format electronic folosind un sistem informatic automatizat, care trebuie determinat prin ordin al conducătorului organizaţiei, vezi fig. unu.
15. Transferul CIPF, documentația operațională și tehnică pentru acestea, documentele cheie este permisă numai în baza actului de acceptare și transfer și efectuarea unei înscrieri în jurnalele relevante de contabilitate de copiere.
16. Se recomandă ca utilizatorul responsabil al instrumentelor criptografice din organizație să numească o persoană responsabilă cu asigurarea securității datelor cu caracter personal în Sistem informatic date personale.
17. Efectuarea operațiunilor directe de contabilitate a CIPF, documentație operațională și tehnică pentru acestea, documente cheie, în conformitate cu responsabilități funcționaleși instrucțiuni, este atribuit administratorului de securitate a informațiilor sau unei persoane cu responsabilități funcționale relevante.
______________________
Apendice
la Instrucțiunea privind procedura de contabilizare pentru eliberarea și transferul mijloacelor de protecție criptografică
informații, semnătură electronică, documentație operațională și tehnică și documente cheie
CONT PERSONAL DE UTILIZATOR CRYPTOS
_____________________________________________________________________________________________
(numele organizației sau numele complet și funcția angajatului)
№p\p | Denumirea CIPF, documentația operațională și tehnică a acestora, documentele cheie | Numerele de înregistrare ale CIPF, documentația operațională și tehnică a acestora, numerele de serie ale documentelor cheie | Copiază numerele (numerele criptografice) ale documentelor cheie | Numărul și data documentului de însoțire la primire | Numărul și data documentului de însoțire la transfer | Executor responsabil | Notă |
|
___________________________
LISTA DE REFERINTE
Cantitate:
Preț: 35
Reducere: %?
Avem un sistem de reduceri
luați mai mult - plătiți mai puțin
la comanda de la 50 buc. - 5% reducere
la comanda de la 100 buc. - 10% reducere
la comanda de la 300 buc. - 15% reducere
la comanda de la 500 buc. - 20% reducere
la comanda de la 1000 buc. - 25% reducere
Sumă:
inclusiv TVA 20%
X
Ai comandat din nou o revistă subțire.
Poate ai nevoie de o revistă cu mai multe pagini și alte caracteristici.
Vă rugăm să utilizați calculator
Mijloace de protecție a informațiilor criptografice (CIPF) Astăzi sunt folosite în aproape toate companiile, fie la schimbul de date cu contrapărțile, fie la comunicarea și trimiterea ordinelor de plată către o bancă, folosind programul banca client.
Dar nu toată lumea știe că, conform legii, cheile de criptare trebuie luate în considerare.
În acest articol, voi vorbi despre contabilitatea pentru protecția informațiilor criptografice și voi oferi link-uri către actele juridice ale Federației Ruse.
Principalele legi care guvernează CIPF sunt:
Ordinul Serviciului Federal de Securitate al Federației Ruse din 9 februarie 2005 N 66 „Cu privire la aprobarea Regulamentului privind dezvoltarea, producerea, vânzarea și funcționarea instrumentelor de securitate a informațiilor de criptare (criptografice) (Regulamentul PKZ-2005)”
Ordinul FAPSI din 13 iunie 2001 N 152 „Cu privire la aprobarea Instrucțiunii privind organizarea și asigurarea securității stocării, prelucrării și transmiterii prin canalele de comunicare prin intermediul protecției criptografice a informațiilor cu acces limitat care nu conțin informații constitutive de secret de stat” și Anexă. la ordinul FAPSI RF din 13 iunie 2001 N 152
Dacă vă uitați la ordinul FSB nr. 66 din anexa la paragraful 48, puteți vedea următorul conținut:
48. CIPF și prototipurile lor sunt supuse copierii contabile folosind indici sau nume condiționate și numere de înregistrare. Lista de indici (nume convenționale) și numere de înregistrare pentru contabilizarea copiei a CIPF și a prototipurilor acestora este determinată de FSB al Rusiei.
Organizarea contabilității copie-pe-instanță a prototipurilor CIPF este atribuită dezvoltatorului CIPF.
Organizarea contabilității de copiere a instrumentelor de protecție a informațiilor criptografice fabricate este atribuită producătorului de instrumente de protecție a informațiilor criptografice.
Organizarea contabilității în funcție de instanță a CIPF utilizat este atribuită clientului CIPF.
Aceasta înseamnă că chiar dacă simpla companie, care nu este implicată în crearea și vânzarea instrumentelor de protecție a informațiilor criptografice, a decis să achiziționeze mai multe chei USB eToken, acestea trebuie în continuare contabilizate și atribuite utilizatorului final, adică angajatului. Și destul temeiuri legale FSB poate verifica contabilitatea ajungând la sediul oricărei companii.
Această contabilitate a mijloacelor de protecție criptografică a informațiilor ar trebui ținută într-un jurnal special, și chiar mai bine în plus și în formă electronică, unde ar trebui să se țină seama de următoarele informații:
1. ce a fost emis
2. asupra a ceea ce au emis
3. care a primit
4. care a trecut
5. marca de distrugere
Este necesar să se ia în considerare cheile electronice în sine, purtătorii de chei, software care realizează transformări criptografice ale informațiilor, licențe pentru dreptul de utilizare a CIPF.
Astfel, CIPF pentru contabilitate ar trebui împărțit în:
purtător de chei- un purtător fizic al unei anumite structuri, destinat să plaseze informații cheie pe aceasta (informații cheie inițiale). Se face distincție între un singur suport de cheie (masă, bandă perforată, card perforat etc.) și un mediu de cheie reutilizabil (bandă magnetică, dischetă, CD, cheie de date, card inteligent, memorie tactilă etc.).
document cheie- un purtător fizic al unei anumite structuri care conține informații cheie (informații cheie inițiale) și, dacă este necesar, informații de control, servicii și tehnologice; (de fapt, acesta este un mediu cu o cheie secretă înregistrată)
Distributie CIPF- software-ul în sine CryptoPro CSP, aici ar trebui să țineți cont de numărul de distribuție, care se găsește în formularul de pe CIPF)
Licență CIPF- nu este un instrument de criptare în sine, dar ar trebui luat în considerare și în jurnal, întrucât au fost incidente când companiile au fost amendate din această cauză și am auzit și cazuri de inițiere de dosare penale.
Apropo, mulți se ceartă despre care este diferența dintre un document cheie și un transportator de chei. Cineva este de părere că documentul cheie este în sine un container cheie sau o informație cheie și, în principiu, acest lucru este logic, dar descrierea pe care am dat-o mai sus a fost preluată din anexa la Ordinul FAPSI din 13 iunie 2001 N 152, unde se precizează clar că acesta este un mediu fizic.
Prin urmare, din punctul meu de vedere personal, aceasta ar trebui înțeleasă ca nu doar informații cheie în formă electronică, ci un mediu fizic cu informații cheie înregistrate pe acesta. În principiu, acest lucru nu este greu de luat în considerare, deoarece este posibil să se indice în jurnal numărul de transportator și identificatorul cheii secrete într-un singur paragraf.
Atasat la Ordinul FAPSI RF din 13 iunie 2001 N 152, puteți găsi exemple de jurnale tipice pentru contabilitate pentru protecția informațiilor criptografice. http://base.garant.ru/183628/#block_1000
Părerea mea și nu numai a mea pentru contabilitate este cel mai bine să țin mai multe jurnale:
Jurnalul de contabilitate exemplu cu instanță a truselor de distribuție CIPF.
Jurnalul inregistrarii instanta cu instanta a licentelor pentru dreptul de utilizare a CIPF.
Jurnalul de copiere a contabilității documentelor cheie ale CIPF.
Jurnalul de contabilitate instanț-cu-instanță a purtătorilor de chei hardware ai CIPF.
În jurnalul de contabilitate instanță cu instanță a truselor de distribuție a instrumentelor de protecție a informațiilor criptografice, CIPF sunt contabilizate după numărul de truse de distribuție înregistrate în formularul pentru produs.
În registrul de licențe copie-pe-instanță pentru dreptul de utilizare a instrumentelor de protecție a informațiilor criptografice, instrumentele de protecție a informațiilor criptografice sunt contabilizate prin numerele de serie ale licențelor.
În jurnalul de contabilitate instanță cu instanță a documentelor cheie ale mijloacelor de protecție a informațiilor criptografice, CIPF sunt numărate după numere de jeton (și sunt imprimate pe fiecare jeton) sau după numere de dischetă/unități flash (numerele de serie ale volumelor care pot fi văzute cu comanda DIR), numele cripto-containerului sau numărul de serie al cheia este scrisă și în acest jurnal.
În jurnalul de contabilitate instanț-cu-instanță a purtătorilor de chei hardware de protecție a informațiilor criptografice, instrumentele de protecție a informațiilor criptografice sunt contabilizate prin numere de simbol (și sunt tipărite pe fiecare jeton). Este recomandabil să folosiți acest jurnal exclusiv pentru token-urile stocate care au ajuns la depozit, dar nu sunt emise nimănui și nu conțin informații cheie, sau au fost transferate, dar fără informații cheie.
Pentru a simplifica contabilitatea, la primire un numar mare CIPF, ar trebui să solicitați informații contabile electronic de la furnizor sau de la autoritatea criptografică, pentru a nu retipări manual aceste numere de serie.
Exemple de jurnalele contabile ale CIPF pot fi găsite la sfârșitul anexei la ordinul RF FAPSI din 13 iunie 2001 N 152.