Інструкція
про порядок обліку, видачі та передачі засобів криптографічного захисту
інформації, електронного підпису, експлуатаційно-технічної
документації та ключових документів
1. Облік засобів криптографічного захисту інформації (СКЗІ), експлуатаційно- технічної документаціїна СКЗІ, ключових документів та ЕП організується відповідно до вимог «Інструкції про організацію та забезпечення безпеки зберігання, обробки та передачі каналами зв'язку з використанням засобів криптографічного захисту інформації з обмеженим доступом, що не містять відомостей, що становлять державну таємницю», затвердженої наказом Федерального агентстваурядового зв'язку та інформації (ФАПСІ) при Президентові Російської Федераціївід 01.01.2001 № 152 (далі – Інструкція № 152), Правил використання СКЗІ, затверджених розробником СКЗІ.
2. Доставка СКЗІ в організацію повинна здійснюватися фельд'єгерським зв'язком (спецзв'язок), або безпосередньо співробітником самої організації, в такому самому порядку повинна здійснюватися передача СКЗІ кінцевому користувачеві згідно з п.32 Інструкції № 000.
3. Порядок упаковки СКЗД повинен відповідати вимогам п.33, п.34 Інструкції №000.
4. Передача СКЗІ оформляється актами приймання-передачі або підтверджується супровідними відвантажувальними документами.
5. При передачі СКЗІ уповноваженим нарочним, нарочный розписується в актах приймання-передачі СКЗІ, дата та номер акта заносяться до відповідних журналів обліку.
6. Поекземплярний облік СКЗІ, що надходять від розробників, виробників та постачальників СКЗІ, необхідно вести в Журналі поекземплярного обліку СКЗІ, експлуатаційної та технічної документації до них, ключових документів (для власника конфіденційної інформації) (п.26, Додаток Інструкції № 0). Облік ведеться відповідальним користувачем криптосредств.
7. Приклад внесення запису до Журналу поекземплярного обліку СКЗІ, експлуатаційної та технічної документації до них, ключових документів (для власника конфіденційної інформації) представлений у таблиці 1.
Таблиця 1.
№ п/п | Відмітка про отримання | Відмітка про видачу | Позначка про підключення (встановлення) СКЗІ | Позначка про вилучення СКЗІ з апаратних засобів, знищення ключових документів | Примітка |
||||||||||
Від кого отримано | Дата та номер супровідного листа | ПІБ користувача СКЗІ | ПІБ співробітників органу криптографічного захисту, користувача СКЗІ, що здійснили підключення (установку) | Дата підключення (установки) та підписи осіб, що здійснили підключення (установку) | Номер апаратних засобів, до яких встановлені або до яких підключені СКЗІ | Дата вилучення (знищення) | ПІБ співробітників органу криптографічного захисту, користувача СКЗІ, які здійснили вилучення (знищення) | Примітка |
|||||||
Тахограф Меркурій ТА-001 | 19С3А00113906524 | ТОВ "Інфоцентр" | №000 від 14.04.15 | ||||||||||||
USB-пристрій С-Терра «Пост» | 8544391000321DFA | ТОВ "Інфоцентр" | №000 від 14.04.15 | Термінальна станція Kraftway | |||||||||||
Карта тахографа "Діамант" | RUX1234567891234 | ТОВ "Інфоцентр" | №000 від 14.04.15 | Акт приймання-передачі від 01.01.2001 |
8. Усі передані стороннім організаціям екземпляри СКЗІ, експлуатаційної та технічної документації до них, ключових документів повинні бути видані за актом приймання-передачі та враховані у відповідному Журналі поекземплярного обліку СКЗІ, експлуатаційної та технічної документації до них, ключових документів (для органу (П.26, Додаток до Інструкції № 152). Облік ведеться відповідальним користувачем криптосредств.
9. Приклад внесення запису з обліку СКЗІ під час передачі сторонньої організації представлений у таблиці 2.
Таблиця 2.
№ п/п | Найменування СКЗІ, експлуатаційної та технічної документації до них, ключових документів | Серійні номери СКЗІ, експлуатаційної та технічної документації до них, номери серій ключових документів | Номери екземплярів (криптографічні номери) ключових документів | Відмітка про отримання | Відмітка про повернення | Дата введення в дію | Дата виведення з дії | Відмітка про знищення СКЗД, ключових документів | Примітка |
|||||||
Від кого отримано або ПІБ співробітника ОКЗ, який виготовив ключові документи | Дата та номер супровідного листа або дата виготовлення ключових документів та розписка у виготовленні | Кому розіслані | Дата та номер супровідного документа | Дата та номер підтвердження або розписка в отриманні | Дата та номер супровідного документа | Дата та номер підтвердження | Дата знищення | Номер акту або розписки про знищення | Примітка |
|||||||
Тахограф Меркурій ТА-001 | 19С3А00113906524 | ТОВ "Інфоцентр" | №000 від 14.04.15 | Акт видачі/повернення обладнання/ПЗ/Карт 000000027 від 01.01.2001 10:04:59 | Акт видачі/повернення обладнання/ПЗ/Карт 000000027 від 01.01.2001 10:04:59 | |||||||||||
Штірх ККМ | ТОВ "Інфоцентр" | №000 від 14.04.15 | ||||||||||||||
Тахограф Меркурій ТА-002 | 15С3А0078906111 | ТОВ "Інфоцентр" | №000 від 14.04.15 |
10. Відповідальний користувач криптозасобів заводить і веде на кожного користувача СКЗІ, (кожну організацію, кому передається СКЗІ) особовий рахунок, в якому реєструє СКЗІ, що числяться за ними, експлуатаційну і технічну документацію до них, ключові документи. Рекомендована типова формаособового рахунку користувача СКЗІ представлена у додатку до цієї Інструкції.
11. Приклад ведення особового рахунку користувача СКЗД представлений у таблиці 3.
Таблиця 3
Найменування СКЗІ, експлуатаційної та технічної документації до них, ключових документів | Номери екземплярів (криптографічні номери) ключових документів | Відповідальний виконавець | Примітка |
|||||
Тахограф Меркурій ТА-001 | 19С3А00113906524 | №000 від 14.04.15 | Акт видачі/повернення обладнання/ПЗ/Карт 000000027 від 01.01.2001 10:04:59 | |||||
Штірх ККМ | №000 від 14.04.15 | |||||||
Тахограф Меркурій ТА-002 | 15С3А0078906111 | №000 від 14.04.15 |
12. Усі отримані, використовувані, що зберігаються або передаються СКЗІ, експлуатаційна та технічна документація до них, ключові документи підлягають поекземплярному обліку. Одиницею поекземплярного обліку ключових документів вважається ключовий носій багаторазового використання, ключовий блокнот. Якщо один і той же ключовий носій багаторазово використовують для запису криптоключей, його щоразу слід реєструвати окремо.
Одиницями поекземплярного обліку можуть бути:
eToken (шт.) – ключовий носій;
JKarta (шт.) – ключовий носій;
Тахограф (шт.) - апаратний засіб, у який встановлені або до яких підключені СКЗІ;
Блок НКМ (шт.) - Апаратне СКЗІ;
Формуляр СКЗІ (екз.) - Експлуатаційна або технічна документація.
13. Приклад внесення запису до Технічного (апаратного) журналу наведено в таблиці 4.
Таблиця 4
№ | Дата | Тип та реєстраційний номер СКЗІ | Запис з обслуговування | Використовувані кріптоключі | Позначка про знищення (прання) | Примітка | ||||
Тип ключового документа | Серійний номер та екземпляр ключового документа | Номер носія крипто- | Дата знищення | Відповідальний за знищення | ||||||
USB-пристрій С-Терра «Пост» Реєстраційний номер 2 | Зміна PIN-коду | USB-пристрій | 8544391000321DFA екземпляр 1 | |||||||
14. Облік СКЗІ, засобів ЕП, експлуатаційної та технічної документації, ключових документів та інформації повинен бути організований на паперових носіяхабо в електронному виглядіза допомогою автоматизованої інформаційної системи, яка має бути визначена наказом керівника організації, див. рис. 1.
15. Передача СКЗІ, експлуатаційної та технічної документації до них, ключових документів допускається лише за актом приймання-передачі та внесення запису у відповідних журналах поекземплярного обліку.
16. Відповідальним користувачем криптозасобів в організації рекомендовано призначати відповідального за забезпечення безпеки персональних даних інформаційної системиперсональні дані.
17. Ведення безпосередніх операцій з обліку СКЗІ, експлуатаційної та технічної документації до них, ключових документів відповідно до функціональними обов'язкамита інструкціями, покладається на адміністратора безпеки інформації або особу з відповідними функціональними обов'язками.
______________________
додаток
до Інструкції про порядок обліку видачі та передачі засобів криптографічного захисту
інформації, електронного підпису, експлуатаційно-технічної документації та ключових документів
ЛИЦЕВИЙ РАХУНОК КОРИСТУВАЧА КРИПТОСРЕДСТВ
_____________________________________________________________________________________________
(найменування організації або ПІБ та посада співробітника)
№п\п | Найменування СКЗІ, експлуатаційної та технічної документації до них, ключових документів | Реєстраційні номери СКЗІ, експлуатаційної та технічної документації до них, номери серій ключових документів | Номери екземплярів (криптографічні номери) ключових документів | Номер та дата супровідного документа при отриманні | Номер та дата супровідного документа під час передачі | Відповідальний виконавець | Примітка |
|
___________________________
ЛИСТ ОЗНАЙОМЛЕННЯ
Кількість:
Ціна: 35
Знижка: %?
У нас діє система знижок
бери більше - плати менше
за замовленням від 50 шт. - знижка 5%
за замовленням від 100 шт. - знижка 10%
за замовленням від 300 шт. - знижка 15%
за замовленням від 500 шт. - знижка 20%
при замовленні від 1000 прим. - знижка 25%
Сума:
з урахуванням ПДВ 20%
X
Ви знову замовили тонкий журнал.
Можливо, Вам потрібен журнал із великою кількістю сторінок та іншими характеристиками.
Просимо скористатисякалькулятором
Засоби криптографічного захисту інформації (СКЗД)на сьогоднішній день застосовуються практично у всіх компаніях, чи то при обміні даними з контрагентами, або при зв'язку та відправленні платіжних доручень у банк, програмою банк клієнт.
Але не всі знають, що згідно із законом ключі шифрування мають враховуватися.
У цій статті я розповім про облік засобів криптографічного захисту інформації та наведу посилання на законні акти Російської Федерації.
Основними законами, які регулює СКЗІ є:
Наказ ФСБ РФ від 9 лютого 2005 р. N 66 "Про затвердження Положення про розробку, виробництво, реалізацію та експлуатацію шифрувальних (криптографічних) засобів захисту інформації (Положення ПКЗ-2005)"
Наказ ФАПСІ від 13 червня 2001 р. N 152 "Про затвердження Інструкції про організацію та забезпечення безпеки зберігання, обробки та передачі каналами зв'язку з використанням засобів криптографічного захисту інформації з обмеженим доступом, що не містить відомостей, що становлять державну таємницю" та Додаток до наказу ФАПСІ РФ від 13 червня 2001 р. N 152
Якщо подивитися наказ ФСБ №66 у додатку до пункту 48, можна побачити такий зміст:
48. СКЗІ та їх дослідні зразки підлягають поекземплярному обліку з використанням індексів або умовних найменувань та реєстраційних номерів. Перелік індексів (умовних найменувань) та реєстраційних номерів поекземплярного обліку СКЗІ та їх дослідних зразків визначає ФСБ Росії.
Організація поекземплярного обліку дослідних зразків СКЗІ доручається розробника СКЗИ.
Організація поекземплярного обліку виготовлених СКЗІ покладається на виробника СКЗІ.
Організація поекземплярного обліку використовуваних СКЗІ доручається замовника СКЗИ.
Це означає, що навіть якщо проста компанія, Не займається створенням та продажем засобів криптографічного захисту інформації вирішила придбати кілька USB-ключів eToken, то вони все одно повинні бути враховані та закріплені за кінцевим користувачем, тобто співробітником. Причому цілком законних підставахперевірити облік може ФСБ, приїхавши до офісу будь-якої компанії.
Даний облік засобів криптографічного захисту інформації повинен вестись у спеціальному журналі, а ще краще на додаток та в електронному вигляді, де мають бути враховані такі дані:
1. що видали
2. на чому видали
3. хто отримав
4. хто здав
5. відмітка про знищення
Враховувати слід самі електронні ключі, ключові носії, програмне забезпеченнящо робить криптографічні перетворення інформації, ліцензії на право використання СКЗД.
Таким чином СКЗІ для обліку слід розділити на:
Ключовий носій- фізичний носій певної структури, призначений розміщувати у ньому ключової інформації (вихідної ключової інформації). Розрізняють разовий ключовий носій (таблиця, перфострічка, перфокарта тощо) та ключовий носій багаторазового використання (магнітна стрічка, дискета, компакт-диск, Data Key, Smart Card, Touch Memory тощо).
Ключовий документ- фізичний носій певної структури, що містить ключову інформацію (вихідну ключову інформацію), а за необхідності – контрольну, службову та технологічну інформацію; (по суті це носій із записаним секретним ключем)
Дистрибутив СКЗІ- саме програмне забезпечення (наприклад КриптоПро CSP, тут слід врахувати номер дистрибутива, який можна знайти у формулярі на СКЗІ)
Ліцензія СКЗІ— сама по собі не є засобом шифрування, але її теж слід врахувати в журналі, оскільки були інциденти, коли компанії через це штрафували, а ще я чув випадки про порушення кримінальних справ.
До речі, у багатьох виникає суперечка, в чому ж різниця між ключовим документом і ключовим носієм. Хтось дотримується думки, що ключовий документ це сам по собі ключовий контейнер або ключова інформація, і в принципі це логічно, але той опис, який я навів вище, був взятий із додатка до Наказу ФАПСІ від 13 червня 2001 р. N 152, де чітко написано, що це фізичний носій.
Тому особисто на мій погляд це слід мати на увазі, як не просто ключова інформація в електронному вигляді, а фізичний носій із записаною на нього ключовою інформацією. У принципі це не важко врахувати, тому що можна в журналі вказати номер носія та ідентифікатор секретного ключа в одному пункті.
У додатку до наказом ФАПСІ РФ від 13 червня 2001 р. N 152, можна знайти приклади типових журналів з обліку засобів криптографічного захисту інформації http://base.garant.ru/183628/#block_1000
Моя і не тільки моя думка для обліку найкраще вести кілька журналів:
Журнал поекземплярного обліку дистрибутивів СКЗД.
Журнал поекземплярного обліку ліцензій на право використання СКЗД.
Журнал поекземплярного обліку ключових документів СКЗД.
Журнал поекземплярного обліку апаратних ключових носіїв СКЗД.
У журналі поекземплярного обліку дистрибутивів засобів криптографічного захисту інформації, СКЗІ обліковуються за номерами дистрибутивів, записаних у формулярі на виріб.
У журналі поекземплярного обліку ліцензій на право використання засобів криптографічного захисту інформації СКЗІ враховуються за серійними номерами ліцензій.
У журналі поекземплярного обліку ключових документів засобів криптографічного захисту інформації, СКЗІ враховуються за номерами токенів (а вони надруковані на кожному токені) або за номерами дискет/флешок (серійними номерами томів, які можна побачити за командою DIR), також у цьому журналі прописується ім'я крипто-контейнера або серійний номер ключа.
У журналі поекземплярного обліку апаратних ключових носіїв засобів криптографічного захисту інформації СКЗІ враховуються за номерами токенів (а вони надруковані на кожному токені). Цей журнал доцільно використовувати, чисто по токенам, які надійшли на склад, але нікому не видаються і не містять ключової інформації, або були передані, але без ключової інформації.
З метою спрощення обліку, при отриманні великої кількостіСКЗІ слід запитати облікову інформацію в електронному вигляді, у постачальника або криптографічного органу, щоб не передруковувати ці серійні номери вручну.
Приклади журналів обліку СКЗІ можна знайти наприкінці додатка до наказу ФАПСІ РФ від 13 червня 2001 р. N 152.