Журнал учета скзи

Комплект документов по СКЗИ предназначен для обладателей конфиденциальной информации, которые приняли решение о необходимости криптографической защиты такой информации.
Документы подготовлены с учетом требований
— Приказа ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
— Приказа Федеральной службы безопасности Российской Федерации от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».
Порядок применения документов:
1. Приказом утверждаются:
Ответственный за эксплуатацию СКЗИ в организации;
Перечень сотрудников, допущенных к работе с СКЗИ;
Инструкция пользователя СКЗИ.
2. Заводится журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов. В нем учитываются все СКЗИ организации: дистрибутивы СКЗИ, установленные программные и программно-аппаратные СКЗИ, ключевые дистрибутивы СКЗИ и т.д.
Для установленных программных и программно-аппаратных СКЗИ отметки о подключении (установке) проставляет орган криптографической защиты, имеющий лицензию ФСБ РФ на данный вид деятельности. Либо вписываются реквизиты акта ввода в эксплуатацию СКЗИ органа криптографической защиты.
3. Заводится журнал учета лиц, допущенных к работе с СКЗИ в организации. При заполнении вносится перечень СКЗИ, к которым допущен пользователь.
4. Заводится журнал учета ключей от помещений, где размещены СКЗИ.
5. При установке программных и программно-аппаратных СКЗИ помимо акта ввода в эксплуатацию СКЗИ органом криптографической защиты оформляется заключение о допуске пользователя СКЗИ к самостоятельной работе.
Ниже приведены формы указанных документов.

Инструкция о порядке учета, выдачи и передачи средств криптографической защиты информации, электронной подписи, эксплуатационно-технической документации и ключевых документов

Инструкция

о порядке учета, выдачи и передачи средств криптографической защиты

информации, электронной подписи, эксплуатационно-технической

документации и ключевых документов

1. Учет средств криптографической защиты информации (СКЗИ), эксплуатационно-технической документации на СКЗИ, ключевых документов и ЭП организуется в соответствии с требованиями «Инструкции об организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащих сведений, составляющих государственную тайну», утвержденной приказом Федерального агентства правительственной связи и информации (ФАПСИ) при Президенте Российской Федерации от 01.01.2001 № 152 (далее – Инструкция № 152), Правилами использования СКЗИ, утвержденными разработчиком СКЗИ.

2. Доставка СКЗИ в организацию должна осуществляться фельдъегерской связью (спецсвязь), либо непосредственно сотрудником самой организации, в таком же порядке должна осуществляться передача СКЗИ конечному пользователю, согласно п.32 Инструкции № 000.

3. Порядок упаковки СКЗИ должен соответствовать требованиям п.33, п.34 Инструкции № 000.

4. Передача СКЗИ оформляется актами приема-передачи, либо подтверждается сопроводительными отгрузочными документами.

5. При передаче СКЗИ уполномоченным нарочным, нарочный расписывается в актах приема-передачи СКЗИ, дата и номер акта заносятся в соответствующие журналы учета.

6. Поэкземплярный учет СКЗИ, поступающих от разработчиков, изготовителей и поставщиков СКЗИ необходимо вести в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации) (п.26, Приложение Инструкции № 000). Учет ведется ответственным пользователем криптосредств.

7. Пример внесения записи в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации) представлен в таблице 1.

Таблица 1.

№ п/пНаименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документовСерийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документовНомера экземпляров (криптографические номера) ключевых документов

8. Все передаваемые сторонним организациям экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы по акту приема-передачи и учтены в соответствующем Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для органа криптографической защиты) (п.26, Приложение к Инструкции № 152). Учет ведется ответственным пользователем криптосредств.

9. Пример внесения записи по учету СКЗИ при передаче сторонней организации представлен в таблице 2.

Таблица 2.

№ п/пНаименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документовСерийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документовНомера экземпляров (криптографические номера) ключевых документов

10. Ответственный пользователь криптосредств заводит и ведет на каждого пользователя СКЗИ, (каждую организацию, кому передается СКЗИ) лицевой счет, в котором регистрирует числящиеся за ними СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы. Рекомендуемая типовая форма лицевого счета пользователя СКЗИ представлена в приложении к настоящей Инструкции.

11. Пример ведения лицевого счета пользователя СКЗИ представлен в таблице 3.

Таблица 3

12. Все полученные, используемые, хранимые или передаваемые СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету. Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования, ключевой блокнот. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно.

Единицами поэкземплярного учета могут быть:

eToken (шт.) – ключевой носитель;

JKarta (шт.) – ключевой носитель;

Тахограф (шт.) — аппаратное средство, в которое установлены или к которым подключены СКЗИ;

Блок НКМ (шт.) – аппаратное СКЗИ;

Формуляр СКЗИ (экз.) – эксплуатационная или техническая документация.

13. Пример внесения записи в Технический (аппаратный) журнал представлен в таблице 4.

Таблица 4

14. Учет СКЗИ, средств ЭП, эксплуатационной и технической документации, ключевых документов и информации должен быть организован на бумажных носителях или в электронном виде с помощью автоматизированной информационной системы, которая должна быть определена приказом руководителя организации, см. рис. 1.

Рис. 1

15. Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только по акту приема-передачи и внесения записи в соответствующих журналах поэкземплярного учета.

16. Ответственным пользователем криптосредств в организации рекомендовано назначать ответственного за обеспечение безопасности персональных данных в информационной системе персональных данных.

17. Ведение непосредственных операций по учету СКЗИ, эксплуатационной и технической документации к ним, ключевых документов, в соответствии с функциональными обязанностями и инструкциями, возлагается на администратора безопасности информации или лицо с соответствующими функциональными обязанностями.

Приложение

к Инструкции о порядке учета выдачи и передачи средств криптографической защиты

информации, электронной подписи, эксплуатационно-технической документации и ключевых документов

ЛИЦЕВОЙ СЧЕТ ПОЛЬЗОВАТЕЛЯ КРИПТОСРЕДСТВ

(наименование организации или ФИО и должность сотрудника)

ЛИСТ ОЗНАКОМЛЕНИЯ

Средства криптографической защиты информации (СКЗИ) на сегодняшний день применяются практически во всех компаниях, будь то при обмене данными с контрагентами, или при связи и отправке платежных поручений в банк, программой банк клиент.

Но не все знают, что согласно закону ключи шифрования должны учитываться.
В данной статье я расскажу об учете средств криптографической защиты информации и приведу ссылки на законные акты Российской Федерации.
Основными законами которые регулирует СКЗИ являются:
Приказ ФСБ РФ от 9 февраля 2005 г. N 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»
Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» и Приложение к приказу ФАПСИ РФ от 13 июня 2001 г. N 152
Если посмотреть приказ ФСБ №66 в приложении в пункте 48, можно увидеть следующее содержание:
48. СКЗИ и их опытные образцы подлежат поэкземплярному учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов (условных наименований) и регистрационных номеров поэкземплярного учета СКЗИ и их опытных образцов определяет ФСБ России.
Организация поэкземплярного учета опытных образцов СКЗИ возлагается на разработчика СКЗИ.
Организация поэкземплярного учета изготовленных СКЗИ возлагается на изготовителя СКЗИ.
Организация поэкземплярного учета используемых СКЗИ возлагается на заказчика СКЗИ.
Это означает, что даже если простая компания, не занимающаяся созданием и продажей средств криптографической защиты информации решила приобрести несколько USB-ключей eToken, то они все равно должны быть учтены и закреплены за конечным пользователем, то есть сотрудником. Причем на вполне законных основаниях проверить учет может ФСБ, приехав в офис любой компании.
Данный учет средств криптографической защиты информации должен вестись в специальном журнале, а еще лучше в добавок и в электронном виде, где должны быть учтена следующая информация:
1. что выдали
2. на чем выдали
3. кто получил
4. кто сдал
5. отметка о уничтожении
Учитывать следует сами электронные ключи, ключевые носители, программное обеспечение которое делает криптографические преобразования информации, лицензии на право использования СКЗИ.
Таким образом СКЗИ для учета следует разделить на:
Ключевой носитель — физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т. п.).
Ключевой документ — физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости — контрольную, служебную и технологическую информацию; (по сути это носитель с записанным секретным ключом)
Дистрибутив СКЗИ — само программное обеспечение(например КриптоПро CSP, тут следует учесть номер дистрибутива, который можно найти в формуляре на СКЗИ)

Лицензия СКЗИ — сама по себе не является средством шифрования, но ее тоже следует учесть в журнале, так как были инциденты, когда компании из за этого штрафовали, а еще я слышал случаи о возбуждении уголовных дел.
Кстати говоря у многих возникает спор, в чем же разница между ключевым документом и ключевым носителем. Кто-то придерживается мнения, что ключевой документ это сам по себе ключевой контейнер или ключевая информация, и в принципе это логично, но то описание которое я привел выше, было взять из приложения к Приказу ФАПСИ от 13 июня 2001 г. N 152, где четко прописано, что это физический носитель.
Поэтому лично с моей точки зрения это следует подразумевать, как не просто ключевая информация в электронном виде, а физический носитель с записанной на него ключевой информацией. В принципе это не составляет труда учесть, так как можно в журнале указать номер носителя и идентификатор секретного ключа в одном пункте.
В приложении к приказу ФАПСИ РФ от 13 июня 2001 г. N 152, можно найти примеры типовых журналов по учету средств криптографической защиты информации. http://base.garant.ru/183628/#block_1000
Мое и не только мое мнение для учета лучше всего вести несколько журналов:
Журнал поэкземплярного учёта дистрибутивов СКЗИ.
Журнал поэкземплярного учёта лицензий на право использования СКЗИ.
Журнал поэкземплярного учёта ключевых документов СКЗИ.
Журнал поэкземплярного учёта аппаратных ключевых носителей СКЗИ.
В журнале поэкземплярного учёта дистрибутивов средств криптографической защиты информации, СКЗИ учитываются по номерам дистрибутивов, записанных в формуляре на изделие.
В журнале поэкземплярного учёта лицензий на право использования средств криптографической защиты информации, СКЗИ учитываются по серийным номерам лицензий.
В журнале поэкземплярного учёта ключевых документов средств криптографической защиты информации, СКЗИ учитываются по номерам токенов (а они напечатаны на каждом токене) или по номерам дискет/флешек (серийным номерам томов, которые можно увидеть по команде DIR), так же в этом журнале прописывается имя крипто-контейнера или серийный номер ключа.
В журнале поэкземплярного учета аппаратных ключевых носителей средств криптографической защиты информации, СКЗИ учитываются по номерам токенов (а они напечатаны на каждом токене). Данный журнал целесообразно использовать, чисто по хранящимся токенам, которые поступили на склад, но никому не выдаются и не содержат ключевой информации, либо были переданы, но без ключевой информации.
В целях упрощения учета, при получении большого количества СКЗИ, следует запросить учетную информацию в электронном виде, у поставщика или криптографического органа, что бы не перепечатывать эти серийные номера вручную.
Примеры журналов учета СКЗИ, можно найти в конце приложения к приказу ФАПСИ РФ от 13 июня 2001 г. N 152.

Журнал учёта СКЗИ

1. Учетный (порядковый) номер, который отправляется на носитель с КД (ключевым документом);
2. Записи при получении аппаратных или программных средств криптографической защиты от других юридических лиц,
3. Серийный номер: «КриптоПро CSP 3.6»; Серийный номер «Континент-АП 3.5»; Серийный номер сертификата, указанный в его распечатке и в файле Фамилия Имя Отчество.cer.;
4. Порядковый номер, который вносится при создании копии носителя ключевого документа для сертификата электронной подписи (либо по лицензионным ПО, либо по любой ранее полученной защите);
5. Наименование организации, от которой получено СКЗИ;
6. Дата получения лицензии, ПО, средств защиты и электронной подписи;
7. Полное ФИО лица, ответственного за получение лицензии, ПО, аппаратных и программных СКЗИ, а также электронной подписи и носителя для генерации ключей ЭП;
8. Дата и подпись в получении лицензии, ПО, средств защиты, а также ЭП и носителя для генерации ключей ЭП;
9. Фамилия Имя Отчество (полностью) Администратора информационной безопасности организации, либо ответственного за установку специалиста, представляющего другое юридическое лицо;
10. Дата подписания, подпись вышеупомянутого лица (п.9);
11. Этот пункт обязателен для заполнения только в случае использования аппаратных СКЗИ – например «Аккорд» или «Соболь»;
12. Дата уничтожения Ключевого документа – по истечении срока действия сертификата ЭП, либо в случае генерации запроса на новый, носитель;
13. Фамилия Имя Отчество (полностью) сотрудника, ответственного за уничтожение ключевого документа;
14. Номер акта об уничтожении КД (расписка об уничтожении);
15. Тип носителя ключевого документа. Это могут быть:
    — карточка учета – для лицензии криптозащиты;
    — CD-R – для лицензионного ПО;
    — модель, емкость и цвет 9 (для флешки);
    — Диск 3,5” (для дискеты);