журнал учета сзи и документации к ним

Приложение 2. Типовая форма журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации)

утвержденной приказом ФАПСИ РФ

от 13 июня 2001 г. N 152

Типовая форма
журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации)

© ООО «НПП «ГАРАНТ-СЕРВИС», 2021. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник

Журналы учета электронных подписей: как вести и хранить

Статья будет полезна, если в вашей организации есть хотя бы один ключ электронной подписи — тогда вам, скорее всего, нужно вести журналы учета ключей подписи. Кто обязан это делать и как, расскажем в статье.

Что такое журналы учета ключей ЭП

Журналы учета средств криптографической защиты информации (СКЗИ) или ключей электронной подписи (ЭП или ЭЦП) помогают следить за перемещением средств криптозащиты и ключей подписи в организации. В них отражается кто получил ключ подписи, сдал ли его при переходе на другую должность или увольнении, знаком ли сотрудник с правилами работы со средствами электронной подписи. Журналы нужны предприятиям, которые используют ЭП и СКЗИ, например, КриптоПро CSP или ViPNet CSP.

Кому нужно вести журналы учета ключей ЭП

Лицензиаты ФСБ

Эти компании оказывают платные услуги, связанные с использованием СКЗИ: их разработкой, распространением, установкой, обслуживанием и т.д. Это могут быть удостоверяющие центры, которые выпускают сертификат электронных подписей, или, например, дистрибьюторы СКЗИ.

К лицензиатам предъявляется самый большой список требований по соблюдению инструкции. Они должны создать у себя орган криптографической защиты информации, разработать свой регламент по соблюдению инструкции и вести журналы учета ключей ЭП и СКЗИ. Орган криптозащиты контролирует, как организация соблюдает инструкцию из приказа ФАПСИ №152.

Организации, которые не являются лицензиатами ФСБ

Обязательно соблюдать приказ ФАПСИ №152 и вести журналы учета ключей ЭП должны предприятия, которые используют СКЗИ для защиты конфиденциальной информации, если такая информация по закону подлежит защите — например, для персональных данных или при передаче отчетности. В приказе их называют «обладатели конфиденциальной информации».

Если организации используют СКЗИ для защиты информации, не подлежащей обязательной защите, то требования инструкции ФАПСИ носят рекомендательный характер. Например, это касается компании, которая приобрела сертификат ЭП и средства криптозащиты только для внутреннего пользования — подписания внутренних документов, шифрования результатов своей работы.

Организациям, которые будут соблюдать требования приказа ФАПСИ №152, нужно создать регламент хранения и использования электронных подписей на основе утвержденной приказом инструкции и вести журналы учета. Сделать это можно одним из двух способов:

Какие журналы учета вести

Инструкция устанавливает два типа журналов:

Способ заполнения журнала отличается в зависимости от типа СКЗИ, от того кто ведет журнал: обладатель ключей ЭП или орган криптографической защиты. Подробно детали заполнения описаны в приказе ФАПСИ № 152.

Форма журнала поэкземплярного учета для органа криптографической защиты — для лицензиатов ФCБ:

Форма журнала поэкземплярного учета для обладателей конфиденциальной информации:

Типовая форма технического (аппаратного) журнала:

Чтобы скачать формы для заполнения журналов, перейдите по ссылке.

Что такое порядок использования и хранения ключей ЭП и СКЗИ

Кроме журналов учета инструкция также рекомендует организациям разработать и соблюдать свой регламент хранения и использования ключей ЭП. Для регламента нет единой типовой формы, поэтому компания может разработать документ самостоятельно. Для этого нужно изучить инструкцию и адаптировать требования именно под свою компанию.

Несмотря на то, что регламент в разных компаниях будет отличаться, есть общие требования — регламент должен указывать правила, по которым в организации:

Что будет, если не соблюдать инструкцию и не вести журналы учета

Источник

Приложение N 13. Журнал поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним

Приложение N 13
к Положению об обработке
и защите персональных данных
в Департаменте Республики Марий Эл
по охране, контролю и регулированию
использования объектов животного мира

ЖУРНАЛ
поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним

ГАРАНТ:

Нумерация граф таблицы приводится в соответствии с источником

Наименование СЗИ, эксплуатационной и технической документации к ним

Серийные номера СЗИ, эксплуатационной и технической документации к ним

Отметка о получении

Отметка о подключении (установке) СЗИ

Отметка об изъятии СЗИ из аппаратных средств

Дата и номер сопроводи тельного письма

Ф.И.О. пользователя СЗИ

Дата и расписка в получении

Ф.И.О. должностных лиц, пользователей СЗИ, осуществивших подключение (установку)

Дата подключения (установки) и подписи лиц, осуществивших подключение (установку)

Номера аппаратных средств, в которые установлены или к которым подключены СЗИ

Дата изъятия (уничтожения)

Ф.И.О. должностных лиц, пользователей СЗИ, производивших изъятие (уничтожение)

Номер акта или расписка об уничтожении

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2021. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник

Приказ ФАС России от 16.07.2020 N 658/20

ФЕДЕРАЛЬНАЯ АНТИМОНОПОЛЬНАЯ СЛУЖБА

от 16 июля 2020 г. N 658/20

СО СРЕДСТВАМИ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ

В цели исполнения требований «Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденной приказом ФАПСИ от 13 июня 2001 г. N 152, приказываю:

1. Назначить ответственными за организацию работ по криптографической защите информации Ответственные лица: специалиста отдела Информационной безопасности ФБУ «ИТЦ ФАС России» Калантаряна Шаварша Суреновича, специалиста отдела Информационной безопасности ФБУ «ИТЦ ФАС России» Маркелова Даниила Денисовича, ведущего специалиста отдела Информационной безопасности ФБУ «ИТЦ ФАС России» Саяпина Андрея Сергеевича.

2. Утвердить Инструкцию по обращению со средствами криптографической защиты информации (СКЗИ) (приложение N 1).

3. Утвердить Инструкцию ответственного за организацию работ по криптографической защите информации (приложение N 2).

4. Утвердить Инструкцию пользователей средств криптографической защиты информации (приложение N 3).

5. Ответственному за организацию работ по криптографической защите информации ознакомиться под роспись и руководствоваться в своей деятельности Инструкцией по обращению со средствами криптографической защиты информации и Инструкцией ответственного за организацию работ по криптографической защите информации.

6. Ответственному за организацию работ по криптографической защите информации ознакомить под роспись пользователей СКЗИ с Инструкцией по обращению с СКЗИ и Инструкцией пользователей средств криптографической защиты информации.

7. Пользователям, которым необходимо получить доступ к работе с СКЗИ, пройти обучение и проверку знаний по правилам работы с СКЗИ.

8. Утвердить форму Перечня пользователей СКЗИ (приложение N 5).

9. Утвердить форму Журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложение N 4).

10. Утвердить форму Акта об уничтожении криптографических ключей, содержащихся на ключевых носителях и ключевых документов (приложение N 6).

11. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Доценко А.В.

к приказу ФАС России

от 16.07.2020 N 658/20

ПО ОБРАЩЕНИЮ СО СРЕДСТВАМИ КРИПТОГРАФИЧЕСКОЙ

Настоящая Инструкция разработана в целях регламентации действий лиц, допущенных к работе со средствами криптографической защиты информации (СКЗИ), которые осуществляют работы с применением СКЗИ.

Под работами с применением СКЗИ в настоящей Инструкции понимаются защищенное подключение к информационным системам, подписание электронных документов электронной подписью и проверка подписи, шифрование файлов другие действия согласно технической документации на СКЗИ.

Под обращением с СКЗИ в настоящей Инструкции понимается проведение мероприятий по обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.

Данная инструкция регламентирует работу с применением СКЗИ для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.

2. Термины и определения

3. Порядок получения допуска пользователей к работе с СКЗИ

Для получения допуска к работе с СКЗИ, работнику необходимо пройти обучение правилам работы с СКЗИ и проверку знаний.

Основанием для допуска пользователя к работе с СКЗИ является внесение его в перечень пользователей СКЗИ, утверждаемый руководителем Организации.

Контроль над реализацией данных мероприятий возлагается на Ответственного.

Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, в помещениях пользователей СКЗИ должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей в присутствии посторонних лиц запрещено. В организации должны быть обеспечены условия хранения ключевых носителей, исключающие возможность доступа к ним посторонних лиц, несанкционированного использования или копирования ключевой информации.

Для исключения утраты ключевой информации вследствие дефектов носителей рекомендуется, после получения ключевых носителей, создать рабочие копии. Копии должны быть промаркированы и должны использоваться, учитываться и храниться в общем порядке. Все копии учитываются за отдельным номером.

Каждый ключевой документ должен быть зарегистрировать в Журнале поэкземплярного учета СКЗИ.

Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только с разрешения руководителя организации с соответствующей пометкой в журнале поэкземплярного учета.

При обнаружении на рабочей станции с установленным СКЗИ программного обеспечения, не соответствующего объему и сложности решаемых задач на данном рабочем месте, а также вирусных программ, незамедлительно должны быть организованы работы по расследованию инцидента информационной безопасности.

5. Действия в случае компрометации ключей

О событиях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием информации ограниченного доступа, пользователи СКЗИ обязаны сообщать Ответственному за организацию работ по криптографической защите информации.

К компрометации ключей относятся следующие события:

1) утрата носителей ключа;

2) утрата иных носителей ключа с последующим обнаружением;

3) возникновение подозрений на утечку ключевой информации или ее искажение;

4) нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура, опечатывания сейфов;

5) утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;

6) утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;

7) доступ посторонних лиц к ключевой информации;

8) другие события утери доверия к ключевой информации, согласно технической документации на СКЗИ.

В случае компрометации ключа пользователя незамедлительно должны быть приняты меры по отзыву ключа (отзыв ключа электронной подписи в удостоверяющем центре, обновление списков отозванных сертификатов, замена криптоключа пользователя и т.п.), а также проведено расследование по факту компрометации.

Визуальный осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения).

Расследование инцидентов информационной безопасности, связанных с компрометацией ключевых носителей и ключевой документацией, осуществляет (обладатель скомпрометированной информации ограниченного доступа). При необходимости, привлекается орган криптографической защиты.

6. Ответственность лиц, допущенных к работе с СКЗИ

За нарушение установленных требований по эксплуатации криптосредств предусмотрена ответственность в соответствии с действующим законодательством Российской Федерации.

с Инструкцией по обращению со средствами

криптографической защиты информации

(утверждена приказом от «__» __________ 20__ г. N _____)

к приказу ФАС России

от 16.07.2020 N 658/20

ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ РАБОТ ПО КРИПТОГРАФИЧЕСКОЙ

Под работами с применением СКЗИ в настоящей Инструкции понимаются защищенное подключение к информационным системам, подписание электронных документов электронной подписью и проверка подписи, шифрование файлов и другие действия согласно технической документации на СКЗИ.

Ответственный назначается приказом руководителя Организации.

Данная инструкция регламентирует работу с применением СКЗИ для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.

2. Термины и определения

3. Обязанности Ответственного

При реализации мероприятий, связанных с обеспечением в Организации безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа, Ответственный должен руководствоваться действующим законодательством Российской Федерации, Инструкцией по обращению с СКЗИ, а также настоящей инструкцией.

На Ответственного возлагается проведение следующих мероприятий:

1) Ведение Журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;

2) Хранение установочных комплектов СКЗИ, эксплуатационной и технической документации к ним;

3) Принятие ключевых документов к СКЗИ от пользователя при его увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;

4) Своевременная актуализация перечня пользователей СКЗИ;

5) Ежегодная проверка наличия СКЗИ, эксплуатационной и технической документации к ним, согласно Журналу поэкземплярного учета СКЗИ.

1) Не разглашать информацию ограниченного доступа, к которой он допущен, в том числе сведения о криптоключах;

2) Обеспечивать сохранность носителей ключевой информации и других документов о ключах, выдаваемых с ключевыми носителями;

3) Обеспечить соблюдение требований к обеспечению с использованием СКЗИ безопасности информации ограниченного доступа;

4) Контролировать целостность печатей (пломб) на технических средствах с установленными СКЗИ;

5) Немедленно уведомлять непосредственного руководителя о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах компрометации криптоключей, которые могут привести к разглашению информации ограниченного доступа, а также о причинах и условиях возможной утечки такой информации;

6) Не допускать ввод одного номера лицензии на право использования СКЗИ более чем на одно рабочее место.

4. Права Ответственного

В рамках исполнения возложенных на него обязанностей, Ответственный имеет право:

1) Требовать от пользователей СКЗИ соблюдения положений Инструкции по обращению с СКЗИ и Инструкции пользователя СКЗИ;

2) Обращаться к непосредственному руководителю с предложением прекращения работы пользователя с СКЗИ при невыполнении им установленных требований по обращению с СКЗИ;

3) Инициировать проведение служебных расследований по фактам нарушения в Организации порядка обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.

5. Порядок передачи обязанностей при смене Ответственного

При смене Ответственного должны быть внесены соответствующие изменения в Приказ об обращении с СКЗИ. Вновь назначенный Ответственный должен быть ознакомлен под роспись с настоящей Инструкцией и приступить к исполнению возложенных на него обязанностей.

6. Ответственность за невыполнение настоящей инструкции

За нарушение установленных требований по эксплуатации криптосредств предусмотрена ответственность в соответствии с действующим законодательством Российской Федерации.

с Инструкцией ответственного за организацию работ

по криптографической защите информации

(утверждена приказом от «__» __________ 20__ г. N ____)

Фамилия, Им, Отчество

к приказу ФАС России

от 16.07.2020 N 658/20

ПОЛЬЗОВАТЕЛЕЙ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ

Под работами с применением СКЗИ в настоящей Инструкции понимаются защищенное подключение к информационным системам, подписание электронных документов электронной подписью и проверка подписи, шифрование файлов и другие действия согласно технической документации на СКЗИ.

Данная инструкция регламентирует работу с применением СКЗИ для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.

2. Термины и определении

3. Обязанности пользователей СКЗИ

Пользователи СКЗИ обязаны:

1) соблюдать конфиденциальность информации ограниченного доступа, к которой они допущены, в том числе сведения о криптоключах;

2) обеспечивать сохранность вверенных ключевых носителей и ключевой документации на них;

3) соблюдать требования безопасности информации ограниченного доступа при использовании СКЗИ;

4) незамедлительно сообщать Ответственному о ставших им известными попытках получения посторонними лицами доступа к сведениям об используемых СКЗИ, ключевым носителям и ключевой документации;

5) при увольнении или отстранении от исполнения обязанностей сдать Ответственному носители с ключевой документацией;

6) при подозрении на компрометацию ключевой документации, а также при обнаружении факта утраты или недостачи СКЗИ, ключевых носителей, ключевой документации, хранилищ, личных печатей незамедлительно уведомлять Ответственного.

Пользователям СКЗИ запрещается:

1) выводить ключевую информацию на средствах отображения информации (дисплей монитора, печатающие устройства, проекторы и т.п.);

2) оставлять ключевые носители с ключевой документацией без присмотра;

3) записывать на ключевой носитель информацию, не связанную с работой СКЗИ (текстовые и мультимедиа файлы, служебные файлы и т.п.);

4) вносить любые изменения в программное обеспечение СКЗИ;

4. Ответственность пользователей СКЗИ

За нарушение установленных требований по эксплуатации криптосредств пользователь СКЗИ несет ответственность в соответствии с действующим законодательством Российской Федерации.

с Инструкцией пользователей средств криптографической

(утверждена приказом от «__» ________ 20__ г. N __)

к приказу ФАС России

от 16.07.2020 N 658/20

ПОЭКЗЕМПЛЯРНОГО УЧЕТА СКЗИ, ЭКСПЛУАТАЦИОННОЙ

И ТЕХНИЧЕСКОЙ ДОКУМЕНТАЦИИ К НИМ, КЛЮЧЕВЫХ ДОКУМЕНТОВ

(ДЛЯ ОБЛАДАТЕЛЯ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ)

Начат: «__» ________20__ г.

Окончен: «__» ________20__ г.

Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов

Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов

Номера экземпляров (криптографические номера) ключевых документов

Отметка о получении

Отметка о подключении (установке) СКЗИ

Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов

Дата и номер сопроводительного письма

Ф.И.О. пользователя СКЗИ

Дата и расписка в получении

Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, произведших подключение (установку)

Дата подключения (установки) и подписи лиц, произведших подключение (установку)

Номера аппаратных средств, в которые установлены или к которым подключены СКЗИ

Дата изъятия (уничтожения)

Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, производивших изъятие (уничтожение)

Источник

Приложение 1. Типовая форма журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для органа криптографической защиты)

от 13 июня 2001 г. N 152

Типовая форма
журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для органа криптографической защиты)

© ООО «НПП «ГАРАНТ-СЕРВИС», 2021. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник