ПОЛЬЗОВАТЕЛЬ СКЗИ ЭТО

ПОЛЬЗОВАТЕЛЬ СКЗИ ЭТО ЭЦП

Пользователи СКЗИ обязаны:

1) соблюдать конфиденциальность информации ограниченного доступа, к которой они допущены, в том числе сведения о криптоключах;

2) обеспечивать сохранность вверенных ключевых носителей и ключевой документации на них;

3) соблюдать требования безопасности информации ограниченного доступа при использовании СКЗИ;

4) незамедлительно сообщать Ответственному о ставших им известными попытках получения посторонними лицами доступа к сведениям об используемых СКЗИ, ключевым носителям и ключевой документации;

5) при увольнении или отстранении от исполнения обязанностей сдать Ответственному носители с ключевой документацией;

6) при подозрении на компрометацию ключевой документации, а также при обнаружении факта утраты или недостачи СКЗИ, ключевых носителей, ключевой документации, хранилищ, личных печатей незамедлительно уведомлять Ответственного.

Пользователям СКЗИ запрещается:

1) выводить ключевую информацию на средствах отображения информации (дисплей монитора, печатающие устройства, проекторы и т.п.);

2) оставлять ключевые носители с ключевой документацией без присмотра;

3) записывать на ключевой носитель информацию, не связанную с работой СКЗИ (текстовые и мультимедиа файлы, служебные файлы и т.п.);

4) вносить любые изменения в программное обеспечение СКЗИ;

Информация ограниченного доступа — информация, доступ к которой ограничен федеральными законами.

Исходная ключевая информация — совокупность данных, предназначенных для выработки по определенным правилам криптоключей.

Ключевая информация — специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.

Ключевой документ — физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости — контрольную, служебную и технологическую информацию.

Ключевой носитель — физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).

Компрометация — хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.

Криптографический ключ (криптоключ) — совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.

Орган криптографической защиты (ОКЗ) — структурное подразделение Организации, работник Организации или стороннее юридическое лицо, на которое возложены обязанности по разработке и осуществлении мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ информации ограниченного доступа.

Персональный компьютер (ПК) — вычислительная машина, предназначенная для эксплуатации пользователем Организации в рамках исполнения должностных обязанностей.

Пользователи СКЗИ — работники Организации, непосредственно допущенные к работе с СКЗИ.

Средство криптографической защиты информации (СКЗИ) — совокупность аппаратных и (или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью, шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении.

Электронная подпись — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Содержание
  1. Приложение к приказу ФАПСИ РФ от 13 июня 2001 г. N 152
  2. Общие положения
  3. Организация и обеспечение безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации
  4. Порядок обращения с СКЗИ и криптоключами к ним и мероприятия при компрометации криптоключей
  5. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним
  6. Контроль за организацией и обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации
  7. Другие вопросы
  8. Какие вопросы мы задаем при работе с СКЗИ
  9. Вопросы про ОКЗИ
  10. Правила эксплуатации СКЗИ для защиты персональных данных
  11. Нормативно-методические документы
  12. Необходимость использования СКЗИ
  13. Порядок эксплуатации
  14. Участники
  15. Обязанности органа криптографической защиты
  16. Обязанности пользователя СКЗИ
  17. Защита помещений ОКЗ
  18. Защита помещений пользователей СКЗИ
  19. Организационно-распорядительные документы
  20. Вопросы про лицензирование
  21. Инструкция пользователя
  22. Закрепление обязанностей
  23. Допуск
  24. Учет, выдача и уничтожение СКЗИ и ключевых носителей
  25. Действия при компрометации ключевой информации
  26. Хранение СКЗИ и ключевой информации
  27. Понятие ЭЦП
  28. Регламентация
  29. Виды
  30. Простая
  31. Усиленная неквалифицированная
  32. Усиленная квалифицированная
  33. СКЗИ в составе ЭЦП
  34. Вопросы про журнал учета
  35. Порядок проверки ФСБ
  36. Классы СКЗИ
  37. Контроль и проверка использования
  38. Мероприятия для обеспечения безопасности ПДн
  39. Как и где нужно применять СКЗИ — точка зрения ФСБ
  40. Кто, что и зачем пишет в журнале учета СКЗИ
  41. Кто и как ведет учет
  42. Что в итоге?

Приложение к приказу ФАПСИ РФ от 13 июня 2001 г. N 152

ФАПСИ (Федеральное агентство правительственной связи и информации) – это государственный орган, отвечающий за безопасность электронных систем транспортной, энергетической и другой инфраструктуры. В его функции входит выявление, пресечение попыток несанкционированного доступа к информации.

Приказом N 152 была утверждена Инструкция, касающаяся хранения и передачи ценной информации (не представляющей гостайну).  В Приложении изложены правила учета документации, требования к СКЗИ.

Общие положения

В Инструкции говорится о криптозащите информации, доступ к которой ограничен законодательно. При этом не рассматривается охрана гостайн и ценных сведений, имеющихся в российских организациях, действующих за границей.

Данные обрабатываются и передаются с помощью сертифицированных программно-аппаратных средств (таких как «Континент TLS VPN client»).

Организация и обеспечение безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации

Вопросами использования СКЗИ на предприятиях занимаются органы криптозащиты (ОКЗ), лицензированные ФАПСИ. В их обязанности входит обеспечение информационной безопасности с применением СКЗИ и некриптографических средств.

Работники предприятия, получающие доступ к ключевой документации, проходят предварительный инструктаж, под подписку знакомятся с обязательными требованиями.

Порядок обращения с СКЗИ и криптоключами к ним и мероприятия при компрометации криптоключей

Руководство предприятия должно позаботиться о надежном хранении криптоключей, документов, СКЗИ-оборудования. В качестве ключевых носителей используются дискеты, компакт-диски (Smart Cart, CD-ROM и другие).

Запрещается передача ключей в незашифрованном виде.

Криптодокументация учитывается поэкземплярно. При этом используется так называемый «ключевой блокнот», в котором фиксируются все эпизоды использования носителей для генерации шифровальных ключей.

Ведутся журналы учета СКЗИ и выносимых документов.

Для пользователей заводятся индивидуальные «лицевые счета». Здесь регистрируются информационные носители, за которые они отвечают.

В каждом случае составляется акт передачи СКЗИ от одного пользователя к другому.

Аппаратура, документация находятся в охраняемых помещениях. Исключается возможность непреднамеренного уничтожения ценных материалов.

Предусмотрено наличие резервных документов на случай компрометации криптоключей.

Программно-аппаратные СКЗИ пломбируются. Принимаются меры для предотвращения утечки информации в процессе ее передачи через сотрудников.

Эксплуатационные, технические документы СКЗИ разрешается переправлять по почте заказным письмом или ценной посылкой в прочной упаковке, под грифом «лично». Прилагается сопроводительное письмо с перечнем содержимого.

Послание вскрывается сотрудником органа криптозащиты или непосредственным адресатом-пользователем СКЗИ.

Скомпрометированные криптоключи уничтожаются вместе с устройством-носителем или удаляются с него по специальной технологии.

Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним

Хранилище снабжается прочными дверями с металлическими решетками, кодовыми замками.

Окна оборудуются ставнями, шторами, обеспечивающими невозможность заглядывания внутрь. Устанавливается сигнализация, предупреждающая о попытках незаконного проникновения.

Дверные ключи содержатся в сейфах, выдаются и сдаются представителю органа криптозащиты под расписку.

В помещение не допускаются посторонние. В нерабочее время хранилища опечатываются. Руководство органов криптозащиты извещается о появлении любых признаков незаконного проникновения. Принимаются меры для минимизации последствий утечки информации.

Неиспользуемое криптографическое оборудование отключается от линий связи.

Режим безопасной работы устанавливается руководством предприятия. О КЗ контролируют соблюдение правил пользования СКЗИ.

Контроль за организацией и обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации

Он осуществляется ФАПСИ. При проверке анализируется:

Разрешение на периодическое проведение контрольных проверок дает гендиректор ФАПСИ или его заместители. Для получения допуска к ведению подобного контроля уполномоченный должен предъявить личные документы, а также предписание с печатью ФАПСИ. По результатам анализа составляются акты (справки).

Другие вопросы

Если на компьютере установлено СКЗИ, является ли место, где он расположен спецпомещением? Как быть с сотрудниками, работающими удаленно с использованием СКЗИ (VPN)? Как опечатать помещение, где они работают?

— Строго говоря, по инструкции № 152 ФАПСИ, это спецпомещение. А, значит, к нему должны применяться меры, описанные в правилах пользования на конкретное СКЗИ. Причем требования должны выполняться как на территории организации, так и в отношении сотрудников, работающих удаленно.

В какой степени сейчас реализованы в СКЗИ квантовые технологии? Насколько они актуальны?

ЭЦП:  «Аладдин Р.Д.» и «Крипто-про» подтвердили совместимость JaCarta и «КриптоПро CSP» - CNews

— У многих производителей уже есть решения ГОСТ VPN с использованием квантового распределения ключей. Но сертификаты соответствия ФСБ на данные изделия пока не получены, так как требования еще не утверждены.

Может ли Спецсвязь перевозить СКЗИ?

— Приказ ФАПСИ № 152 гласит, что СКЗИ и ключевые документы могут доставляться «фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа сотрудников органа криптографической защиты или пользователей СКЗИ, для которых они предназначены, при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки».

Существует две ключевых организации, осуществляющие доставку СКЗИ:

ФГУП ГЦСС (Спецсвязь) – это организация подведомственная Минкомсвязи. Согласно постановлению правительства от 15 декабря 1994 года N 1379-68, ФГУП ГЦСС, в частности, осуществляет прием и доставку корреспонденции и грузов, содержащих сведения и материалы, относящиеся к государственной, служебной и иной охраняемой законом тайне. Ф ГУП ГЦСС уполномочено осуществлять перевозку СКЗИ, в том числе для юридических лиц. Подробнее о доставке СКЗИ рассуждаем вот здесь.

И напоследок – крик души. Нужен ли единый протокол и алгоритм шифрования?

— Алгоритмы шифрования зафиксированы в государственных стандартах (ГОСТ) и одинаковы у всех производителей (за исключением незначительных деталей).

А вот несовместимость сетевых протоколов различных производителей – это действительно боль. Но определенные шаги в сторону стандартизации уже сделаны. Например:

Для ГОСТ TLS и ЭП совместимость доступна уже сейчас. А работы по совместимости реализации различных производителей сейчас активно ведет технический комитет по стандартизации «Криптографическая защита информации» (ТК 26).

Какие вопросы мы задаем при работе с СКЗИ

Время на прочтение


ПОЛЬЗОВАТЕЛЬ СКЗИ ЭТО

Согласитесь, в теме криптографической защиты информации больше вопросов, чем ответов. Как учитывать СКЗИ, как их хранить и перевозить? А если защиту надо установить на мобильное приложение, а сколько человек должны подписывать акт, надо ли создавать у себя в компании ОКЗИ, а всегда ли можно это сделать? И главное, все ли множество лицензий вы получили или про что-то забыли.

В этом посте собраны самые больные частые вопросы, которыми задаемся мы в «Ростелеком-Солар» и которые задают наши коллеги по цеху. Мы постарались найти на них ответы. Надеемся, будет интересно и полезно.

Внимание, материал не является истиной в последней инстанции. Ответить точно на конкретный запрос может только регулятор.

Вопросы про ОКЗИ

В соответствии с п. 6 Инструкции № 152 ФАПСИ получается, что орган криптографической защиты информации (ОКЗИ) может быть создан только лицензиатом ФАПСИ. Значит ли это, что ОКЗИ может быть создан только у лицензиата ФСБ (как правопреемника ФАПСИ), а у всех остальных вместо этого назначается ответственное лицо?

— При создании и эксплуатации ОКЗИ появляются лицензируемые виды деятельности, поэтому право на его создание есть исключительно у лицензиата ФСБ. Правда, отсутствие ОКЗИ не освобождает от учета СКЗИ и ведения множества журналов, предусмотренных приказом ФАПСИ и эксплуатационной документацией к криптографическому оборудованию.

Можно ли самостоятельно обучить пользователей СКЗИ и как это оформить?

— Формально обучающие материалы должен разработать лицензиат ФСБ. Но самостоятельно проводить внутреннее обучение своих сотрудников на основе данных материалов может любая организация.

Есть ли какие-либо требования к сотрудникам, которые входят в ОКЗИ?

— Есть. Они должны пройти внутреннее обучение с тестированием. Сделать это можно в лицензированном учебном центре. Также им нужно ознакомиться с инструкцией пользователя СКЗИ под подпись.

Ответственный за защиту информации и ответственный за СКЗИ – это одно и то же?

— Не обязательно. Даже лучше, если эти роли выполняются разными лицами. Например, за администрирование средств защиты (антивирус, межсетевой экран и т.п.) отвечает администратор ИБ. А за администрирование и учет средств криптографической защиты – ответственный за СКЗИ. Как показывает практика согласования моделей нарушителей с ФСБ, регулятор просит данные роли не совмещать, хотя формального запрета на это нет. Но, гипотетически, такой запрет может встречаться в правилах эксплуатации на отдельные СКЗИ.

Правила эксплуатации СКЗИ для защиты персональных данных

При выборе шифровальных средств учитываются особенности используемой информационной системы, характер возможных угроз. Работа ведется в соответствии с нормами российского законодательства.

Нормативно-методические документы

Защита ПДн осуществляется с учетом требований, изложенных в таких документах, как:

Необходимость использования СКЗИ

Как указывается в Методических рекомендациях, СКЗИ используются для обеспечения безопасности ПДн в следующих случаях:

Порядок эксплуатации

Правила пользования СКЗИ устанавливаются ФСБ России. Средства периодически проверяются на соответствие стандартам, учитываются индивидуально (каждому из них присваивается условное наименование и номер). Разработчики, производители и заказчики СКЗИ ведут поэкземплярный учет криптографических блоков и программ. Средства регистрируются также службой ФСБ, контролирующей соблюдение правил их использования.

Участники

Участниками эксплуатации СКЗИ являются обладатель ценной информации и ее потребитель. Ответственность за состояние и качество информационной защиты несут разработчик, изготовитель и специалист по обслуживанию программно-аппаратных средств.

Администратор СКЗИ отвечает за сохранность ключевых носителей, повышение квалификации пользователей, усовершенствование криптозащиты. Он ведет журнал учета СКЗИ, проверяет наличие сертификатов, сообщает в ОКЗ о проявлениях нездорового интереса к работе крипто устройств, следит за выполнением требований ИБ, управляет доступом к информации, назначает ответственных за выполнение конкретных работ.

Обязанности органа криптографической защиты

Назначение органов криптозащиты:

Обязанности пользователя СКЗИ

Причиной утилизации СКЗИ (блоков, носителей) могут быть окончание срока действия изделий, увольнение сотрудника, имевшего допуск к ключевой документации, или его перевод на другую работу. Средства, подлежащие уничтожению, сдаются Администратору СКЗИ.

Криптоключи удаляются из памяти устройства носителя. Затем оно уничтожается или используется повторно (в соответствии с регламентом производителя). Создаются новые ключи, информация перешифровывается.

Факт утилизации фиксируется в журнале типовой формы. Составляются акты деинсталляции криптоключей, а также уничтожения блоков СКЗИ и устройств-носителей.

Процедура проводится не позднее 10 дней после окончания использования материалов. В ней участвует не менее 2 человек (комиссия).

Примечание. Вспомогательное оборудование, которое использовалось вместе с СКЗИ (монитор, принтер, сканер) после надежного удаления предыдущей информации можно эксплуатировать в дальнейшем без ограничений.

Защита помещений ОКЗ

В Приказе № 152 ФАПСИ (п. 52, 53, 56) изложены требования, предъявляемые к помещениям ОКЗ.

Здесь говорится о том, что они должны иметь:

Защита помещений пользователей СКЗИ

Помещения для операторов должны быть оборудованы прочными дверями, защищенными окнами. На охраняемую территорию не должны заходить посторонние люди.

Рабочие столы располагаются таким образом, чтобы сотрудники, сидящие рядом, не могли видеть документы, обрабатываемые соседом, и делать копии. Столы отделяются друг от друга перегородками. Пользователи должны иметь индивидуальные шкафы или ящики для хранения СКЗИ носителей и рабочей документации. Чтобы исключить похищение или уничтожение важных сведений, ценные источники информации закрываются на ключ, шкафы опломбируются. Действующие и резервные ключевые документы следует хранить отдельно.

Организационно-распорядительные документы

К ним относятся документы, в которых изложены общие правила работы предприятия, а также требования, касающиеся информационной защиты, охраны ПДн.

В перечень входят:

Вопросы про лицензирование

Как найти грань между техническим обслуживанием СКЗИ и, например, выработкой ключевой информации?

— Все, что описано в эксплуатационной документации, в том числе и выработка ключевой информации, является техническим обслуживанием.

Можно ли отдать на аутсорсинг работы по обслуживанию СКЗИ в организации?

— Можно. Но у аутсорсинговой компании должны быть соответствующие пункты лицензии на «работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)». Этого требует постановление правительства N 313 от 16.04.2012.

Инструкция пользователя

В каждой организации, владеющей информацией ограниченного доступа, обязательно составляется инструкция ответственного пользователя СКЗИ, в которой оговариваются особенности криптографической обработки данных и правила хранения секретной документации.

Закрепление обязанностей

В инструкции говорится о необходимости четкого закрепления обязанностей за отдельными сотрудниками. Устанавливаются конкретные рамки, в пределах которых они могут использовать аппаратуру и программы шифрования, проявлять интерес к служебной информации и деятельности других работников.

Допуск

К самостоятельной работе допускаются лица, прошедшие специальную подготовку, получившие заключение комиссии ОКЗ с результатами теста. Для получения допуска сотрудники должны иметь должные навыки работы, а также понятия о законодательных нормах обработки и хранения информации, использования СКЗИ.

Учет, выдача и уничтожение СКЗИ и ключевых носителей

В этом разделе инструкции говорится о необходимости ведения журналов учета криптографических устройств, а также электронных и бумажных носителей. Журнал заполняет администратор, отвечающий за безопасность информации.

ЭЦП:  В КАКОМ МЕСТЕ НАХОДИТСЯ ТОРГИ РУС РУ

Используются шаблоны, в которые заносятся сведения об элементах СКЗИ и сотрудниках, участвовавших в установке и эксплуатации средств. Оговариваются причины и порядок уничтожения криптоключей, устройств-носителей и блоков СКЗИ.

Действия при компрометации ключевой информации

Описываются обязанности, действия сотрудников и руководства организации в случае компрометации шифровальных ключей и криптодокументов.

Причинами компрометации (утери доверия) могут быть:

В инструкции описан порядок замены и уничтожения скомпрометированных криптоключей.

Хранение СКЗИ и ключевой информации

Здесь перечисляются обязанности пользователей СКЗИ, говорится о необходимости правильного хранения шифров и ключевой информации.

Описываются также требования к охране служебных помещений и хранилищ, правила доступа сотрудников, выдачи СКЗИ и сопроводительной документации.

Понятие ЭЦП

Электронная подпись – это способ подтверждения подлинности конфиденциальной компьютерной документации (не содержащей гостайн).

ЭЦП представляет собой комбинацию криптографических символов, которые невозможно подделать. Такая подпись создается индивидуально для каждого пользователя.

Документ с ЭЦП (электронный или распечатанный на бумаге) имеет юридическую силу. Попытка несанкционированного рассекречивания PIN-кода расценивается как мошенничество, равносильное подделке паспорта.

Основные функции ЭЦП:

Регламентация

Правила использования ЭЦП в России регламентируются Федеральным законом № 63 «Об электронной подписи» от 6 апреля 2011 года.

В регламенте перечисляются:

Виды

Существует два вида электронной подписи:

Они различаются по особенностям применения, степени защиты данных.

Усиленная электронная подпись подразделяется на:

Простая

Простая подпись заменяет собственноручную, если в документе отсутствует информация, разглашение которой опасно для государства или крайне нежелательно для бизнеса.

Усиленная неквалифицированная

Используется для документации, шифруемой криптографическим методом; содержит:

Неквалифицированная подпись ставится под документами, которые не заверяются печатью. Она позволяет идентифицировать владельца, подтвердить сохранность данных, отсутствие исправлений после подписания.

Такую ЭЦП используют:

Усиленная квалифицированная

Отличие состоит в том, что:

Квалифицированную ЭЦП используют при сдаче отчетов надзорным органам, решении судебных споров между предприятиями, обращении в государственные информационные системы (ГИС).

Такая подпись предназначается также для оформления торговых сделок, например, на электронной площадке АСТ ГОЗ (автоматизированной системы оборонных заказов) при Национальном университете «Высшая школа экономики».

СКЗИ в составе ЭЦП

Для создания ЭЦП используются средства криптографической защиты информации (СКЗИ). С их помощью производится:

СКЗИ может быть отдельной программой, которая устанавливается в рабочий компьютер. Для операционных систем Unix, Windows используются программы КриптоПро CSP, Signal-COM CSP, LISSI-CSP, VipNet CSP. Для их установки требуется приобретение лицензии ФСБ России (ст. 12 закона № 99-ФЗ от 4 мая 2011 г.).

Существуют также встроенные СКЗИ (Рутокен ЭЦП, JaCarta SE, Рутокен ЭЦП 2.0). Они закрепляются в электронных устройствах, работают самостоятельно: генерируют ЭП, шифруют, расшифровывают информацию. Отдельной лицензии на приобретение носителей не требуется.

С помощью СКЗИ производится аутентификация перевозчиков, шифрование отчетов о событиях, происходивших на протяжении рабочей смены. Данные сохраняются в памяти тахографа и на индивидуальной карте водителя. На дисплей выводятся его ПДн, а также показатели режимов. Настройка и сертификация тахографов с блоками СКЗИ (Меркурий ТА-001, КАСБИ ДТ-20М, Штрих Тахо RUS и других) проводятся в специализированной мастерской не реже 1 раза в три года.

На заметку. Тахографы с блоком СКЗИ разрешается использовать только на территории РФ. На транспортных средствах, выезжающих за границу, устанавливаются устройства ЕСТР, отвечающие европейским стандартам.

Вопросы про журнал учета

Можно ли вести журнал учета СКЗИ/КД в электронном виде?

— Да. Некоторые организации уже так делают. При этом не стоит забывать про правила электронного документооборота, например, про использование квалифицированной электронной подписи.

Как организовать учет большого количества СКЗИ?

—  Основной совет: каждое действие надо сопровождать актом и в журнале указывать его реквизиты. Не надо пытаться обеспечить всех участников доступом к журналу – территориально распределенные компании могут выдохнуть. Много и подробно о ведении учета журнала СКЗИ можете прочитать в этом посте.

Как вести поэкземплярный учет СКЗИ в мобильных и веб-приложениях?

— При скачивании учет СКЗИ обеспечивается тем, кто его распространяет, то есть разработчиком или вендором. Чтобы загрузить CSP, на сайте вендора нужно заполнить форму с ФИО и контактной информацией. Далее вы получаете ссылку на дистрибутив и серийник, а после регистрации – регистрационный номер СКЗИ. Все эти данные фиксируются у вендора, который распространяет СКЗИ, а у пользователя остается формуляр с серийным и регистрационным номерами. Подробнее этот процесс описан тут.  Аналогичная схема действует и для корпоративного приложения или портала.

Могут ли всевозможные акты подписываться одним лицом – исполнителем, или обязательно комиссией, утвержденной приказом руководителя?

— Четкого количества лиц, подписывающих акт, текущая нормативно-правовая база не определяет. Но, чтобы исключить возможные претензии со стороны ФСБ, лучше подписывать акты коллегиально. Вот, что пишут на одном из профильных ресурсов: «Акты составляются коллегиально (должно быть не менее двух составителей). Нередко акты составляются специально создаваемыми комиссиями, состав которых утверждается распорядительным документом руководителя данной организации, вышестоящей организации или органа управления, осуществляющего контрольные, надзорные или иные функции. Акты могут составляться и постоянно действующими комиссиями на регулярной основе».

Если подходить более формально, то в ГОСТ Р 7.0.97-2016 есть пример:


ПОЛЬЗОВАТЕЛЬ СКЗИ ЭТО

Порядок проверки ФСБ

В соответствии с Федеральным законом № 152 деятельность операторов ПДн контролируется ФСБ, если обработка данных производится с использованием криптографических методов.  Операторы ПДн – это органы государственной и муниципальной власти, физические и юридические лица, имеющие дело с персональной информацией граждан.

Классы СКЗИ

Класс СКЗИ определяется с учетом «модели нарушителя» (степени уязвимости информационной системы).

Контроль и проверка использования

При проверке анализируется соблюдение требований, изложенных в Приказах № 66 и № 378 ФСБ, в Приказе ФАПСИ № 152, Методических рекомендациях № 149 и № 432 ФСБ.

Сотрудники ФСБ проверяют наличие сертификатов СКЗИ, выявляет угрозы БИ и модели нарушителей (способы возможного похищения или уничтожения данных). Контролируются условия обработки и защиты ПДн.

За нарушение требований безопасности ПДн (использование несертифицированных СКЗИ, отсутствие журналов учета, недооценку угроз) предусмотрена выплата штрафа (от 1 до 20 тыс. рублей).

Мероприятия для обеспечения безопасности ПДн

Согласно ФЗ № 152 (о безопасности ПДн) для защиты персональной информации требуется:

Использование СКЗИ позволяет избежать материальных потерь и морального ущерба, связанного с утечкой коммерческой и личной информации. Важную роль играет правильная эксплуатация СКЗИ, разумное распределение обязанностей между сотрудниками, управление доступом к криптографическим ключам. Чтобы действовать в рамках закона, необходимо выполнять требования, изложенные в приказах и рекомендациях надзорных органов,  а также в инструкциях по использованию СКЗИ.

Как и где нужно применять СКЗИ — точка зрения ФСБ

8-й Центр ФСБ выложил достаточно неожиданный документ. Документ описывает рекомендации в области разработки нормативно-правовых актов в области защиты ПДн. Но этим же документом рекомендуется пользоваться операторам ИСПДн при разработке частных моделей угроз.

Что же думает ФСБ о том, как и где нужно применять СКЗИ?

Документ носит полное название: «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности». Утвержден документ руководством 8 Центра ФСБ России 31 марта 2015 года.

Достаточно важно, что данный документ опубликован только на сайте ФСБ, не имеет регистрации в Минюсте и не несет ничьей подписи — то есть его юридическая значимость и обязательность применения находятся под вопросом.

Этими же нормами «целесообразно также руководствоваться при разработке частных моделей угроз операторам информационных систем персональных данных, принявшим решение об использовании средств криптографической защиты информации (далее – СКЗИ) для обеспечения безопасности персональных данных».

Когда же необходимо использовать СКЗИ?

Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:

Это логично. Но когда угрозы могут быть нейтрализованы только с помощью СКЗИ»?

Если второй пункт так же достаточно логичен, то вот первый не столь ясен. Дело в том, что согласно текущей редакции закона «О персональных данных» имя, фамилия и отчество уже являются персональными данными. Соответственно любая переписка или регистрация на сайте (с учетом того, сколько данных сейчас требуют при регистрации) попадают формально под это определение.

Но, как говорится, нет правил без исключения. В конце документа есть две таблицы. Приведем лишь одну строку Приложения № 1.

ЭЦП:  ПЕРЕВЫПУСК СЕРТИФИКАТА ЭЦП

1.1. проведение атаки при нахождении в пределах контролируемой зоны.

Обоснование отсутствия (список немного сокращен):

То есть, если пользователи проинформированы о правилах и ответственности, а двери запираются, то беспокоиться не о чем. Блажен, кто верует. О необходимости контроля за соблюдением правил речь в документе даже не идет.

Что еще интересного есть в документе?

Правда чуть ниже говорится, что список сертифицированных СКЗИ можно найти на сайте ЦЛСЗ ФСБ. Про то, что оценка соответствия не есть сертификация, говорилось неоднократно.

Очень приятный пункт. Дело в том, что сертификация процесс очень длительный — до полугода и больше (скажем, в случае нашей компании предыдущая сертификация заняла у нас 8 месяцев). Зачастую клиенты используют новейшие ОС, не поддерживаемые сертифицированной версией. В соответствии с этим документом клиенты могут использовать продукты, находящиеся в процессе сертификации.

В документе указывается, что:

При использовании каналов (линий) связи, с которых невозможен перехват передаваемой по ним защищаемой информации и (или) в которых невозможно осуществление несанкционированных воздействий на эту информацию, при общем описании информационных систем необходимо указывать:

Соответственно необходимо иметь документ, анализирующий защищенность канала. При этом не указывается, какие организации имеют право выдавать такие заключения.

Документ содержит перечень сведений, которые необходимо указывать при описании информационных систем. Например:

Ну и в заключение скажем, что:

Согласование с ФСБ России частных моделей угроз операторов, подготовленных в соответствии с настоящими методическими рекомендациями, не требуется.

Кто, что и зачем пишет в журнале учета СКЗИ


ПОЛЬЗОВАТЕЛЬ СКЗИ ЭТО

Скорее всего, вы знаете, что учет СКЗИ регламентирован «Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащих сведений, составляющих государственную тайну». Этот документ невиданной силы утвержден приказом Федерального агентства правительственной связи и информации при президенте Российской Федерации (ФАПСИ) от 13.06.2001 № 152.

Тогда, 20 лет назад, сертифицированные СКЗИ применялись крайне редко, а большинство организаций не имели такой разрозненной и распределенной по всей стране ИТ-инфраструктуры. В итоге инструкция, например, до сих пор не предусматривает возможность удаленной передачи ключей шифрования, а журнал учета требуется хранить в отдельном помещении. Вести учет в электронном виде можно, но только с применением квалифицированной ЭП (учет СКЗИ в электронном виде – это тема для отдельной статьи, и об этом мы поговорим следующий раз), либо сопровождать каждое действие соответствующими актами.

Кстати, само ФАПСИ было расформировано в 2003 году. Его функции были распределены между ФСО, ФСБ, СВР и Службой специальной связи и информации при ФСО. Но написанный агентством документ не утратил силы.

Кто и как ведет учет

Если организация является обладателем конфиденциальной информации, то ей, скорее всего, требуется обеспечить безопасную передачу, обработку и хранение этой информации с помощью СКЗИ. К слову, к последним инструкция относит как сами программные или аппаратно-программные средства, так и информацию, необходимую для их работы, ключи, техническую документацию.

Организует и контролирует все работы с СКЗИ орган криптографической защиты (ОКЗ). Это может быть как структурное подразделение (или конкретный сотрудник) внутри организации (обладателе конфиденциальной информации), так и внешний подрядчик (например, сервис-провайдер).

В первом случае организация должна издать приказ о создании ОКЗ, определить его структуру и обязанности сотрудников. Например:

Все работники, которые занимаются установкой и настройкой СКЗИ и в принципе имеют к ним доступ, должны быть внесены в приказ и ознакомлены с ним. Для каждой должности нужно разработать должностную инструкцию и ознакомить пользователей с порядком применения СКЗИ.

В итоге перечень необходимых документов состоит из:

Мы помним, что по всем СКЗИ должен вестись поэкземплярный учет, а их движение (формирование, выдача, установка, передача, уничтожение) должно быть документально подтверждено. Для этого и обладатель конфиденциальной информации, и орган криптографической защиты должны вести журналы (каждый свой) поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.

Но если орган криптографической защиты информации – это структурное подразделение организации, на его плечи ложится ведение обоих журналов. Дело в том, что в этом случае организация не только является обладателем конфиденциальной информации, но и выполняет часть функций ОКЗ. Например, крупные холдинги, как правило, выделяют в своем составе ИТ-компанию, которая в том числе отвечает за информационную безопасность с использованием СКЗИ. Она ведет все журналы и сопутствующую документацию и является для своего холдинга поставщиком услуг.

Если услуги оказывает сервис-провайдер, то он заполняет журнал учета для органа криптографической защиты, а организация – журнал для обладателя конфиденциальной информации.

Вы еще тут? Надеемся, не запутались!

Журналы учета хранятся в течение 5 лет. Сами СКЗИ и документация к ним должны находиться за семью замками в специальном помещении, а доступ туда могут иметь только сотрудники ОКЗ.

Операции с СКЗИ: взятие на учет

Рассмотрим порядок учета на конкретном примере (данные в таблицах ниже вымышленные все совпадения случайны).  Организация N – обладатель конфиденциальной информации – хочет использовать СКЗИ компании «КриптоПро». При этом организация N не готова создавать у себя ОКЗ и обращается к сервис-провайдеру, который будет предоставлять ей соответствующие услуги. Итак, для начала вендор ПАК должен предоставить организации N исходные данные для учета. Выглядит это так:

В 1–6 графы журнала поэкземплярного учета должна попасть информация о:

После заполнения всех этих данных СКЗИ выдаются пользователям, то есть тем работникам в организации, для которых они закупались. Это может быть как сотрудник бухгалтерии, который применяет ЭП для подписания и отправки документов, так и другой ответственный специалист, взявший на себя обязательства по сохранности СЗКИ.

На этом этапе заполняются 7 и 8 графы журнала (кому и когда выдается СКЗИ – с обязательной росписью пользователя). Если возможности расписаться в журнале нет, то можно заполнить акт передачи, где в свободной форме указывается, кто (администратор безопасности) и кому (пользователю) передает СКЗИ. При этом обе стороны расписываются, а номер акта вносится в 8 графу («Дата и номер сопроводительного письма»).

В 9 графу записывается имя сотрудника, производившего установку СКЗИ. Чаще всего это делает специалист технической поддержки, который также является администратором безопасности. Но это может быть и пользователь, если он обладает соответствующими навыками и правами доступа в сеть.  В 11 графе указывается серийный номер материнской платы или номер опечатывающей пломбы системного блока.

Если сотрудник, который производил установку, уволился, то СКЗИ нужно изъять и составить акт, в котором указывается предмет и способ изъятия (например, удаление ключевой информации с носителя). Все это фиксируются в 12, 13, 14 графах.

При уничтожении СКЗИ также составляется соответствующий акт. В нем должны быть указаны предмет и способ уничтожения. Программные СКЗИ стирают с носителя ключевой информации (чистка реестра), а ПО деинсталлируют. С аппаратных СКЗИ можно удалить ключевую информацию либо уничтожить их физически.

Ниже пример журнала, заполненного организацией – обладателем конфиденциальной информации. О ОО «Компания» – это сервис-провайдер, который выполняет функции органа криптографической защиты для организации.

Заглянуть в журнал учетаЖурнал поэкземплярного учета СКЗИ для обладателя конфиденциальной информации

Журнал учета СКЗИ для органа криптографической защиты во многих пунктах перекликается с аналогичным документом для организации и заполняется по такому же принципу, поэтому не будем подробно останавливаться на его разборе. В примере ниже ООО «Организация» – это обладатель конфиденциальной информации, который воспользовался услугами сервис-провайдера.

Заглянуть в журнал еще разЖурнал поэкземплярного учета СКЗИ для органа криптографической защиты

Что в итоге?

Сложно не согласиться с тем, что все эти требования уже давно морально устарели и Инструкция нуждается в актуальных корректировках, но пока мы вынуждены выполнять требования ее текущей редакции. Обратите внимание, что для ведения журнала поэкземплярного учета СКЗИ в электронном виде требуется подписывать документы только квалифицированной ЭП либо сопровождать каждое действие соответствующими актами. Если же речь идет о физическом документе, то все данные и подписи должны быть внесены в него всеми ответственными лично.

Безусловно, учет СКЗИ – это только один из множества обязательных к исполнению процессов, описанных в документе. В будущем мы постараемся подробно описать процесс опломбирования СКЗИ, технологию их уничтожения и многое другое.

Надеемся, эта памятка была для вас полезной.

Оцените статью
ЭЦП64
Добавить комментарий