Статья будет полезна, если в вашей организации есть хотя бы один ключ электронной подписи — тогда вам, скорее всего, нужно вести журналы учета ключей подписи. Кто обязан это делать и как, расскажем в статье.
- Что такое журналы учета ключей ЭП
- Лицензиаты ФСБ
- Организации, которые не являются лицензиатами ФСБ
- Какие журналы учета вести
- Что такое порядок использования и хранения ключей ЭП и СКЗИ
- Что будет, если не соблюдать инструкцию и не вести журналы учета
- Об организации и проведении работ по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных в ооо «ск «ак барс-мед»
- ПРИЛОЖЕНИЯ
- 📹 Видео
Что такое журналы учета ключей ЭП
Журналы учета средств криптографической защиты информации (СКЗИ) или ключей электронной подписи (ЭП или ЭЦП) помогают следить за перемещением средств криптозащиты и ключей подписи в организации.
В них отражается кто получил ключ подписи, сдал ли его при переходе на другую должность или увольнении, знаком ли сотрудник с правилами работы со средствами электронной подписи.
Журналы нужны предприятиям, которые используют ЭП и СКЗИ, например, КриптоПро CSP или ViPNet CSP.
Как вести такие журналы, описано в Инструкции о безопасности хранения, обработки и передачи информации с использованием криптографических средств (приказ ФАПСИ № 152 от 13.06.2001). Разберемся, кому обязательно нужно вести их, а кому только рекомендуется это делать.
Лицензиаты ФСБ
Эти компании оказывают платные услуги, связанные с использованием СКЗИ: их разработкой, распространением, установкой, обслуживанием и т.д. Это могут быть удостоверяющие центры, которые выпускают сертификат электронных подписей, или, например, дистрибьюторы СКЗИ.
Видео:Почему LogHX лучшая программа аппаратного журнала?Скачать
К лицензиатам предъявляется самый большой список требований по соблюдению инструкции. Они должны создать у себя орган криптографической защиты информации, разработать свой регламент по соблюдению инструкции и вести журналы учета ключей ЭП и СКЗИ. Орган криптозащиты контролирует, как организация соблюдает инструкцию из приказа ФАПСИ №152.
Лицензиаты также могут помогать другим компаниям соблюдать требования регулятора — ФСБ России.
Организации, которые не являются лицензиатами ФСБ
Обязательно соблюдать приказ ФАПСИ №152 и вести журналы учета ключей ЭП должны предприятия, которые используют СКЗИ для защиты конфиденциальной информации, если такая информация по закону подлежит защите — например, для персональных данных или при передаче отчетности. В приказе их называют «обладатели конфиденциальной информации».
Если организации используют СКЗИ для защиты информации, не подлежащей обязательной защите, то требования инструкции ФАПСИ носят рекомендательный характер. Например, это касается компании, которая приобрела сертификат ЭП и средства криптозащиты только для внутреннего пользования — подписания внутренних документов, шифрования результатов своей работы.
Организациям, которые будут соблюдать требования приказа ФАПСИ №152, нужно создать регламент хранения и использования электронных подписей на основе утвержденной приказом инструкции и вести журналы учета. Сделать это можно одним из двух способов:
- Самостоятельно создать регламент, назначить конкретного сотрудника, который будет отвечать за его соблюдение и вести журналы.
- Обратиться к лицензиатам ФСБ и поручить им разработку регламента и журналов, и при необходимости, передать им контроль за тем, как соблюдается инструкция и внутренний регламент.
СКБ Контур — лицензиат ФСБ и поможет организовать учет электронных подписей в компании. Специалисты проекта Контур.Безопасность создадут всю необходимую документацию и проконтролируют соблюдение регламента и инструкции из приказа ФАПСИ № 152.
Какие журналы учета вести
Видео:Изменение формы общего журнала работ в 2023 годуСкачать
Инструкция устанавливает два типа журналов:
- Журнал поэкземплярного учета СКЗИ.
В него вносят сведения о ключах ЭП сотрудников — кто получил носитель с ключом подписи, когда и где, даты уничтожения и другая информация.
Способ заполнения журнала отличается в зависимости от типа СКЗИ, от того кто ведет журнал: обладатель ключей ЭП или орган криптографической защиты. Подробно детали заполнения описаны в приказе ФАПСИ № 152.
Форма журнала поэкземплярного учета для органа криптографической защиты — для лицензиатов ФCБ:
Форма журнала поэкземплярного учета для обладателей конфиденциальной информации:
- Технический или аппаратный журнал.
Он помогает следить за аппаратными средствами криптозащиты — например, серверами с установленным ключом ЭП.
Типовая форма технического (аппаратного) журнала:
Чтобы скачать формы для заполнения журналов, перейдите по ссылке.
Что такое порядок использования и хранения ключей ЭП и СКЗИ
Кроме журналов учета инструкция также рекомендует организациям разработать и соблюдать свой регламент хранения и использования ключей ЭП. Для регламента нет единой типовой формы, поэтому компания может разработать документ самостоятельно. Для этого нужно изучить инструкцию и адаптировать требования именно под свою компанию.
Несмотря на то, что регламент в разных компаниях будет отличаться, есть общие требования — регламент должен указывать правила, по которым в организации:
- назначают сотрудников ответственных за учет ключей ЭП и СКЗИ;
- ведут журналы и поэкземплярный учет;
- устанавливают и настраивают СКЗИ;
- обучают работе с ЭП и СКЗИ, ведут пользователей, допущенных к работе с ними;
- контролируют соблюдение условий использования ЭП и СКЗИ;
- действуют в случае, если ключи и СКЗИ утеряны или есть подозрение, что используются неправомерно;
- контролируют соблюдение регламента внутри организации.
Что будет, если не соблюдать инструкцию и не вести журналы учета
Видео:Как вести аппаратный журнал любительской станцииСкачать
За безопасностью в сфере использования конфиденциальных данных в России следит ФСБ России. Ведомство может проводить, как плановые, так и внеплановые проверки в целях контроля использования шифровальных средств.
Если при проверке обнаружат нарушения правил защиты информации, то, согласно ст. 13.12 КоАП РФ, на организацию могут наложить ряд санкций: штрафы для должностных лиц и юрлица, а также конфискацию самих средств криптозащиты.
В итоге не сможет отправить электронную отчетность или работать в системе обмена данными.
Отметим, что на практике некоторые организации не соблюдают приказ ФАПСИ №152, считая, что так как документ утвердили почти двадцать лет назад, то и значимость его устарела. Однако приказ все еще юридически действителен, а в 2016 году ФСБ России подтвердило его актуальность.
Поэтому организациям необходимо обеспечить безопасность хранения, использования и передачи конфиденциальной информации. Если для этого используются электронные подписи и СКЗИ, организация должна их учитывать.
Основной документ, на который можно опираться — приказ ФАПСИ №152 и утвержденная в нем инструкция.
Если ФСБ России решит проверить организацию и обнаружит существенные недостатки, ведомство вправе наложить административный штраф или даже приостановить деятельность организации до устранения недочетов.
Об организации и проведении работ по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных в ооо «ск «ак барс-мед»
Сохрани ссылку в одной из сетей:
Видео:Владимир Ковриженко и его аппаратный журнал UR5EQF LogСкачать
13.1. Требованиянастоящего Положения обязательны длявсех сотрудников обрабатывающихконфиденциальную информацию (персональныеданные).
13.2. Нарушениетребований настоящего Положения влечетза собой дисциплинарную, гражданско-правовую,административную или уголовнуюответственность в соответствии сзаконодательством Российской Федерации.
ПРИЛОЖЕНИЯ
Приложение1 к приказу
от____________№_____
ТИПОВАЯФОРМА
журнал поэкземплярногоучета криптосредств, эксплуатационнойи технической документации к ним,ключевых документов
№ п.п. | Наименование криптосредства, эксплуатационной и технической документации к ним, ключевых документов | Регистрационные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых докумен-тов | Номера экземпляров (криптографичес-кие номера) ключевых документов | Отметка о получении | Отметка о выдаче | ||
От кого получены | Дата и номер сопроводи-тельного письма | Ф.И.О. пользователя криптосредств | Дата и расписка в получении | ||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
Отметка о подключении (установке) СКЗИ | Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов | Примечание | ||||
Ф.И.О. пользователя криптосредств, производившего подключение (установку) | Дата подключения (установки) и подписи лиц, произведших подключение (установку) | Номера аппаратных средств, в которые установлены или к кото-рым подклю-чены крипто-средства | Дата изъятия (уничто-жения) | Ф.И.О. пользователя СКЗИ, производившего изъятие (уничтожение) | Номер акта или расписка об уничтожении | |
9 | 10 | 11 | 12 | 13 | 14 | 15 |
Приложение2 к приказу
от_____________№_____
Видео:Журнал Общих Работ | КС-6 | ЖОР | Производителю работ | Инженеру ПТОСкачать
ТИПОВАЯФОРМА
журналапоэкземплярного учета средств защитыинформации, эксплуатационной и техническойдокументации к ним
№ п.п. | Наименование средства защиты информации, эксплуатационной и технической документации к ним, ключевых документов | Регистрационные номера СЗИ, эксплуатационной и технической документации к ним | Отметка о получении | Отметка о выдаче | ||
От кого получены | Дата и номер сопроводи-тельного письма | Ф.И.О. пользователя | Дата и расписка в получении | |||
1 | 2 | 3 | 4 | 5 | 6 | 7 |
Отметка о подключении (установке) СЗИ | Отметка об изъятии СЗИ из аппаратных средств | Примечание | ||||
Ф.И.О. пользователя, производившего подключение (установку) | Дата подключения (установки) и подписи лиц, произведших подключение (установку) | Номера аппаратных средств, в которые установлены или к кото-рым подклю-чены СЗИ | Дата изъятия (уничто-жения) | Ф.И.О. пользователя СЗИ, производившего изъятие (уничтожение) | Номер акта или расписка об уничтожении | |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
Приложение 3
кприказу от_______№_____
ТИПОВАЯФОРМА
журнала учетамашинных носителей информации
№ п/п | Регистрационный (учетный) номер носителя | Вид носителя | Тип носителя и его емкость | Дата поступления |
1 | 2 | 3 | 4 | 5 |
Расписка в получении (ФИО, подпись, дата) | Расписка в обратном приеме (ФИО, подпись, дата) | Место хранения | Дата и номер акта об уничтожении | Примечание |
6 | 7 | 8 | 9 | 10 |
Приложение4 к приказу
от___________№_____
ТИПОВАЯФОРМА
Видео:Аппаратный журнал UR5EQFСкачать
журнала учетахранилищ
№ п/п | Регистрационный (учетный) номер хранилища | Вид хранилища | Дата постановки на учет | Фамилия и подпись принявшего (ответственного), дата |
1 | 2 | 3 | 4 | 5 |
Место расположения (номер помещения) | Дата и номер акта о выводе из эксплуатации | Примечание |
6 | 7 | 8 |
Приложение 5 к приказу
https://www.youtube.com/watch?v=1nEYMMNw7_M
от _____________№_____
ТИПОВАЯ ФОРМА
журнала периодического тестирования средств защиты информации
№ п/п | Наименование средства защиты информации от НСД или криптосредства | Регистрационные номера СЗИ от НСД или криптосредства | Дата тестирования | Фамилия и подпись ответственного пользователя, проводившего тестирование |
1 | 2 | 3 | 4 | 5 |
Наименование теста, используемые средства для проведения теста |
📹 Видео
Аппаратные журналы в поле: бумажные, на андроиде, браузерныйСкачать
Общий журнал работ, заполнение ОЖР, специальные журналы работ в строительстве входного контроляСкачать
Нивелирование. Обработка журнала нивелированияСкачать
Начало работы с UR5EQF LogСкачать
Как правильно прошить и опечатать документСкачать
Заполнение журнала учета качества предстерилизационной обработкиСкачать
ДЕЗликбез. Как заполнять журнал генеральных уборокСкачать
Общий журнал работСкачать
Типография: как печатают журналыСкачать
Как правильно подшивать журнал?Скачать
logger32 часть № 1Скачать
ДЕЗликбез. Как заполнять журнал учета текущих уборокСкачать
ДЕЗликбез. Как заполнять журнал контроля работы стерилизатораСкачать
Правильное ведение Журнала учета Путевых листов - Ответы на вопросыСкачать
