Рубрикатор

Журнал учета СКЗИ

Компании и ИП, работающие с электронной подписью (сокращенно ― ЭП), а также со средствами криптозащиты информации (сокращенно ―СКЗИ), должны соблюдать ряд правил, в том числе и по ведению отчетных журналов. В них вносится вся служебная информация о ключах с ЭП ― кто получил, когда и где, вернул ли при увольнении или переводе на другую должность. Форма ведения ведомостей утверждена Приказом Федерального агентства правительственной связи и информации №152 от 13 июня 2001 года.

Общие положения о работе с СКЗИ

Допуск к использованию СКЗИ возможен при наличии пакета документов. Его формирование осуществляется по следующему алгоритму.

  1. Руководитель предприятия назначает сотрудника, ответственного за эксплуатацию шифровальных приборов. Это подтверждается внутренним приказом.
  2. Определяется круг лиц с доступом к СКЗИ.
  3. Разрабатывается инструкция пользователя. Она должна представлять собой адаптированный свод правил, соответствующих рекомендациям приказа ФАПСИ.
  4. Формируются журналы поэкземплярного учета средств криптозащиты и ключей от помещения, где хранятся устройства-носители электронной подписи.
  5. Составляется заключение о допуске ответственных сотрудников к работе с устройствами криптозащиты.

Для внутреннего регламента использования и хранения ключей ЭП нет единого шаблона. Этот документ составляется с опорой на специфику работы предприятия. И хотя у каждой компании свод правил получается свой, существует набор общих принципов, которые нужно обязательно отразить в рабочем документе.

  1. Правила назначения ответственных за учет ключей электронной подписи.
  2. Порядок обучения работе с шифровальными устройствами и ключами ЭП.
  3. Принципы ведения поэкземплярного учета.
  4. Правила контроля соблюдения регламента работы с ключами ЭП.
  5. Действия при утрате или некорректном использовании ключей цифровой подписи.

Регламент может содержать и другие разделы, которые важны для работы с конфиденциальной информацией, защищенной криптографическим ключом.

Формы журнала учета

Предприятия, работающие с СКЗИ, должны вести ведомости двух типов.

  1. Поэкземплярный учет ЭП. В него вносится информация о любых перемещениях носителя с цифровым ключом. Способы ведения журнала будут различными в зависимости от типа СКЗИ и того, кем заполняется документ: обладателем ЭП или органом криптографической защиты.
  2. Аппаратный или технический учет. В этом журнале отражаются сведения о приборах СКЗИ (серверах с установленными цифровыми ключами, тахографах и прочих устройствах).

Порядок работы с криптозащитой отражен в приказе ФСБ РФ №66 от 09 февраля 2005 г. Здесь же сказано о необходимости фиксации всех рабочих данных. В журнале технического учета нужно указать информацию о полученных и выработанных документах, касающихся программных и аппаратно-программных СКЗИ. Здесь же отражается и следующая информация.

  1. Дата установки СКЗИ.
  2. Фамилия, имя ответственного сотрудника, работающего с компьютером, на которому установлена криптозащита.
  3. Данные ответственного за установку.
  4. Инвентарный или серийный номер компьютера с СКЗИ.
  5. Дата деинсталляции и данные ответственного за нее.

Если защита переносится на другой компьютер, ей присваивается новый номер, и информация об этом также должны быть отражена в журнале в виде отдельной записи.

Кому нужно вести журнал учета СКЗИ

Средствами криптозащиты могут пользоваться две основных категории лиц.

  1. Лицензиаты ФСБ. В эту категорию входят компании, которые оказывают платные услуги по разработке, распространению, монтажу и обслуживанию средств СКЗИ, ключей ЭП. К этим организациям предъявляются наиболее строгие требования по ведению учета.Такие компании должны иметь свой регламент установки и хранения СКЗИ, они могут оказывать консультационную поддержку для других лиц, работающих с конфиденциальной информацией и помогать им в ведении журналов.
  2. Организации, не обладающие статусом лицензиата ФСБ. Они используют в своей работе информацию, которая требует криптозащиты, а потому обращаются к программно-аппаратным средствам для ее осуществления. К подобным особо оберегаемым сведениям относятся персональные данные третьих лиц, а также предусмотренная законодательством отчетность. В нормативных документах лица, работающие с подобными данными, называются обладателями конфиденциальной информации.

Журнал поэкземплярного и технического учета шифровальных средств должны вести предприятия обеих категорий.

Что будет, если отказаться от ведения отчетного журнала

Основной документ, на который стоит опираться при работе с СКЗИ ― приказ 152 ФАПСИ. В нем утверждена инструкция ведения отчетных ведомостей. Однако документ был принят еще в 2001 году, что дает некоторым компаниям основание полагать, что он утратил силу. На самом деле это не так. Несмотря на возраст приказа, ФСБ признает его действительность. Служба следит за соблюдением правил использования конфиденциальных данных и в целях осуществления контроля может проводить плановые или внеплановые проверки. Если в ходе аудита будут выявлены нарушения в работе с шифровальными средствами, возможно применение следующих мер:

  • наложение штрафа на юридическое или должностное лицо;
  • конфискация средства шифрования, что лишает организацию возможности к обмену данными;
  • приостановление деятельности компании вплоть до устранения обнаруженных недочетов.

Какой из вариантов санкций будет применен, зависит от степени важности обнаруженных нарушений. Чтобы избежать претензий со стороны ФСБ, обращайтесь к сотрудникам компании «Автономика». Мы являемся лицензиатами Федеральной службы безопасности и можем помочь в ведении журналов учета СКЗИ.