- Что в итоге?
- Что такое порядок использования и хранения ключей эп и скзи
- Основные особенности
- Что будет, если не соблюдать инструкцию и не вести журналы учета
- Автоматизированное хранение ключей
- Дополнительное документальное сопровождение
- Зачем нужен учёт приема и выдачи ключей в организации
- Как хранить ключи
- Какие журналы учета вести
- Ключи с особым регламентом выдачи
- Кто и как ведет учет
- Лицензиаты фсб
- Нормативные документы
- Общие положения регламента использования эцп в организации
- Организации, которые не являются лицензиатами фсб
- Организация ключевого хозяйства на предприятии
- Организация работы с носителями ключевой информации
- Организация хранения аварийных ключей
- Порядок и хранение «аварийных» ключей от кабинетов
- Порядок и хранение ключей от кабинетов в организации
- Порядок обращения с ключами от электроустановок
- Порядок проверки соответствия
- Правила хранения и использования эцп
- Приём и выдача ключей
- Приказ
- Приказ о порядке хранения и выдачи ключей от электроустановок
- Рекомендации по обеспечению безопасности при работе с эцп
- Способы и правила хранения ключей
- Шаблоны документов
- Электронная подпись документов: как подписать, у ково есть право подписи, доверенность
Что в итоге?
Сложно не согласиться с тем, что все эти требования уже давно морально устарели и Инструкция нуждается в актуальных корректировках, но пока мы вынуждены выполнять требования ее текущей редакции. Обратите внимание, что для ведения журнала поэкземплярного учета СКЗИ в электронном виде требуется подписывать документы только квалифицированной ЭП либо сопровождать каждое действие соответствующими актами. Если же речь идет о физическом документе, то все данные и подписи должны быть внесены в него всеми ответственными лично.
Безусловно, учет СКЗИ – это только один из множества обязательных к исполнению процессов, описанных в документе. В будущем мы постараемся подробно описать процесс опломбирования СКЗИ, технологию их уничтожения и многое другое.
Надеемся, эта памятка была для вас полезной.
Что такое порядок использования и хранения ключей эп и скзи
Кроме журналов учета инструкция также рекомендует организациям разработать и соблюдать свой регламент хранения и использования ключей ЭП. Для регламента нет единой типовой формы, поэтому компания может разработать документ самостоятельно. Для этого нужно изучить инструкцию и адаптировать требования именно под свою компанию.
Несмотря на то, что регламент в разных компаниях будет отличаться, есть общие требования — регламент должен указывать правила, по которым в организации:
- назначают сотрудников ответственных за учет ключей ЭП и СКЗИ;
- ведут журналы и поэкземплярный учет;
- устанавливают и настраивают СКЗИ;
- обучают работе с ЭП и СКЗИ, ведут пользователей, допущенных к работе с ними;
- контролируют соблюдение условий использования ЭП и СКЗИ;
- действуют в случае, если ключи и СКЗИ утеряны или есть подозрение, что используются неправомерно;
- контролируют соблюдение регламента внутри организации.
Основные особенности
Выдача ключей учитывается оперативным штатом. Если он отсутствует, то ответственность за это может быть возложена на технических сотрудников и управленцев. Для обеспечения контроля ключи требуется пронумеровать. Храниться они должны в ящиках, которые запираются. Желательно, чтобы имелись и основные, и запасные комплекты.
Ключи могут выдаваться этим специалистам:
- Сотрудники, которые уполномочены проводить осмотр помещений.
- Руководитель.
- Лицо, работа которого связана с электроустановками.
- Наблюдатель за выполнением работ.
Ключи предоставляются исключительно под расписку. Если напряжение в установке превышает 1 000 Вольт, доступ будет ограничен дополнительно. В этом случае ключи могут выдаваться только представителям оперативного персонала. Возвращаться они должны каждый день по завершению работ. Возврат фиксируется в специальном журнале.
ВАЖНО! Предоставление ключей заверяется подписью специалиста, ответственного за выдачу, и подписью лица, получающего ключи.
Что будет, если не соблюдать инструкцию и не вести журналы учета
За безопасностью в сфере использования конфиденциальных данных в России следит ФСБ России. Ведомство может проводить, как плановые, так и внеплановые проверки в целях контроля использования шифровальных средств. Если при проверке обнаружат нарушения правил защиты информации, то, согласно ст. 13.
Отметим, что на практике некоторые организации не соблюдают приказ ФАПСИ №152, считая, что так как документ утвердили почти двадцать лет назад, то и значимость его устарела. Однако приказ все еще юридически действителен, а в 2022 году ФСБ России подтвердило его актуальность.
Поэтому организациям необходимо обеспечить безопасность хранения, использования и передачи конфиденциальной информации. Если для этого используются электронные подписи и СКЗИ, организация должна их учитывать. Основной документ, на который можно опираться — приказ ФАПСИ №152 и утвержденная в нем инструкция.
Источник
Автоматизированное хранение ключей
Помимо привычных и широко распространенных способов хранения ключей существуют и современные интеллектуальные системы хранения, такие как электронные ключницы от Ecos. Это самый безопасный и надежный способ хранения, исключающий человеческую ошибку, так как доступ к ключам возможен только при персональной идентификации.
Порядок и хранение ключей от кабинетов подлежат чёткой регламентации, фиксирования в специальном документе. Строгость и внимание к каждому нюансу, понимание ответственности не только со стороны администрации, но и рядовых сотрудников позволяет предотвратить хищения важных документов, порчу оборудования, грамотно и быстро реагировать в случае возникновения чрезвычайных ситуаций.
Источник
Дополнительное документальное сопровождение
Любые манипуляции с ключами нужно отражать в журнале. Информацию рекомендуется представлять в форме таблицы со следующими колонками:
- Дата и время предоставления комплекта.
- Номер цеха, в котором находится электроустановка.
- Основание для предоставления ключей (к примеру, деятельность по наряду).
- ФИО лица, предоставившего ключи.
- ФИО сотрудника, получившего комплект.
- Запись о возврате ключей.
Журнал необходимо пронумеровать, поставить на нем печать организации. На нем также должна стоять подпись лица, ответственного за электрохозяйство.
Источник
Зачем нужен учёт приема и выдачи ключей в организации
С древних времен на ДОЛЖНОСТЬ КЛЮЧНИКА назначали самого ответственного воина, умеющего хранить секреты и умеющего постоять за себя и за охраняемые ценности в случае чего. Должность эта существует и в наши дни, и к тому же мало изменилась, только перешла в плоскость современных технологий и автоматизированного компьютерного контроля.
ВАЖНО ОТМЕТИТЬ, что под ключами мы подразумеваем не только традиционные металлические ключи различных типов, но и современные электронные карты доступа (пластиковые карты, брелоки и др.). Системы БИО-идентификации (по отпечатку пальцев, сетчатке глаза и др.), описаны на нашем сайте отдельно, и мы в данной статье в расчет не берем.
Как хранить ключи
Качество порядка и хранения ключей от кабинетов зависит от устройства, в котором они будут хранится. Оно может быть как самодельным, так и специально изготовленным. К самодельным можно отнести:
- Доска и крючки для одежды. Наиболее простой вариант.
- Держатель с пазами. Конструкция представляет собой брусок из дерева, в котором сделаны пазы. В них и вставляются ключи.
- Магнитный держатель. Простой и эффективный способ хранения ключей. Нужен большой магнит, который можно закрепить на стене при помощи липкой ленты.
Если у вас нет времени на самостоятельное создание ключницы или вы хотите придать ей фирменный стиль, закажите её у специалистов. Они смогут изготовить подходящую модель из качественных материалов.
Какие журналы учета вести
Инструкция устанавливает два типа журналов:
- Журнал поэкземплярного учета СКЗИ.
В него вносят сведения о ключах ЭП сотрудников — кто получил носитель с ключом подписи, когда и где, даты уничтожения и другая информация.
Способ заполнения журнала отличается в зависимости от типа СКЗИ, от того кто ведет журнал: обладатель ключей ЭП или орган криптографической защиты. Подробно детали заполнения описаны в приказе ФАПСИ № 152.
Форма журнала поэкземплярного учета для органа криптографической защиты — для лицензиатов ФCБ:
Форма журнала поэкземплярного учета для обладателей конфиденциальной информации:
- Технический или аппаратный журнал.
Он помогает следить за аппаратными средствами криптозащиты — например, серверами с установленным ключом ЭП.
Типовая форма технического (аппаратного) журнала:
Ключи с особым регламентом выдачи
В ряде компаний и производств есть кабинеты, в которых содержится документация с отчётностью. Порядок и хранение ключей от них прописывается в специальном приказе. Заходить в такие комнаты может администрация или ответственные лица, которым делегированы такие полномочия:
- руководитель;
- бухгалтер или инспектор по кадрам;
- лицо, несущее ответственность за помещение.
Чёткое выполнение порядка хранения и выдачи ключей предотвращает попытки преступного доступа злоумышленников. Компания может избежать порчи дорогостоящей техники или кражи ценных предметов.
Кто и как ведет учет
Если организация является обладателем конфиденциальной информации, то ей, скорее всего, требуется обеспечить безопасную передачу, обработку и хранение этой информации с помощью СКЗИ. К слову, к последним инструкция относит как сами программные или аппаратно-программные средства, так и информацию, необходимую для их работы, ключи, техническую документацию.
Организует и контролирует все работы с СКЗИ орган криптографической защиты (ОКЗ). Это может быть как структурное подразделение (или конкретный сотрудник) внутри организации (обладателе конфиденциальной информации), так и внешний подрядчик (например, сервис-провайдер).
В первом случае организация должна издать приказ о создании ОКЗ, определить его структуру и обязанности сотрудников. Например:
Все работники, которые занимаются установкой и настройкой СКЗИ и в принципе имеют к ним доступ, должны быть внесены в приказ и ознакомлены с ним. Для каждой должности нужно разработать должностную инструкцию и ознакомить пользователей с порядком применения СКЗИ.
В итоге перечень необходимых документов состоит из:
Мы помним, что по всем СКЗИ должен вестись поэкземплярный учет, а их движение (формирование, выдача, установка, передача, уничтожение) должно быть документально подтверждено. Для этого и обладатель конфиденциальной информации, и орган криптографической защиты должны вести журналы (каждый свой) поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.
Но если орган криптографической защиты информации – это структурное подразделение организации, на его плечи ложится ведение обоих журналов. Дело в том, что в этом случае организация не только является обладателем конфиденциальной информации, но и выполняет часть функций ОКЗ.
Например, крупные холдинги, как правило, выделяют в своем составе ИТ-компанию, которая в том числе отвечает за информационную безопасность с использованием СКЗИ. Она ведет все журналы и сопутствующую документацию и является для своего холдинга поставщиком услуг.
Если услуги оказывает сервис-провайдер, то он заполняет журнал учета для органа криптографической защиты, а организация – журнал для обладателя конфиденциальной информации.
Вы еще тут? Надеемся, не запутались!
Журналы учета хранятся в течение 5 лет. Сами СКЗИ и документация к ним должны находиться за семью замками в специальном помещении, а доступ туда могут иметь только сотрудники ОКЗ.
Операции с СКЗИ: взятие на учет
Рассмотрим порядок учета на конкретном примере (данные в таблицах ниже вымышленные все совпадения случайны). Организация N – обладатель конфиденциальной информации – хочет использовать СКЗИ компании «КриптоПро». При этом организация N не готова создавать у себя ОКЗ и обращается к сервис-провайдеру, который будет предоставлять ей соответствующие услуги. Итак, для начала вендор ПАК должен предоставить организации N исходные данные для учета. Выглядит это так:
В 1–6 графы журнала поэкземплярного учета должна попасть информация о:
После заполнения всех этих данных СКЗИ выдаются пользователям, то есть тем работникам в организации, для которых они закупались. Это может быть как сотрудник бухгалтерии, который применяет ЭП для подписания и отправки документов, так и другой ответственный специалист, взявший на себя обязательства по сохранности СЗКИ.
На этом этапе заполняются 7 и 8 графы журнала (кому и когда выдается СКЗИ – с обязательной росписью пользователя). Если возможности расписаться в журнале нет, то можно заполнить акт передачи, где в свободной форме указывается, кто (администратор безопасности) и кому (пользователю)
В 9 графу записывается имя сотрудника, производившего установку СКЗИ. Чаще всего это делает специалист технической поддержки, который также является администратором безопасности. Но это может быть и пользователь, если он обладает соответствующими навыками и правами доступа в сеть. В 11 графе указывается серийный номер материнской платы или номер опечатывающей пломбы системного блока.
Если сотрудник, который производил установку, уволился, то СКЗИ нужно изъять и составить акт, в котором указывается предмет и способ изъятия (например, удаление ключевой информации с носителя). Все это фиксируются в 12, 13, 14 графах.
При уничтожении СКЗИ также составляется соответствующий акт. В нем должны быть указаны предмет и способ уничтожения. Программные СКЗИ стирают с носителя ключевой информации (чистка реестра), а ПО деинсталлируют. С аппаратных СКЗИ можно удалить ключевую информацию либо уничтожить их физически.
Ниже пример журнала, заполненного организацией – обладателем конфиденциальной информации. ООО «Компания» – это сервис-провайдер, который выполняет функции органа криптографической защиты для организации.
Заглянуть в журнал учета
Журнал учета СКЗИ для органа криптографической защиты во многих пунктах перекликается с аналогичным документом для организации и заполняется по такому же принципу, поэтому не будем подробно останавливаться на его разборе. В примере ниже ООО «Организация» – это обладатель конфиденциальной информации, который воспользовался услугами сервис-провайдера.
Заглянуть в журнал еще раз
Лицензиаты фсб
Эти компании оказывают платные услуги, связанные с использованием СКЗИ: их разработкой, распространением, установкой, обслуживанием и т.д. Это могут быть удостоверяющие центры, которые выпускают сертификат электронных подписей, или, например, дистрибьюторы СКЗИ.
К лицензиатам предъявляется самый большой список требований по соблюдению инструкции. Они должны создать у себя орган криптографической защиты информации, разработать свой регламент по соблюдению инструкции и вести журналы учета ключей ЭП и СКЗИ. Орган криптозащиты контролирует, как организация соблюдает инструкцию из приказа ФАПСИ №152.
Лицензиаты также могут помогать другим компаниям соблюдать требования регулятора — ФСБ России.
Нормативные документы
Помимо приказа ФАПСИ организации должны придерживаться в своей работе с электронной подписью следующий документов:
Все внутренние положения, регламенты и инструкции по использованию средств электронной цифровой подписи должны строиться на этих управляющих документах и отвечать их требованиям.
Общие положения регламента использования эцп в организации
Документ должен включать все принципы использования ЭЦП в организации и содержать следующие разделы:
- термины и определения;
- нормативные ссылки;
- основные положения;
- требования к использованию ЭЦП;
- организация работы с носителями ключевой информации;
- правила получения сертификата ключа ЭЦП;
- правила предоставления данных о статусе сертификата ЭЦП;
- порядок использования ЭЦП;
- условия признания юридической силы ЭЦП;
- порядок отзыва сертификата ключа ЭЦП;
- процедура восстановления работы ранее приостановленного сертификата ЭЦП.
Дополнительно к документу указываются ссылки на положения по электронному документообороту, а также на приложения в виде журнала учета электронной подписи, акта уничтожения ключевых носителей и т.д.
Организации, которые не являются лицензиатами фсб
Обязательно соблюдать приказ ФАПСИ №152 и вести журналы учета ключей ЭП должны предприятия, которые используют СКЗИ для защиты конфиденциальной информации, если такая информация по закону подлежит защите — например, для персональных данных или при передаче отчетности. В приказе их называют «обладатели конфиденциальной информации».
Если организации используют СКЗИ для защиты информации, не подлежащей обязательной защите, то требования инструкции ФАПСИ носят рекомендательный характер. Например, это касается компании, которая приобрела сертификат ЭП и средства криптозащиты только для внутреннего пользования — подписания внутренних документов, шифрования результатов своей работы.
Организациям, которые будут соблюдать требования приказа ФАПСИ №152, нужно создать регламент хранения и использования электронных подписей на основе утвержденной приказом инструкции и вести журналы учета. Сделать это можно одним из двух способов:
- Самостоятельно создать регламент, назначить конкретного сотрудника, который будет отвечать за его соблюдение и вести журналы.
- Обратиться к лицензиатам ФСБ и поручить им разработку регламента и журналов, и при необходимости, передать им контроль за тем, как соблюдается инструкция и внутренний регламент.
СКБ Контур — лицензиат ФСБ и поможет организовать учет электронных подписей в компании. Специалисты проекта Контур.Безопасность создадут всю необходимую документацию и проконтролируют соблюдение регламента и инструкции из приказа ФАПСИ № 152.
Организация ключевого хозяйства на предприятии
Как правило, на большинстве предприятий, ключи выдаются и принимаются под охрану с записью В «ЖУРНАЛЕ ПРИЁМА ПОД ОХРАНУ И ВЫДАЧИ КЛЮЧЕЙ», в котором УКАЗЫВАЮТСЯ:
Источник
Организация работы с носителями ключевой информации
Пользователи, имеющие доступ к средствам электронной подписи, несут ответственность за ее сохранность согласно ФЗ-63. Список лиц, имеющих доступ к носителям ключевой информации, должен быть составлен руководством организации и зафиксирован в журнале учета выдачи электронной подписи.
Руководство организации также обязано назначить сотрудника, ответственного за осуществление электронных взаимодействий со сторонними агентами, и наделить его правом устанавливать электронную подпись соответствующим приказом.
Директор отдела информационной безопасности по согласованию с руководителем организации назначает ответственных за установку на рабочих местах средств для работы с ЭЦП. Контроль за использованием средств электронной подписи, а также за хранение и безопасность ЭЦП ложится на сотрудников компании.
Организация хранения аварийных ключей
Лучше держать такие ключи в помещении охраны или на ресепшне на первом этаже – то есть там, где находится пост службы безопасности. Крайне желательно обеспечить видеонаблюдение круглые сутки.
Для обеспечения порядка и хранения аварийный ключей от кабинетов лучше всего использовать специальный пенал. Он должен быть опломбирован номерной пломбой и иметь наклейку с информацией.
Порядок и хранение «аварийных» ключей от кабинетов
Хранение «комплектов» ключей строится на следующих принципах:
- Необходимо хранить такие ключи в охраняемом помещении или на стойке, к которой будет доступ у технического персонала.
- Операции с ключами фиксируются в документе, а лица, на которых возложена ответственность – инструктированы. Необходимо оформить реестр аварийных ключей.
Порядок и хранение ключей от кабинетов в организации
Большие производственные предприятия и организации, компании, ВУЗы и другие учреждения образования имеют немалое количество помещений. Подавляющее большинство из них должно закрываться, а доступ в некоторые и вовсе строжайше регламентируется.
Ключи сдаются каждый день и охраняются по следующим причинам:
- защита при возникновении чрезвычайных ситуаций;
- беспрепятственный доступ в помещение сотрудников;
- регламентированный порядок хранения и выдачи ключей сотрудникам;
- все ключи хранятся всегда в одном месте
Порядок и хранение ключей от кабинетов определяется администрацией учреждения. Стойки и устройства для их содержания могут быть разными. Это специально отведённая комната или шкаф, ключница или стенд на стойке охраны.
В каждой организации существует регламент, в соответствии с которым осуществляется хранение и администрирование ключевого хозяйства. Комплекты ключей выдаются:
- уполномоченным лицам, информация о которых внесена в специальный журнал;
- в установленный период;
- под роспись с обязательным указанием даты и времени, когда был взят ключ.
Порядок обращения с ключами от электроустановок
Каждое здание имеет помещение, в котором находится специализированное оборудование – электроустановки. От качества их функционирования зависит нормальное функционирование учреждения, поэтому далеко не каждый сотрудник имеет к ним доступ. Рекомендуется кроме главного комплекта ключей электроустановок иметь запасной, который будет содержаться в отдельном месте.
Хранение ключей от электроустановок регламентируется локальным документом. Комплект выдаётся только уполномоченному и обученному лицу, с которым был проведён инструктаж. Желательно, чтобы ключу присваивался собственный номер. Пронумеровать необходимо и запасной комплект.
Общие правила хранения ключей от электроустановок, а также операций с ними:
- помещение всегда закрыто;
- замки и прочие приспособления для закрытия выдаются только при условии выполнения записи в журнале тем ответственным лицам, у которых есть на то специальное разрешение;
- комплект нужно возвращать каждый день под охрану.
Порядок проверки соответствия
Такая проверка производится не реже 1 раза в год. Она может выполняться и чаще, если необходимо (заменили замок, было хищение). Для проверки нужны:
- реестр аварийный ключей;
- бланк акта, в котором фиксируется информация о вскрытии пенала;
- номерные пломбы наклейки для замены.
Правила хранения и использования эцп
Носитель электронной цифровой подписи изготавливается в удостоверяющем центре и обслуживается сторонней организацией. Генерация ключей и их запись на токен (ключевой носитель) происходит на специальном сертифицированном оборудовании с использованием регламентированных технологических процессов.
Установка на рабочее место ПО АРМ от КриптоПро призвано гарантировать безопасность ключевой информации. Для возможности восстановления сертификата ключевой подписи в случае поломки носителя создается его копия на персональном компьютере. Безопасность информации во время копирования информации обеспечивается переносом данных только при помощи ПО «АРМ Генерация ключей». Носители ЭЦП маркируются специальными этикетками с номерами, соответствующими записи в журнале выдачи ЭЦП.
Каждому пользователю выдается личный носитель сертификата ЭЦП, содержащий закрытый ключ электронной подписи. Пользователь обязан хранить носители ЭЦП в месте, недоступной сторонним лицам.
Приём и выдача ключей
Осуществляется через специальный журнал. Каждый раз, когда ответственный пользуется ключами, оно должно вносить соответствующую информацию.
Приказ
Порядок хранения и предоставления ключей устанавливается приказом. Составляется распоряжение в свободной форме. Его образец:
23 июля 2022 года
О порядке хранения и предоставления ключей
На основании норм охраны труда при использовании электроустановок
1. Ключи пронумеровать. При этом использовать порядковые номера. 2. Хранить комплект в ящике, который запирается. 3. Оперативным сотрудникам отдать рабочий комплект ключей, занимающимся электрохозяйством – запасной. 4. При предоставлении ключей делать запись в специальном журнале. 5.
Руководитель компании А.С. Григоньян (подпись)
Приказ о порядке хранения и выдачи ключей от электроустановок
Электроустановки представляют собой объекты с повышенной опасностью, находящиеся под напряжением. По этой причине доступ к ним ограничен посредством замка. Доступ к ключам от этого замка нужно контролировать. Для этого используются различные документы.
- Бланк и образец
- Бесплатная загрузка
- Онлайн просмотр
- Проверено экспертом
Рекомендации по обеспечению безопасности при работе с эцп
На ПК должно быть установлено только лицензионное ПО последней версии. Обновление программного обеспечения обязательное условие безопасного использования средств ЭЦП. Также на ПК устанавливается антивирусное программное обеспечение с регулярным обновлением, а все съемные носители и файлы, запускаемые из сети, должны проверяться антивирусом перед открытием. Рекомендуется использовать ограничение IP-диапазона, блокировку сетевых атак и средства фильтрации трафика.
Способы и правила хранения ключей
На различных предприятиях и в офисных зданиях предусмотрено НЕСКОЛЬКО СПОСОБОВ ХРАНЕНИЯ УЛЮЧЕЙ, которые могут быть использованы по отдельности или в комплексе. В их число входят:
Шаблоны документов
7 (499) 949-49-19 доб: 5454*
Телефон для связи с администратором
безопасности ОКЗ:
7 (499) 949-49-19 доб: 5452*
Телефон для связи с поддержкой ИС ОКЗ:
7 (499) 949-49-19 доб. 5775*
Телефон для связи с поддержкой сети ViPNet:
7 (499) 949-49-19 доб. 5455*
Телефон для связи с поддержкой ПДС:
7 (499) 949-49-19 доб. 6700*
Телефон для справок:
7 (499) 949-29-99 доб.: 0
с КТС: внутренний 1111
*При звонке из КСПД Госкорпорации “Росатом”
перед добавочным номером указывать КТС: 115
Электронная подпись документов: как подписать, у ково есть право подписи, доверенность
Сдавать отчетность обязаны все организации и индивидуальные предприниматели, которые ведут хозяйственную деятельность. Также перед государством отчитываются физические лица, получающие дополнительный доход. Подавать отчеты можно на бумаге или в электронном виде. Что нужно, чтобы отчитываться через интернет?