Приказ фас россии от 16.07.2020 n 658/20 об обращении со средствами криптографической защиты информации
ФЕДЕРАЛЬНАЯ АНТИМОНОПОЛЬНАЯ СЛУЖБА
ПРИКАЗ
от 16 июля 2020 г. N 658/20
ОБ ОБРАЩЕНИИ
СО СРЕДСТВАМИ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ
В цели исполнения требований “Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну”, утвержденной приказом ФАПСИ от 13 июня 2001 г. N 152, приказываю:
1. Назначить ответственными за организацию работ по криптографической защите информации Ответственные лица: специалиста отдела Информационной безопасности ФБУ “ИТЦ ФАС России” Калантаряна Шаварша Суреновича, специалиста отдела Информационной безопасности ФБУ “ИТЦ ФАС России” Маркелова Даниила Денисовича, ведущего специалиста отдела Информационной безопасности ФБУ “ИТЦ ФАС России” Саяпина Андрея Сергеевича.
2. Утвердить Инструкцию по обращению со средствами криптографической защиты информации (СКЗИ) (приложение N 1).
3. Утвердить Инструкцию ответственного за организацию работ по криптографической защите информации (приложение N 2).
4. Утвердить Инструкцию пользователей средств криптографической защиты информации (приложение N 3).
5. Ответственному за организацию работ по криптографической защите информации ознакомиться под роспись и руководствоваться в своей деятельности Инструкцией по обращению со средствами криптографической защиты информации и Инструкцией ответственного за организацию работ по криптографической защите информации.
6. Ответственному за организацию работ по криптографической защите информации ознакомить под роспись пользователей СКЗИ с Инструкцией по обращению с СКЗИ и Инструкцией пользователей средств криптографической защиты информации.
7. Пользователям, которым необходимо получить доступ к работе с СКЗИ, пройти обучение и проверку знаний по правилам работы с СКЗИ.
8. Утвердить форму Перечня пользователей СКЗИ (приложение N 5).
9. Утвердить форму Журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложение N 4).
10. Утвердить форму Акта об уничтожении криптографических ключей, содержащихся на ключевых носителях и ключевых документов (приложение N 6).
11. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Доценко А.В.
Руководитель
И.Ю.АРТЕМЬЕВ
Приложение N 1
к приказу ФАС России
от 16.07.2020 N 658/20
ИНСТРУКЦИЯ
ПО ОБРАЩЕНИЮ СО СРЕДСТВАМИ КРИПТОГРАФИЧЕСКОЙ
ЗАЩИТЫ ИНФОРМАЦИИ
1. Общие положения
Настоящая Инструкция разработана в целях регламентации действий лиц, допущенных к работе со средствами криптографической защиты информации (СКЗИ), которые осуществляют работы с применением СКЗИ.
Под работами с применением СКЗИ в настоящей Инструкции понимаются защищенное подключение к информационным системам, подписание электронных документов электронной подписью и проверка подписи, шифрование файлов другие действия согласно технической документации на СКЗИ.
Под обращением с СКЗИ в настоящей Инструкции понимается проведение мероприятий по обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.
Данная инструкция регламентирует работу с применением СКЗИ для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.
Настоящая Инструкция в своем составе, терминах и определениях основывается на положениях “Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну”, утвержденной приказом ФАПСИ от 13 июня. 2001 г. N 152 (далее – Инструкция ФАПСИ от 13 июня 2001 г. N 152), “Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)”, утвержденного приказом ФСБ РФ от 9 февраля 2005 г. N 66, а также “Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности”, утвержденных приказом ФСБ от 10.07.2022 N 378.
2. Термины и определения
Информация ограниченного доступа – информация, доступ к которой ограничен федеральными законами;
Исходная ключевая информация – совокупность данных, предназначенных для выработки по определенным правилам криптоключей;
Ключевая информация – специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока;
Ключевой документ – физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости – контрольную, служебную и технологическую информацию.
Ключевой носитель – физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).
Компрометация – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
Криптографический ключ (криптоключ) – совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе;
Орган криптографической защиты (ОКЗ) – структурное подразделение Организации, работник Организации или стороннее юридическое лицо, на которое возложены обязанности по разработке и осуществлении мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ информации ограниченного доступа.
Ответственный за организацию работ по криптографической защите информации (Ответственный) – сотрудник Организации, отвечающий за реализацию мероприятий связанных с обеспечением в Организации безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.
Персональный компьютер (ПК) – вычислительная машина, предназначенная для эксплуатации пользователем Организации в рамках исполнения должностных обязанностей.
Пользователи СКЗИ – работники Организации, непосредственно допущенные к работе с СКЗИ.
Средство криптографической защиты информации (СКЗИ) – совокупность аппаратных и (или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью, шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении.
Электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
3. Порядок получения допуска пользователей к работе с СКЗИ
Для получения допуска к работе с СКЗИ, работнику необходимо пройти обучение правилам работы с СКЗИ и проверку знаний.
Основанием для допуска пользователя к работе с СКЗИ является внесение его в перечень пользователей СКЗИ, утверждаемый руководителем Организации.
Контроль над реализацией данных мероприятий возлагается на Ответственного.
4. Работа с СКЗИ
Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, в помещениях пользователей СКЗИ должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей в присутствии посторонних лиц запрещено. В организации должны быть обеспечены условия хранения ключевых носителей, исключающие возможность доступа к ним посторонних лиц, несанкционированного использования или копирования ключевой информации.
Для исключения утраты ключевой информации вследствие дефектов носителей рекомендуется, после получения ключевых носителей, создать рабочие копии. Копии должны быть промаркированы и должны использоваться, учитываться и храниться в общем порядке. Все копии учитываются за отдельным номером.
Каждый ключевой документ должен быть зарегистрировать в Журнале поэкземплярного учета СКЗИ.
Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только с разрешения руководителя организации с соответствующей пометкой в журнале поэкземплярного учета.
При обнаружении на рабочей станции с установленным СКЗИ программного обеспечения, не соответствующего объему и сложности решаемых задач на данном рабочем месте, а также вирусных программ, незамедлительно должны быть организованы работы по расследованию инцидента информационной безопасности.
5. Действия в случае компрометации ключей
О событиях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием информации ограниченного доступа, пользователи СКЗИ обязаны сообщать Ответственному за организацию работ по криптографической защите информации.
К компрометации ключей относятся следующие события:
1) утрата носителей ключа;
2) утрата иных носителей ключа с последующим обнаружением;
3) возникновение подозрений на утечку ключевой информации или ее искажение;
4) нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура, опечатывания сейфов;
5) утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;
6) утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;
7) доступ посторонних лиц к ключевой информации;
8) другие события утери доверия к ключевой информации, согласно технической документации на СКЗИ.
В случае компрометации ключа пользователя незамедлительно должны быть приняты меры по отзыву ключа (отзыв ключа электронной подписи в удостоверяющем центре, обновление списков отозванных сертификатов, замена криптоключа пользователя и т.п.), а также проведено расследование по факту компрометации.
Визуальный осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения).
Расследование инцидентов информационной безопасности, связанных с компрометацией ключевых носителей и ключевой документацией, осуществляет (обладатель скомпрометированной информации ограниченного доступа). При необходимости, привлекается орган криптографической защиты.
6. Ответственность лиц, допущенных к работе с СКЗИ
За нарушение установленных требований по эксплуатации криптосредств предусмотрена ответственность в соответствии с действующим законодательством Российской Федерации.
Лист ознакомления
с Инструкцией по обращению со средствами
криптографической защиты информации
(утверждена приказом от “__” __________ 20__ г. N _____)
N п/п
ФИО
Должность
Подпись, дата
Приложение N 2
к приказу ФАС России
от 16.07.2020 N 658/20
ИНСТРУКЦИЯ
ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ РАБОТ ПО КРИПТОГРАФИЧЕСКОЙ
ЗАЩИТЕ ИНФОРМАЦИИ
1. Общие положения
Настоящая Инструкция разработана в целях регламентации действий лиц, ответственных за организацию работ по криптографической защите информации (далее – Ответственный), которые осуществляют работы с применением средств криптографической защиты информации (далее – СКЗИ).
Под работами с применением СКЗИ в настоящей Инструкции понимаются защищенное подключение к информационным системам, подписание электронных документов электронной подписью и проверка подписи, шифрование файлов и другие действия согласно технической документации на СКЗИ.
Ответственный назначается приказом руководителя Организации.
Данная инструкция регламентирует работу с применением СКЗИ для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.
Настоящая Инструкция в своем составе, терминах и определениях основывается на положениях “Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну”, утвержденной приказом ФАПСИ от 13 июня 2001 г. N 152 (далее – Инструкция ФАПСИ от 13 июня 2001 г. N 152), “Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)”, утвержденного приказом ФСБ РФ от 9 февраля 2005 г. N 66, а также “Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности”, утвержденных приказом ФСБ от 10.07.2022 N 378.
2. Термины и определения
Информация ограниченного доступа – информация, доступ к которой ограничен федеральными законами.
Исходная ключевая информация – совокупность данных, предназначенных для выработки по определенным правилам криптоключей.
Ключевая информация – специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока.
Ключевой документ – физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости – контрольную, служебную и технологическую информацию.
Ключевой носитель – физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).
Компрометация – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
Криптографический ключ (криптоключ) – совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе.
Орган криптографической защиты (ОКЗ) – структурное подразделение Организации, работник Организации или стороннее юридическое лицо, на которое возложены обязанности по разработке и осуществлении мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ информации ограниченного доступа.
Персональный компьютер (ПК) – вычислительная машина, предназначенная для эксплуатации пользователем Организации в рамках исполнения должностных обязанностей.
Пользователи СКЗИ – работники Организации, непосредственно допущенные к работе с СКЗИ.
Средство криптографической защиты информации (СКЗИ) – совокупность аппаратных и (или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью, шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении.
Электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
3. Обязанности Ответственного
При реализации мероприятий, связанных с обеспечением в Организации безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа, Ответственный должен руководствоваться действующим законодательством Российской Федерации, Инструкцией по обращению с СКЗИ, а также настоящей инструкцией.
На Ответственного возлагается проведение следующих мероприятий:
1) Ведение Журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;
2) Хранение установочных комплектов СКЗИ, эксплуатационной и технической документации к ним;
3) Принятие ключевых документов к СКЗИ от пользователя при его увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;
4) Своевременная актуализация перечня пользователей СКЗИ;
5) Ежегодная проверка наличия СКЗИ, эксплуатационной и технической документации к ним, согласно Журналу поэкземплярного учета СКЗИ.
Ответственный обязан:
1) Не разглашать информацию ограниченного доступа, к которой он допущен, в том числе сведения о криптоключах;
2) Обеспечивать сохранность носителей ключевой информации и других документов о ключах, выдаваемых с ключевыми носителями;
3) Обеспечить соблюдение требований к обеспечению с использованием СКЗИ безопасности информации ограниченного доступа;
4) Контролировать целостность печатей (пломб) на технических средствах с установленными СКЗИ;
5) Немедленно уведомлять непосредственного руководителя о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах компрометации криптоключей, которые могут привести к разглашению информации ограниченного доступа, а также о причинах и условиях возможной утечки такой информации;
6) Не допускать ввод одного номера лицензии на право использования СКЗИ более чем на одно рабочее место.
4. Права Ответственного
В рамках исполнения возложенных на него обязанностей, Ответственный имеет право:
1) Требовать от пользователей СКЗИ соблюдения положений Инструкции по обращению с СКЗИ и Инструкции пользователя СКЗИ;
2) Обращаться к непосредственному руководителю с предложением прекращения работы пользователя с СКЗИ при невыполнении им установленных требований по обращению с СКЗИ;
3) Инициировать проведение служебных расследований по фактам нарушения в Организации порядка обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.
5. Порядок передачи обязанностей при смене Ответственного
При смене Ответственного должны быть внесены соответствующие изменения в Приказ об обращении с СКЗИ. Вновь назначенный Ответственный должен быть ознакомлен под роспись с настоящей Инструкцией и приступить к исполнению возложенных на него обязанностей.
6. Ответственность за невыполнение настоящей инструкции
За нарушение установленных требований по эксплуатации криптосредств предусмотрена ответственность в соответствии с действующим законодательством Российской Федерации.
Лист ознакомления
с Инструкцией ответственного за организацию работ
по криптографической защите информации
(утверждена приказом от “__” __________ 20__ г. N ____)
N п/п
Фамилия, Им, Отчество
Должность
Подпись, дата
Приложение N 3
к приказу ФАС России
от 16.07.2020 N 658/20
ИНСТРУКЦИЯ
ПОЛЬЗОВАТЕЛЕЙ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ
1. Общие положения
Настоящая Инструкция разработана в целях регламентации действий работников, допущенных к работам с использованием средств криптографической защиты информации (далее – Пользователей).
Под работами с применением СКЗИ в настоящей Инструкции понимаются защищенное подключение к информационным системам, подписание электронных документов электронной подписью и проверка подписи, шифрование файлов и другие действия согласно технической документации на СКЗИ.
Данная инструкция регламентирует работу с применением СКЗИ для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.
Настоящая Инструкция в своем составе, терминах и определениях основывается на положениях “Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну”, утвержденной приказом ФАПСИ от 13 июня 2001 г. N 152 (далее – Инструкция ФАПСИ от 13 июня 2001 г. N 152), “Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)”, утвержденного приказом ФСБ РФ от 9 февраля 2005 г. N 66, а также “Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности”, утвержденных приказом ФСБ от 10.07.2022 N 378.
2. Термины и определении
Информация ограниченного доступа – информация, доступ к которой ограничен федеральными законами;
Исходная ключевая информация – совокупность данных, предназначенных для выработки по определенным правилам криптоключей;
Ключевая информация – специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока;
Ключевой документ – физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости – контрольную, служебную и технологическую информацию.
Ключевой носитель – физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации).
Компрометация – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
Криптографический ключ (криптоключ) – совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе;
Орган криптографической защиты (ОКЗ) – структурное подразделение Организации, работник Организации или стороннее юридическое лицо, на которое возложены обязанности по разработке и осуществлении мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ информации ограниченного доступа.
Ответственный за организацию работ по криптографической защите информации (Ответственный) – сотрудник Организации, отвечающий за реализацию мероприятий, связанных с обеспечением в Организации безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.
Персональный компьютер (ПК) – вычислительная машина, предназначенная для эксплуатации пользователем Организации в рамках исполнения должностных обязанностей.
Пользователи СКЗИ – работники Организации, непосредственно допущенные к работе с СКЗИ.
Средство криптографической защиты информации (СКЗИ) – совокупность аппаратных и (или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью, шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении.
Электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
3. Обязанности пользователей СКЗИ
Пользователи СКЗИ обязаны:
1) соблюдать конфиденциальность информации ограниченного доступа, к которой они допущены, в том числе сведения о криптоключах;
2) обеспечивать сохранность вверенных ключевых носителей и ключевой документации на них;
3) соблюдать требования безопасности информации ограниченного доступа при использовании СКЗИ;
4) незамедлительно сообщать Ответственному о ставших им известными попытках получения посторонними лицами доступа к сведениям об используемых СКЗИ, ключевым носителям и ключевой документации;
5) при увольнении или отстранении от исполнения обязанностей сдать Ответственному носители с ключевой документацией;
6) при подозрении на компрометацию ключевой документации, а также при обнаружении факта утраты или недостачи СКЗИ, ключевых носителей, ключевой документации, хранилищ, личных печатей незамедлительно уведомлять Ответственного.
Пользователям СКЗИ запрещается:
1) выводить ключевую информацию на средствах отображения информации (дисплей монитора, печатающие устройства, проекторы и т.п.);
2) оставлять ключевые носители с ключевой документацией без присмотра;
3) записывать на ключевой носитель информацию, не связанную с работой СКЗИ (текстовые и мультимедиа файлы, служебные файлы и т.п.);
4) вносить любые изменения в программное обеспечение СКЗИ;
4. Ответственность пользователей СКЗИ
За нарушение установленных требований по эксплуатации криптосредств пользователь СКЗИ несет ответственность в соответствии с действующим законодательством Российской Федерации.
Лист ознакомления
с Инструкцией пользователей средств криптографической
защиты информации
(утверждена приказом от “__” ________ 20__ г. N __)
N п/п
ФИО
Должность
Подпись, дата
Приложение N 4
к приказу ФАС России
от 16.07.2020 N 658/20
ЖУРНАЛ
ПОЭКЗЕМПЛЯРНОГО УЧЕТА СКЗИ, ЭКСПЛУАТАЦИОННОЙ
И ТЕХНИЧЕСКОЙ ДОКУМЕНТАЦИИ К НИМ, КЛЮЧЕВЫХ ДОКУМЕНТОВ
(ДЛЯ ОБЛАДАТЕЛЯ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ)
Начат: “__” ________20__ г.
Окончен: “__” ________20__ г.
N п/п
Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов
Номера экземпляров (криптографические номера) ключевых документов
Отметка о получении
Отметка о выдаче
Отметка о подключении (установке) СКЗИ
Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов
Примечание
От кого получены
Дата и номер сопроводительного письма
Ф.И.О. пользователя СКЗИ
Дата и расписка в получении
Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, произведших подключение (установку)
Дата подключения (установки) и подписи лиц, произведших подключение (установку)
Номера аппаратных средств, в которые установлены или к которым подключены СКЗИ
Дата изъятия (уничтожения)
Ф.И.О. сотрудников органа криптографической защиты, пользователя СКЗИ, производивших изъятие (уничтожение)
Номер акта или расписка об уничтожении
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Приложение N 5
к приказу ФАС России
от 16.07.2020 N 658/20
ПЕРЕЧЕНЬ
ПОЛЬЗОВАТЕЛЕЙ, ДОПУЩЕННЫХ К РАБОТЕ С СКЗИ
N
ФИО сотрудника
Должность
Приложение N 6
к приказу ФАС России
от 16.07.2020 N 658/20
N п/п
Учетный номер ключевого носителя (документа)
Номер (идентификатор) криптографического ключа, наименование документа
Владелец ключа (документа)
Количество ключевых носителей (документов)
Номера экземпляров
Всего уничтожено ___ криптографических ключей на ___ ключевых носителях.
Уничтожение криптографических ключей выполнено путем их стирания (разрушения) по технологии, принятой для ключевых носителей многократного использования в соответствии с требованиями эксплуатационной и технической документации на соответствующие СКЗИ.
Записи Акта сверены с записями в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.
Факт списания с учета ключевых носителей в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов подтверждаю:
Рекомендации
РЕКОМЕНДАЦИИ
по учету, уничтожению и отчетности по СКЗИ
(Для клиентов органов Федерального казначейства)
В системе электронного документооборота
Федерального казначейства (СЭД ФК) используется программное средство криптографической
защиты информации (далее СКЗИ) Крипто-Про версии 2.0 и 3.0, имеющее сертификат ФСБ России
по требованиям безопасности.
В соответствии с разделом 4 Правил электронного документооборота в
системе электронного документооборота Федерального казначейства (Приложение к Договору «Об обмене электронными документами»), каждый пользователь СКЗИ (клиент СЭД ФК)
обязан выполнять требования «Инструкции об
организации и обеспечения безопасности
хранения, обработки и передачи по каналам связи с использованием средств
криптографической защиты информации с ограниченным доступом, не содержащих
сведений, составляющих государственную тайну», утвержденной приказомФедерального агентства правительственной
связи и информации (ФАПСИ) при
Президенте Российской Федерации от 13.06.2001 № 152 (далее – Инструкция
№ 152).
К
СКЗИ относятся как сами программные или аппаратно-программные средства, так и
ключевая информация необходимая для их работы и техническая документация на
СКЗИ. В соответствии с Инструкцией
№ 152 все СКЗИ должны браться на поэкземплярный
учет и их движение (выдача, установка, передача, уничтожение) должны быть
документально отслежены. Для этих целей пользователь ведет журнал учета СКЗИ,
эксплуатационной и технической документации к ним, ключевых документов
(Приложение № 2 к Инструкции № 152).
В данном журнале подлежат регистрации
все полученные СКЗИ и выработанные ключевые документы. Сначала выделяется
раздел (1-2 страницы) для регистрации аппаратно-программных и программных средств
(напримерCrypto–Pro или других, поставленными сторонними организациями).
В следующем выделенном разделе регистрируются ключевые документы: выработанные
самостоятельно или полученные от других издателей. При учете применяется
сквозная нумерация.
По
разделу 1: пример заполнения на программе СКЗИ крипто-про
1. номер по порядку
2. Крипто-Проv.2.0
3. FE40310300
4. 1 (так как лицензионное
соглашение подразумевает одну установку)
5. УФК по РК (в случае если
установку проводили сотрудники УФК) или ОФК
6. Указывается дата
установки
7. Ф.И.О. лица, на чьем
компьютере проведена установка СКЗИ
8. расписка лица п.7
9. Ф.И.О. лица
производившего установку СКЗИ
10. дата установки
11. Серийный или
инвентарный номер компьютера
12. Дата изъятия (деинсталяции)
13. Ф.И.О. лиц, производивших деинсталляцию СКЗИ
14. Расписки лиц п. 13 за уничтожение деинсталлированного
СКЗИ. Под уничтожением понимается удаление (стирание) дистрибутива
программы, лицензии и ключа активации, без возможности восстановления. Если осуществляется перенос СКЗИ на новый компьютер, то данная
графа не заполняется, а производится регистрация данного СКЗИ под следующим
порядковым номером.
Раздел 2 «Ключевая
информация»
Ключевая информация формируется непосредственно
пользователем в соответствии с «Порядком генерации ключей электронной цифровой
подписи и запросов на получение сертификата открытого ключа ЭЦП» от 19 декабря
2007 года.
Пример заполнения журнала на основе ключа
сформированного на дискете 3,5”.
1.
номер по порядку
2.
Ключ ЭЦП СЭД
3.
119111754 (берется из крипто-про, описано ниже)
4.
1 (Первый экземпляр)
5.
изготовлен самостоятельно
6.
дата формирования ключа
7.
Ф.И.О. владельца ключа (физическое лицо, для которого изготовлен данный ключ)
8.
дата и расписка в получении лица п.7
Графы
9, 10, 11 не заполняются
12.
Дата уничтожения ключа по окончании срока действия или другим причинам (порча
ключа, лишения владельца прав ЭЦП и т.п.)
13.
Ф.И.О. лиц, производивших уничтожение ключа (2 человека, из числа лиц,
наделенных правом использования ЭЦП, включая администратора СЭД)
14.
Подписи лиц, указанный в п.13
Таким
образом наклейка дискеты должна содержать следующие
идентификационные признаки:
Согласно правилам пользования Крипто-про, при генерации ключа на дискету, рекомендуется создавать
рабочую копию дискеты (порядок копирования подробно изложен в документе
«копирование ключей»). При этом созданная резервная дискета учитывается
аналогично первоначальной, под следующим порядковым номером, только в графе 4
пишется номер экземпляра «2». В случае выхода из строя основной дискеты, перед
использованием резервной, с нее делается копия, которая учитывается под
следующим порядковым номером, а в графе 4 ставиться номер экземпляра «3».
По окончании срока действия ключа,
основная ключевая дискета и резервные копии уничтожаются одновременно.
При генерации ключа на носитель
многократного использования (электронные ключи eToken, ruToken, DS-1995 и т.п.)
в графе 4 указывается наименование носителя и его идентификационный номер
(определяется при помощи программного обеспечения на данный вид носителя),
например ruToken
214978f9.
Работа с ключевой информацией
осуществляется в СКЗИ Крипто-Про. Для запуска необходимо нажать Кнопку «ПУСК» –
«Настройка» – «Панель управления» и
запустить
программу
со значка
Удаление контейнеров закрытых
ключей, копирование ключей, просмотр контейнеров осуществляется со вкладки «Сервис»
Чтобы
узнать информацию о номере ключа подписи, записанного на дискете, для программы
СЭД нажмите кнопку «Просмотреть сертификаты в контейнере» и далее «Обзор»,
после чего в окне выбора ключевого контейнера выделяем нужный нам контейнер и
нажимаем «ОК».
9-тизначное уникальное имя ключа и является
серийным номером, которое записывается в графе 3 журнала учета СКЗИ. После
просмотра нажмите кнопку «отмена» для выхода из программы.
В случае досрочного прекращения действия
закрытого ключа ЭЦП (смена сотрудника, компрометация ключа), закрытый ключ
должен быть уничтожен в течении суток с отметкой в
журнале учета СКЗИ. Информация об отзыве сертификата также в течении суток направляется в территориальный орган федерального
казначейства.
При плановой смене ключей, по истечении
срока их действия, выведенные ключи уничтожаются двумя лицами в течении 4 суток с момента окончания срока действия с отметкой об
этом в журнале учета СКЗИ. При этом информация об отзыве сертификата не
направляется.
Отчетность
В соответствии с п.46 Инструкции № 152
предусмотрена отчетность пользователей СКЗИ об уничтоженных ключевых
документах. Данная информация должна представляться в территориальный орган
Федерального казначейства ежегодно к 10 февраля по прилагаемой
форме:
Сведения
об уничтоженных ключевых документах
в
___________________________ по состоянию на 31 декабря 20___ года.
(наименование
организации)
·
Данные
предоставляются за истекший год, отчетный период с 1 января по 31 декабря.
·
В гр.4 номер экз.
проставляется при учете дискет, при другом носителе – наименование и
идентификационный номер носителя
Примечание:
1. Журнал учета СКЗИ
изготавливается на листах формата А4 (альбом) при этом
на одну страницу помещается таблица с графами 1-8, на вторую 9-15.
2
