Приказ ФАС РФ от 16.07.2020 N 658/20 — Редакция от 16.07.2020 — Контур.Норматив

Что такое журналы учета ключей?

Журналом учета ключей или других средств криптозащиты называют документ для отслеживания использования ЭЦП внутри организации.

В нем фиксируют, когда и кому были оформлены и выданы электронные подписи, сдачу криптографических ключей при переводе сотрудника на другую должность или в случае увольнения, ознакомление персонала с порядком использования данных криптографических элементов защиты конфиденциальности.

Форма акта n ____ от “__” ________ 20__ г. об уничтожении криптографических ключей, содержащихся на ключевых носителях и ключевых документов

произвела уничтожение криптографических ключей, содержащихся на ключевых носителях, и ключевых документов:

Всего уничтожено ___ криптографических ключей на ___ ключевых носителях.

Уничтожение криптографических ключей выполнено путем их стирания (разрушения) по технологии, принятой для ключевых носителей многократного использования в соответствии с требованиями эксплуатационной и технической документации на соответствующие СКЗИ.

Записи Акта сверены с записями в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.

Факт списания с учета ключевых носителей в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов подтверждаю:

Что в итоге?

Сложно не согласиться с тем, что все эти требования уже давно морально устарели и Инструкция нуждается в актуальных корректировках, но пока мы вынуждены выполнять требования ее текущей редакции. Обратите внимание, что для ведения журнала поэкземплярного учета СКЗИ в электронном виде требуется подписывать документы только квалифицированной ЭП либо сопровождать каждое действие соответствующими актами. Если же речь идет о физическом документе, то все данные и подписи должны быть внесены в него всеми ответственными лично.

Безусловно, учет СКЗИ – это только один из множества обязательных к исполнению процессов, описанных в документе. В будущем мы постараемся подробно описать процесс опломбирования СКЗИ, технологию их уничтожения и многое другое.

Надеемся, эта памятка была для вас полезной.

Общие положения

Настоящая Инструкция разработана в целях регламентации действий лиц, допущенных к работе со средствами криптографической защиты информации (СКЗИ), которые осуществляют работы с применением СКЗИ.

Под работами с применением СКЗИ в настоящей Инструкции понимаются защищенное подключение к информационным системам, подписание электронных документов электронной подписью и проверка подписи, шифрование файлов другие действия согласно технической документации на СКЗИ.

Под обращением с СКЗИ в настоящей Инструкции понимается проведение мероприятий по обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.

Данная инструкция регламентирует работу с применением СКЗИ для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.

Настоящая Инструкция в своем составе, терминах и определениях основывается на положениях “Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну”, утвержденной приказом ФАПСИ от 13 июня. 2001 г.

N 152 (далее – Инструкция ФАПСИ от 13 июня 2001 г. N 152), “Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)”, утвержденного приказом ФСБ РФ от 9 февраля 2005 г.

N 66, а также “Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности”, утвержденных приказом ФСБ от 10.07.2022 N 378.

Обязанности Ответственного

При реализации мероприятий, связанных с обеспечением в Организации безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа, Ответственный должен руководствоваться действующим законодательством Российской Федерации, Инструкцией по обращению с СКЗИ, а также настоящей инструкцией.

На Ответственного возлагается проведение следующих мероприятий:

1) Ведение Журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;

2) Хранение установочных комплектов СКЗИ, эксплуатационной и технической документации к ним;

3) Принятие ключевых документов к СКЗИ от пользователя при его увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;

4) Своевременная актуализация перечня пользователей СКЗИ;

5) Ежегодная проверка наличия СКЗИ, эксплуатационной и технической документации к ним, согласно Журналу поэкземплярного учета СКЗИ.

Ответственный обязан:

1) Не разглашать информацию ограниченного доступа, к которой он допущен, в том числе сведения о криптоключах;

2) Обеспечивать сохранность носителей ключевой информации и других документов о ключах, выдаваемых с ключевыми носителями;

3) Обеспечить соблюдение требований к обеспечению с использованием СКЗИ безопасности информации ограниченного доступа;

4) Контролировать целостность печатей (пломб) на технических средствах с установленными СКЗИ;

5) Немедленно уведомлять непосредственного руководителя о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах компрометации криптоключей, которые могут привести к разглашению информации ограниченного доступа, а также о причинах и условиях возможной утечки такой информации;

6) Не допускать ввод одного номера лицензии на право использования СКЗИ более чем на одно рабочее место.

Обязанности пользователей СКЗИ

Пользователи СКЗИ обязаны:

1) соблюдать конфиденциальность информации ограниченного доступа, к которой они допущены, в том числе сведения о криптоключах;

2) обеспечивать сохранность вверенных ключевых носителей и ключевой документации на них;

3) соблюдать требования безопасности информации ограниченного доступа при использовании СКЗИ;

4) незамедлительно сообщать Ответственному о ставших им известными попытках получения посторонними лицами доступа к сведениям об используемых СКЗИ, ключевым носителям и ключевой документации;

5) при увольнении или отстранении от исполнения обязанностей сдать Ответственному носители с ключевой документацией;

6) при подозрении на компрометацию ключевой документации, а также при обнаружении факта утраты или недостачи СКЗИ, ключевых носителей, ключевой документации, хранилищ, личных печатей незамедлительно уведомлять Ответственного.

Пользователям СКЗИ запрещается:

1) выводить ключевую информацию на средствах отображения информации (дисплей монитора, печатающие устройства, проекторы и т.п.);

2) оставлять ключевые носители с ключевой документацией без присмотра;

3) записывать на ключевой носитель информацию, не связанную с работой СКЗИ (текстовые и мультимедиа файлы, служебные файлы и т.п.);

4) вносить любые изменения в программное обеспечение СКЗИ;

Порядок получения допуска пользователей к работе с СКЗИ

Для получения допуска к работе с СКЗИ, работнику необходимо пройти обучение правилам работы с СКЗИ и проверку знаний.

Основанием для допуска пользователя к работе с СКЗИ является внесение его в перечень пользователей СКЗИ, утверждаемый руководителем Организации.

Контроль над реализацией данных мероприятий возлагается на Ответственного.

Ответственность пользователей СКЗИ

За нарушение установленных требований по эксплуатации криптосредств пользователь СКЗИ несет ответственность в соответствии с действующим законодательством Российской Федерации.

Права Ответственного

В рамках исполнения возложенных на него обязанностей, Ответственный имеет право:

1) Требовать от пользователей СКЗИ соблюдения положений Инструкции по обращению с СКЗИ и Инструкции пользователя СКЗИ;

2) Обращаться к непосредственному руководителю с предложением прекращения работы пользователя с СКЗИ при невыполнении им установленных требований по обращению с СКЗИ;

3) Инициировать проведение служебных расследований по фактам нарушения в Организации порядка обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.

Работа с СКЗИ

Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, в помещениях пользователей СКЗИ должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей в присутствии посторонних лиц запрещено.

Для исключения утраты ключевой информации вследствие дефектов носителей рекомендуется, после получения ключевых носителей, создать рабочие копии. Копии должны быть промаркированы и должны использоваться, учитываться и храниться в общем порядке. Все копии учитываются за отдельным номером.

Каждый ключевой документ должен быть зарегистрировать в Журнале поэкземплярного учета СКЗИ.

Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только с разрешения руководителя организации с соответствующей пометкой в журнале поэкземплярного учета.

При обнаружении на рабочей станции с установленным СКЗИ программного обеспечения, не соответствующего объему и сложности решаемых задач на данном рабочем месте, а также вирусных программ, незамедлительно должны быть организованы работы по расследованию инцидента информационной безопасности.

Действия в случае компрометации ключей

О событиях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием информации ограниченного доступа, пользователи СКЗИ обязаны сообщать Ответственному за организацию работ по криптографической защите информации.

К компрометации ключей относятся следующие события:

1) утрата носителей ключа;

2) утрата иных носителей ключа с последующим обнаружением;

3) возникновение подозрений на утечку ключевой информации или ее искажение;

4) нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура, опечатывания сейфов;

5) утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;

6) утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;

7) доступ посторонних лиц к ключевой информации;

8) другие события утери доверия к ключевой информации, согласно технической документации на СКЗИ.

В случае компрометации ключа пользователя незамедлительно должны быть приняты меры по отзыву ключа (отзыв ключа электронной подписи в удостоверяющем центре, обновление списков отозванных сертификатов, замена криптоключа пользователя и т.п.), а также проведено расследование по факту компрометации.

Визуальный осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их копирования (чтения, размножения).

Расследование инцидентов информационной безопасности, связанных с компрометацией ключевых носителей и ключевой документацией, осуществляет (обладатель скомпрометированной информации ограниченного доступа). При необходимости, привлекается орган криптографической защиты.

Порядок передачи обязанностей при смене Ответственного

При смене Ответственного должны быть внесены соответствующие изменения в Приказ об обращении с СКЗИ. Вновь назначенный Ответственный должен быть ознакомлен под роспись с настоящей Инструкцией и приступить к исполнению возложенных на него обязанностей.

Ответственность за невыполнение настоящей инструкции

За нарушение установленных требований по эксплуатации криптосредств предусмотрена ответственность в соответствии с действующим законодательством Российской Федерации.

Ответственность лиц, допущенных к работе с СКЗИ

За нарушение установленных требований по эксплуатации криптосредств предусмотрена ответственность в соответствии с действующим законодательством Российской Федерации.

Журнал поэкземплярного учета

В журналах поэкземплярного учета отображают информацию о движении всех криптографических средств, задействованных организацией, с указанием следующей информации:

• полного перечня выданных и действующих ЭЦП и прочих элементов защиты конфиденциальности;
• фамилий и инициалов, должностей сотрудников, получивших электронные подписи;
• сведений о лицах, выдавших средства СКЗИ, включая место и дату выдачи;
• информации об уничтожении подписей и прочие важные данные.

Действующая инструкция предусматривает формы журналов поэкземплярного учета, которые различны, в зависимости от статуса компании – отдельно для лицензиатов ФСБ и компаний, использующих ЭЦП в целях соблюдения конфиденциальности.

Эти различия обусловлены спецификой деятельности указанных организаций и выполняемыми функциями.

Журнал поэкземплярного учета скзи, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации)

Начат: “__” ________20__ г.Окончен: “__” ________20__ г.

Приложение N 5к приказу ФАС Россииот 16.07.2020 N 658/20

Кому нужно вести журналы учета ключей электронной подписи?

Необходимость ведения журналов учета электронных подписей установлена в отношении следующих организаций:

Требования к отчетной документации по ЭЦП регламентирует приказ ФАПСИ за № 152, подписанный в июне 2001 года и утверждающий инструкцию по форме и порядку ведения необходимых журналов.

Кто и как ведет учет

Если организация является обладателем конфиденциальной информации, то ей, скорее всего, требуется обеспечить безопасную передачу, обработку и хранение этой информации с помощью СКЗИ. К слову, к последним инструкция относит как сами программные или аппаратно-программные средства, так и информацию, необходимую для их работы, ключи, техническую документацию.

Организует и контролирует все работы с СКЗИ орган криптографической защиты (ОКЗ). Это может быть как структурное подразделение (или конкретный сотрудник) внутри организации (обладателе конфиденциальной информации), так и внешний подрядчик (например, сервис-провайдер).

В первом случае организация должна издать приказ о создании ОКЗ, определить его структуру и обязанности сотрудников. Например:

Все работники, которые занимаются установкой и настройкой СКЗИ и в принципе имеют к ним доступ, должны быть внесены в приказ и ознакомлены с ним. Для каждой должности нужно разработать должностную инструкцию и ознакомить пользователей с порядком применения СКЗИ.

В итоге перечень необходимых документов состоит из: 

Мы помним, что по всем СКЗИ должен вестись поэкземплярный учет, а их движение (формирование, выдача, установка, передача, уничтожение) должно быть документально подтверждено. Для этого и обладатель конфиденциальной информации, и орган криптографической защиты должны вести журналы (каждый свой) поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.

Но если орган криптографической защиты информации – это структурное подразделение организации, на его плечи ложится ведение обоих журналов. Дело в том, что в этом случае организация не только является обладателем конфиденциальной информации, но и выполняет часть функций ОКЗ.

Например, крупные холдинги, как правило, выделяют в своем составе ИТ-компанию, которая в том числе отвечает за информационную безопасность с использованием СКЗИ. Она ведет все журналы и сопутствующую документацию и является для своего холдинга поставщиком услуг.

Если услуги оказывает сервис-провайдер, то он заполняет журнал учета для органа криптографической защиты, а организация – журнал для обладателя конфиденциальной информации.

Вы еще тут? Надеемся, не запутались!

Журналы учета хранятся в течение 5 лет. Сами СКЗИ и документация к ним должны находиться за семью замками в специальном помещении, а доступ туда могут иметь только сотрудники ОКЗ.

Операции с СКЗИ: взятие на учет

Рассмотрим порядок учета на конкретном примере (данные в таблицах ниже вымышленные все совпадения случайны).  Организация N – обладатель конфиденциальной информации – хочет использовать СКЗИ компании «КриптоПро». При этом организация N не готова создавать у себя ОКЗ и обращается к сервис-провайдеру, который будет предоставлять ей соответствующие услуги. Итак, для начала вендор ПАК должен предоставить организации N исходные данные для учета. Выглядит это так:

В 1–6 графы журнала поэкземплярного учета должна попасть информация о:

После заполнения всех этих данных СКЗИ выдаются пользователям, то есть тем работникам в организации, для которых они закупались. Это может быть как сотрудник бухгалтерии, который применяет ЭП для подписания и отправки документов, так и другой ответственный специалист, взявший на себя обязательства по сохранности СЗКИ.

На этом этапе заполняются 7 и 8 графы журнала (кому и когда выдается СКЗИ – с обязательной росписью пользователя). Если возможности расписаться в журнале нет, то можно заполнить акт передачи, где в свободной форме указывается, кто (администратор безопасности) и кому (пользователю)

В 9 графу записывается имя сотрудника, производившего установку СКЗИ. Чаще всего это делает специалист технической поддержки, который также является администратором безопасности. Но это может быть и пользователь, если он обладает соответствующими навыками и правами доступа в сеть.  В 11 графе указывается серийный номер материнской платы или номер опечатывающей пломбы системного блока.

Если сотрудник, который производил установку, уволился, то СКЗИ нужно изъять и составить акт, в котором указывается предмет и способ изъятия (например, удаление ключевой информации с носителя). Все это фиксируются в 12, 13, 14 графах.

При уничтожении СКЗИ также составляется соответствующий акт. В нем должны быть указаны предмет и способ уничтожения. Программные СКЗИ стирают с носителя ключевой информации (чистка реестра), а ПО деинсталлируют. С аппаратных СКЗИ можно удалить ключевую информацию либо уничтожить их физически.

Ниже пример журнала, заполненного организацией – обладателем конфиденциальной информации. ООО «Компания» – это сервис-провайдер, который выполняет функции органа криптографической защиты для организации.

Журнал учета СКЗИ для органа криптографической защиты во многих пунктах перекликается с аналогичным документом для организации и заполняется по такому же принципу, поэтому не будем подробно останавливаться на его разборе. В примере ниже ООО «Организация» – это обладатель конфиденциальной информации, который воспользовался услугами сервис-провайдера.

Лист ознакомления с инструкцией ответственного за организацию работ по криптографической защите информации (утверждена приказом от “__” __________ 20__ г. n ____)

Приложение N 3к приказу ФАС Россииот 16.07.2020 N 658/20

Лист ознакомления с инструкцией по обращению со средствами криптографической защиты информации (утверждена приказом от “__” __________ 20__ г. n _____)

Приложение N 2к приказу ФАС Россииот 16.07.2020 N 658/20

Лист ознакомления с инструкцией пользователей средств криптографической защиты информации (утверждена приказом от “__” ________ 20__ г. n __)

Приложение N 4к приказу ФАС Россииот 16.07.2020 N 658/20

Об обращении со средствами криптографической защиты информации

В цели исполнения требований “Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну”, утвержденной приказом ФАПСИ от 13 июня 2001 г. N 152, приказываю:

1. Назначить ответственными за организацию работ по криптографической защите информации Ответственные лица: специалиста отдела Информационной безопасности ФБУ “ИТЦ ФАС России” Калантаряна Шаварша Суреновича, специалиста отдела Информационной безопасности ФБУ “ИТЦ ФАС России” Маркелова Даниила Денисовича, ведущего специалиста отдела Информационной безопасности ФБУ “ИТЦ ФАС России” Саяпина Андрея Сергеевича.

2. Утвердить Инструкцию по обращению со средствами криптографической защиты информации (СКЗИ) (приложение N 1).

3. Утвердить Инструкцию ответственного за организацию работ по криптографической защите информации (приложение N 2).

4. Утвердить Инструкцию пользователей средств криптографической защиты информации (приложение N 3).

5. Ответственному за организацию работ по криптографической защите информации ознакомиться под роспись и руководствоваться в своей деятельности Инструкцией по обращению со средствами криптографической защиты информации и Инструкцией ответственного за организацию работ по криптографической защите информации.

6. Ответственному за организацию работ по криптографической защите информации ознакомить под роспись пользователей СКЗИ с Инструкцией по обращению с СКЗИ и Инструкцией пользователей средств криптографической защиты информации.

7. Пользователям, которым необходимо получить доступ к работе с СКЗИ, пройти обучение и проверку знаний по правилам работы с СКЗИ.

8. Утвердить форму Перечня пользователей СКЗИ (приложение N 5).

9. Утвердить форму Журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложение N 4).

10. Утвердить форму Акта об уничтожении криптографических ключей, содержащихся на ключевых носителях и ключевых документов (приложение N 6).

11. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Доценко А.В.

РуководительИ.Ю. АРТЕМЬЕВ

Приложение N 1к приказу ФАС Россииот 16.07.2020 N 658/20

Образцы журналов учета эцп

Отмеченная инструкция предусматривает ведение нескольких видов журналов учета ЭЦП, устанавливая форму указанной документации. Соответствующие таблицы приведены в приложениях данного норматива.

Образцы с примерами заполнения для каждой разновидности отчетных документов не составит труда найти в интернете, чтобы использовать в качестве наглядного руководства.

Перечень пользователей, допущенных к работе с скзи

Приложение N 6к приказу ФАС Россииот 16.07.2020 N 658/20

Технический или аппаратный журнал

Назначение технического или аппаратного журнала учета предполагает фиксацию операций по обращению и допуску к работе со средствами криптозащиты, установленными на серверном компьютерном оборудовании.

Форма документа предусматривает указание следующей информации в соответствующих колонках:

• даты и порядкового номера проводимой операции;
• типа и серийного номера ключа;
• записи о характере обслуживания криптографического средства;
• используемых криптоключей, с отражением в отдельных столбцах типа, серии и номера задействованного экземпляра, данных о флешке или другом носителе для размещения выданной ЭЦП;
• отметки, указывающей на уничтожение подписи, подтверждения ответственного сотрудника, отмечающего дату ликвидации криптоключа.

Шаблоны документов