Строго под роспись: как правильно заполнить журнал учёта СКЗИ

Введение

Каждая организация при работе с СКЗИ обязана выполнять ряд требований. Основополагающим документом является приказ ФСБ России «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (Положение ПКЗ-2005).

Из него вытекают другие документы, в частности «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», которая утверждена приказом Федерального агентства правительственной связи и информации при президенте Российской Федерации (ФАПСИ) от 13.06.2001 № 152.

К слову, агентство было расформировано в 2003 году, а его функции были распределены между ФСО, ФСБ, СВР и Службой специальной связи и информации при ФСО. Тем не менее инструкция свою силу не утратила. Помимо официальных документов организация должна соблюдать требования правил пользования СКЗИ, которые вендор согласовывает с регулятором.

Итак, согласно инструкции, к СКЗИ относятся как сами программные или аппаратно-программные средства, так и информация, необходимая для их работы, ключи, техническая документация. При этом абсолютно все средства криптографической защиты в организации должны браться на поэкземплярный учёт. Именно об этом процессе и пойдёт речь дальше.

Инструкция была написана 20 лет назад, когда сертифицированные СКЗИ применялись крайне редко, а большинство организаций не имели такой разрозненной и распределённой по всей стране ИТ-инфраструктуры. Поэтому многие пункты документа сейчас вызывают вопросы у специалистов.

Например, вести учёт в электронном виде можно, но только с применением квалифицированной ЭП (учёт СКЗИ в электронном виде — это тема для отдельной статьи, и об этом мы поговорим в следующий раз) либо сопровождая каждое действие соответствующими актами.

На что обратить внимание?

Во-первых, законодательство об электронной подписи не предусматривает возможности получить подпись «на предприятие» без указания ответственного лица. Поставщик может получить КЭП только на конкретного представителя (сотрудника). Но если этот человек поменяет фамилию или уволится, старый сертификат придется отозвать и выпустить новый.

Во-вторых, участнику торгов необходимо вести электронный документооборот не только с ЭТП, на которой проходит аукцион, но и с другими информационными системами и контрагентами. Например, в электронном виде можно подписывать банковские гарантии. О юридической силе электронных документов мы писали.

Поэтому многие удостоверяющие центры выдают универсальные сертификаты, которые соответствуют требованиям к квалифицированным сертификатам, а пакет дополнительных услуг даёт поставщику больше возможностей.

Получая электронную подпись для торгов, обратите внимание, сможете ли вы использовать ее вне 9 федеральных ЭТП.

Универсальный тариф «Электронная подпись 3.0» от УЦ СКБ Контур подходит, чтобы:

  • участвовать в торгах по 44-ФЗ, 223-ФЗ, коммерческих закупках и торгах банкротов,
  • взаимодействовать с государственными электронными порталами: Госуслуги, ЦБ РФ, Росфинмониторинг и др.,
  • вести электронный документооборот.

Что делать, если потеряли электронную подпись

Если вы потеряли ключ от подписи или его украли, сразу обратитесь в удостоверяющий центр или МФЦ, который выдавал вам сертификат. Центр отзовет ваш сертификат, чтобы его не могли использовать мошенники. Еще обязательно сообщите об этом контрагентам, чтобы они знали, что вашей утерянной подписью могут воспользоваться злоумышленники.

Восстановить утерянный сертификат или ключ ЭП невозможно. Нужно получать новый: собирать документы и идти в удостоверяющий центр.

Виды электронной подписи

В соответствии с действующим Федеральным законом от 06.04.2021 № 63-ФЗ выделяются три вида ЭП, которые группируются в два блока: 1) простая ЭП; 2) усиленная ЭП, которая включает неквалифицированную электронную подпись (НЭП) и квалифицированную электронную подпись (КЭП).

Рассмотрим каждый тип подписи подробнее. 

Где можно использовать электронную подпись

ПростаяНеквалифицированнаяКвалифицированная
Внешние и внутренние электронные документы
Документооборот с физическими лицами
Госуслуги
Документы для ИФНС в личном кабинете налогоплательщика
ПФР и ФСС
Арбитражный суд

Доверенная третья сторона

К началу страницы

Доверенная третья сторона (ДТС) — юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени в отношении лица, подписавшего электронный документ, для обеспечения доверия при обмене данными и электронными документами.

Функции и обязанности ДТС, а также требования к средствам ДТС, определены Федеральным законом от 27.12.2021 №476-ФЗ.

Юридические лица, претендующие на выполнение функций ДТС обязаны пройти процедуру аккредитации в соответствии с Федеральным законом от 27.12.2021 №476-ФЗ в порядке, установленном Минцифры России.

К основным функциям ДТС также относится деятельность по признанию электронных подписей, созданных в соответствии с нормами права иностранного государства и международными стандартами, которые соответствуют признакам усиленной электронной подписи.

Зачем нужна электронная подпись

Электронная подпись понадобится тем, кто собирается использовать в работе электронные документы, сдавать отчетность и получать услуги в интернете.

Все эти операции призваны облегчить жизнь представителям бизнеса — экономить на документообороте, меньше бегать по инстанциям, получать государственные услуги удаленно и т. п.

О том, как еще обычный человек может использовать электронную подпись на практике, мы рассказывали в другой статье.

Зачем нужна электронная подпись?

Назначение ее вполне понятно. В последние годы компании активно переходят с бумажного документооборота на электронный, поэтому обычным для нас подписям и печатям на бумаге нужен аналог. Этим аналогом, по сути, является ЭП.

ЭП решает несколько основных задач. Первая — неотрекаемость. Благодаря ЭП можно доказать, что конкретный человек является автором документа, даже если он отказывается это признавать. Вторая задача — обеспечение подтверждения целостности документа, то есть подтверждение того, что после создания документа и его подписания никто не вносил туда каких-либо изменений (как намеренно, так и случайно).

Допустим, у вас есть платежное поручение в банк на 10 000 руб., подписанное ЭП. Злоумышленник может поменять сумму с 10 000 руб. на 1 млн, чтобы перевести себе в 100 раз больше денег. Для предотвращения таких случаев ЭП фиксирует конечное содержимое электронного документа и позволяет установить, вносились ли в него изменения.

Как выбрать сертификат электронной подписи?

На сегодняшний день существует много видов сертификатов. Законодательство меняется, информационные системы выдвигают различные требования, и вопрос выбора часто встает перед клиентом, так как клиент не может разобраться, какой сертификат ему нужен для той или иной задачи. На что ему следует ориентироваться?

В первую очередь нужно отталкиваться от той информационной системы, в которой планируется применять сертификат. Обычно клиент представляет, для чего ему нужна ЭП. Например, он хочет принять участие в торгах или работать с порталом Росреестра. Требования информационной системы к сертификату, как правило, указываются на сайте информационной системы, в нормативных документах, которые определяют регламент действия этой информационной системы.

На сайте СКБ Контур есть удобный мастер подбора сертификата, который позволяет клиенту ответить на несколько вопросов, касающихся области применения требуемого сертификата, и на выходе получить один или несколько типов сертификатов, полностью закрывающих потребности.

Как и где получить электронную подпись?

На самом деле пользователь всегда получает не саму ЭП, а некий инструмент для ее создания. Этот инструмент отличается в зависимости от вида ЭП.

Как начать работать с квалифицированной электронной подписью

Чтобы начать работать с электронной подписью, необходимо подготовить свое рабочее место и приобрести сертификат подписи. Сертификат выдают быстро — в течение часа.

Еще для работы с квалифицированной подписью надо будет установить программу для криптозащиты информации (СКЗИ). Самые распространенные средства криптозащиты в России — это «Криптопро CSP», Signal-com CSP, «Лисси CSP», Vipnet CSP. Все они примерно одинаковые.

Читайте также:  Как сделать электронную подпись в Балашихе: для ИП и физических лиц, документы, стоимость в 2021, где получить

Какое конкретно СКЗИ потребуется и какие настройки будут нужны, вам скажут в удостоверяющем центре или МФЦ.

Как перевыпустить сертификат

Срок действия сертификата электронной подписи — год. Когда он подойдет к концу, выпустите новый сертификат. Для этого обратитесь с заявлением в удостоверяющий центр или МФЦ. Если в документах ничего не изменилось, нести их снова не нужно. Если какие-то документы поменялись, нужно принести оригиналы только этих документов.

Как подписать документ электронной подписью

Ваше СКЗИ добавляет в контекстное меню вашей операционной системы — Виндоус или Мак-ос — свой специальный раздел. Таким образом, можно подписать любой документ просто нажатием правой кнопки мыши. На сайте каждого СКЗИ можно найти подробную инструкцию, как подписывать документ.

Например, так работает процесс подписания с помощью программы «Крипто-АРМ»:

  1. Кликните правой кнопкой мыши по документу.
  2. Найдите пункт меню «Крипто-АРМ» и нажмите «Подписать».
  3. После этого запускается мастер создания электронной подписи, который подробно объяснит все дальнейшие шаги.
  4. В итоге рядом с документом появится новый файл документ.doc.sig — это и есть файл электронной подписи.
Запуск мастера создания электронной подписи с помощью «Крипто-АРМ» в Виндоус
Запуск мастера создания электронной подписи с помощью «Крипто-АРМ» в Виндоус

В результате документ становится недоступным для изменения, а рядом с ним в папке появится файл подписи в формате документ.doc.sig.

Если у вас установлена СКЗИ и есть подпись, то подписать документ можно прямо в ворде
Если у вас установлена СКЗИ и есть подпись, то подписать документ можно прямо в ворде

В «Гугл-докс» плагины для электронной подписи можно найти во вкладке «Дополнения».

Чтобы подписать документ в «Гугл-докс» с помощью плагина eSignGSA, найдите плагин в разделе «Дополнения» и установите его. Затем нажмите Start
Чтобы подписать документ в «Гугл-докс» с помощью плагина eSignGSA, найдите плагин в разделе «Дополнения» и установите его. Затем нажмите Start

Как получить сертификат электронной подписи в скб контур?

У компании СКБ Контур хорошо развита филиальная сеть, поэтому клиент всегда может выбрать максимально близкую к себе точку получения (полный список центров выдачи ЭП). Процесс получения сертификата ЭП в СКБ Контур довольно простой. Можно выделить несколько этапов:

Как приобрести подпись физическому лицу

Физическим лицам проще всего получить подпись в ближайшем МФЦ: рядом может не быть удостоверяющих центров, а МФЦ найдется всегда. Для этого надо записаться на прием и подготовить следующие документы:

  1. Заявление на изготовление квалифицированного сертификата — шаблон дадут в МФЦ.
  2. Паспорт.
  3. СНИЛС.
  4. Свидетельство о присвоении ИНН.

В Москве электронная подпись для граждан стоит 900—950 рублей. Вместе с носителем цена составит 1500—1600 Р. Отдельно носитель будет стоить от 1500 рублей. Эта цена отличается в зависимости от тарифа удостоверяющего центра и того, насколько защищенную подпись вы хотите использовать.

Как приобрести подпись юридическому лицу и ип

Юридические лица получают квалифицированные сертификаты подписи в удостоверяющем центре или МФЦ.

Как проверить подлинность подписи

Чтобы проверить подлинность подписи и неизменность документа, воспользуйтесь любым из бесплатных сервисов:

  1. Портал «Криптопро».
  2. Сайт госуслуг.
  3. Сервис «Контур-крипто».
На сайте «Криптопро» укажите путь к подписанному документу и подписи в специальном окне, и программа выдаст результат
На сайте «Криптопро» укажите путь к подписанному документу и подписи в специальном окне, и программа выдаст результат

Как устроена эп

Файл электронной подписи генерирует специальная программа — средство криптографической защиты информации (СКЗИ). Когда вы подпишете документ электронной подписью, эта программа просканирует документ. В итоге она создаст уникальное сочетание данных документа — хэш-сумму.

Сертификат закрытого ключа хранится у владельца на любом удобном носителе: на компьютере, внешнем диске или токене — специальной защищенной флешке, которую можно носить с собой. Еще подпись может быть на диске, смарт-карте, симке, в облачном хранилище и т. д.

Просмотреть подпись можно с помощью сертификата открытого ключа — электронного документа, в котором есть следующая информация:

  1. Кто владеет подписью.
  2. Какие у него полномочия.
  3. Какая организация выдала подпись и какие у нее полномочия.

Программа СКЗИ проверяет хэш-сумму и сравнивает ее с содержанием документа. Если все совпало, документ не меняли и подпись цела. Несовпадения означают, что документ изменили после того, как подписали. Тогда подпись автоматически считается недействительной и документ теряет юридическую силу.

Кто и как ведёт учёт

Если организация является обладателем конфиденциальной информации, то ей, скорее всего, требуется обеспечить безопасную передачу, обработку и хранение этой информации с помощью СКЗИ. Организует и контролирует все работы с СКЗИ орган криптографической защиты (ОКЗ).

В первом случае организация должна издать приказ о создании ОКЗ, определить его структуру и обязанности сотрудников. Например:

  • начальник отдела занимается организацией и совершенствованием системы управления работой своих сотрудников;
  • администратор безопасности обеспечивает сохранность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники.

Все работники, которые осуществляют деятельность, связанную с установкой, настройкой и доступом к СКЗИ, должны быть внесены в приказ и ознакомлены с ним, а для каждой должности требуется разработать должностную инструкцию и ознакомить пользователей с порядком использования СКЗИ.

В итоге перечень необходимых документов состоит из:

  • приказа о создании ОКЗ;
  • должностных инструкций;
  • утверждённых форм журналов учёта;
  • шаблонов заявлений, актов;
  • инструкции для пользователей по работе с СКЗИ.

В соответствии с инструкцией по всем СКЗИ должен вестись поэкземплярный учёт, а их движение (формирование, выдача, установка, передача, уничтожение) должно быть документально подтверждено. Для этого и обладатель конфиденциальной информации, и орган криптографической защиты должны вести журналы (каждый — свой) поэкземплярного учёта СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.

При этом если орган криптографической защиты информации — это структурное подразделение организации, то от него требуется вести оба журнала. Дело в том, что в этом случае организация не только является обладателем конфиденциальной информации, но и выполняет часть функций ОКЗ.

Например, крупные холдинги, как правило, выделяют в своём составе ИТ-компанию, которая в том числе обеспечивает информационную безопасность с использованием СКЗИ. Она ведёт все журналы и сопутствующую документацию и является для своего холдинга поставщиком услуг.

Если услуги оказывает сервис-провайдер, то он заполняет журнал учёта для органа криптографической защиты, а организация — журнал для обладателя конфиденциальной информации.

Журналы учёта хранятся в течение 5 лет. Сами СКЗИ и документация к ним должны находиться в специальном помещении (требования к нему описаны в приказе ФАПСИ № 152). Основное условие: доступ туда получают только сотрудники ОКЗ строго под роспись.

Области применения электронной подписи

В зависимости от вида подписи можно говорить о различных областях применения. Простая ЭП используется в интернет-банках физлицами и иногда юрлицами, на различных электронных порталах, например, на Портале госуслуг. Чтобы пользоваться этим порталом, нужно по СНИЛС получить пароль, с помощью которого можно зайти на портал и заказать услугу — допустим, оформление загранпаспорта. Это действие будет юридически значимым.

Можно выделить пять основных областей применения ЭП:

  1. Различные электронные торги — для усиленной ЭП.

  2. Государственные информационные системы. Существует Система межведомственного электронного взаимодействия (СМЭВ), которая объединяет различные государственные органы разного уровня и позволяет им общаться между собой в электронном виде, она взаимодействует в том числе и с Порталом госуслуг. Эта огромная инфраструктура базируется на использовании КЭП. Отдельно существующие информационные системы, например, система Росреестра, также используют КЭП. Спектры услуг, которые оказывают такие информационные системы, обширный: каждая система решает задачи своего ведомства в разном объеме. Где-то это довольно полный перечень услуг — как в Росреестре, где-то — точечные услуги, которые могут быть оказаны через эти порталы. Но везде применяется КЭП.
  3. ЭДО между хозяйствующими субъектами и документооборот внутри компании. Для использования ЭП существует несколько сценариев, все зависит от желания самого бизнеса, от требований к обеспечению юридической значимости используемых электронных документов, поэтому спектр используемой ЭП разнится — от самой незащищенной простой ЭП до КЭП.  

Онлайн сервис подачи документов для получения сертификатов (портал заявителя)

Для получения квалифицированного сертификата ключа проверки электронной подписи (далее – сертификат), созданного Удостоверяющим центром Федерального казначейства (далее – УЦ ФК), необходимо:

Строго под роспись: как правильно заполнить журнал учёта СКЗИ

 Обратиться в территориальный орган Федерального казначейства (далее – ТОФК) при принадлежности к кругу лиц, определённому в пункте 2 

Читайте также:  Статья 6. Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью / КонсультантПлюс

Порядка реализации Федеральным казначейством функций аккредитованного удостоверяющего центра и исполнения его обязанностей, утвержденному приказом Федерального казначейства от 16.03.2020 № 11н. 
Строго под роспись: как правильно заполнить журнал учёта СКЗИ

 Проверить настройку АРМ для работы с Порталом заявителя ИС УЦ (

проверить

).

Строго под роспись: как правильно заполнить журнал учёта СКЗИ

 Получить средство электронной подписи (КриптоПро CSP версии 4.0) в ТОФК, в случае его отсутствия.

Строго под роспись: как правильно заполнить журнал учёта СКЗИ Настроить автоматизированное рабочее место (далее – АРМ) для работы с Порталом заявителя:

Строго под роспись: как правильно заполнить журнал учёта СКЗИ Обеспечить на АРМ наличие ОС Windows 7 с пакетом обновления 1 (SP1) и выше;
Строго под роспись: как правильно заполнить журнал учёта СКЗИ Обеспечить на АРМ наличие любого Web-браузера с поддержкой криптоалгоритмов ГОСТ: Internet Explorer (версии 9.х, 10.х, 11.х), Яндекс.Браузер (скачать), Браузер «Спутник» с поддержкой отечественной криптографии (скачать), Браузер Chromium ГОСТ (скачать);
Строго под роспись: как правильно заполнить журнал учёта СКЗИ  Установить сертифицированную версию СКЗИ КриптоПро CSP 4.0;
Строго под роспись: как правильно заполнить журнал учёта СКЗИ Установить «КриптоПро ЭЦП Browser Plugin» версии 2.0 (скачать);
Строго под роспись: как правильно заполнить журнал учёта СКЗИ Установить драйвера ключевого носителя (например, Рутокен (скачать), e-Token (скачать);
Строго под роспись: как правильно заполнить журнал учёта СКЗИ Установить сертификаты Минкомсвязи России (ГУЦ) и УЦ ФК ГОСТ Р 34.10-2021 (инструкция);
Строго под роспись: как правильно заполнить журнал учёта СКЗИПроверить работу КриптоПро ЭЦП Browser plug-in (проверить).
Строго под роспись: как правильно заполнить журнал учёта СКЗИ

 Подать документы на создание сертификата с использованием Портала заявителя:

Строго под роспись: как правильно заполнить журнал учёта СКЗИДля подачи документов на создание сертификата без использования ЭП, необходимо руководствоваться инструкцией подачи запроса на сертификат без использования ЭП;

Строго под роспись: как правильно заполнить журнал учёта СКЗИДля подачи документов на создание сертификата с использованием действующего ключа ЭП, который соответствует сертификату, созданному УЦ ФК, необходимо руководствоваться инструкцией по смене сертификата с использованием ЭП.

В случае возникновения ошибок при работе с Порталом заявителя рекомендуем воспользоваться «Списком часто задаваемых вопросов» либо обратиться  в Единый контактный центр Федерального казначейства по номеру телефона 8(800) 301-07-77    

Для работы с Порталом заявителя нажмите на кнопку ниже

Строго под роспись: как правильно заполнить журнал учёта СКЗИ

Операции с скзи: взятие на учёт

Рассмотрим порядок учёта на конкретном примере. Организация N — обладатель конфиденциальной информации — хочет использовать СКЗИ компании «КриптоПро». Организация N не готова создавать у себя ОКЗ и обращается к сервис-провайдеру, который будет предоставлять ей соответствующие услуги.

Таблица 1. Пример данных для учёта

В графы 1–6 журнала поэкземплярного учёта должны попасть данные о:

  • диске с дистрибутивом;
  • формуляре;
  • серийном номере лицензии на СКЗИ.

После заполнения всех этих данных СКЗИ выдаются пользователям, то есть тем работникам в организации, для которых закупались. Это может быть как сотрудник бухгалтерии, который применяет ЭП для подписания и отправки документов, так и другой ответственный специалист, взявший на себя обязательства по сохранности СКЗИ.

На этом этапе заполняются 7-я и 8-я графы журнала (кому и когда выдаётся СКЗИ — с обязательной росписью пользователя). Если возможности расписаться в журнале нет, то можно заполнить акт передачи, где в свободной форме указывается, кто (администратор безопасности) и кому (пользователю)

В 9-ю графу записывается имя сотрудника, производившего установку СКЗИ. Чаще всего это делает специалист технической поддержки, который также является администратором безопасности. Но это может быть и пользователь, если он обладает соответствующими навыками и правами доступа в сеть. В графе 11 указывается серийный номер материнской платы или номер опечатывающей пломбы системного блока.

В случае увольнения сотрудника, который производил установку, требуются изъятие СКЗИ и составление акта, в котором указываются предмет и способ изъятия (например, удаление ключевой информации с носителя). Всё это фиксируется в графах 12, 13, 14.

При уничтожении СКЗИ также составляется соответствующий акт. В нём должны быть указаны предмет и способ уничтожения. Программные СКЗИ уничтожаются посредством стирания с носителя ключевой информации (чистки реестра), а также деинсталляции ПО. В случае аппаратных СКЗИ можно удалить с них ключевую информацию либо уничтожить их физически.

Ниже приведён пример журнала, заполненного организацией — обладателем конфиденциальной информации. ООО «Компания» в данном примере — это сервис-провайдер, который выполняет функции органа криптографической защиты для организации.

Таблица 2. Журнал поэкземплярного учёта СКЗИ для обладателя конфиденциальной информации

Журнал учёта СКЗИ для органа криптографической защиты во многих пунктах перекликается с аналогичным документом для организации и заполняется по такому же принципу, поэтому не будем подробно останавливаться на его разборе. В примере ниже ООО «Организация» — это обладатель конфиденциальной информации, который воспользовался услугами сервис-провайдера.

Таблица 3. Журнал поэкземплярного учёта СКЗИ для органа криптографической защиты

Преимущества эцп для портала госуслуг

  • Дает возможность пользоваться личным кабинетом налогоплательщика, узнавать о своих штрафах, оплачивать их.
  • ЭЦП для физических лиц позволяет получить загранпаспорт старого или нового образца с минимальными затратами времени. Открывает доступ к широкому спектру услуг, включая подачу заявления для поступления в учебное заведение.
  • Ускоряет процесс онлайн-кредитования.
  • Позволяет отправлять документы на регистрацию в качестве ИП в электронном виде. Также с помощью ЭЦП можно получить разрешения, аккредитации и лицензии, необходимые для некоторых видов предпринимательской деятельности.
  • Дает возможность быстро и легко зарегистрироваться по месту пребывания или по месту жительства.
  • Помогает узнать состояние лицевого счета в пенсионном фонде.
  • Позволяет получить информацию о ходе исполнительского производства.
  • Упрощает процесс регистрации и снятия с учета транспортного средства.
  • Открывает доступ к законам, нормативным актам, приказам, а также к справочной информации о муниципальных и государственных службах.

Преимущества эцп для юридических лиц

  • Для сдачи отчетности в ФНС, ФСС, ПФР. В соответствии с Федеральным законом №63-ФЗ, по электронным каналам связи можно сдавать отчетность в любой контролирующий орган. Такой документооборот предполагает использование квалифицированной ЭЦП для ИП.
  • позволяет дистанционно заключать договора 
  • ЭЦП для юридических лиц дает возможность проверить задолженность и оплатить налоги, обратиться в суд, воспользоваться госуслугами.
  • Она позволяет полностью перевести внутренний и больший объем внешнего документооборота в электронный формат, упростить заключение сделок и контрактов с удаленными контрагентами, тем самым расширив географию деятельности и оптимизировав рутинные бизнес-процессы.

Область применения:

Типовая форма журнала поэкземплярного учета средств криптографической защиты конфиденциальной информации, эксплуатационной и технической документации к ним, ключевых документов (для органа криптографической защиты) — образец 2021

ТИПОВАЯ ФОРМА

ЖУРНАЛА ПОЭКЗЕМПЛЯРНОГО УЧЕТА СКЗИ, ЭКСПЛУАТАЦИОННОЙ

И ТЕХНИЧЕСКОЙ ДОКУМЕНТАЦИИ К НИМ, КЛЮЧЕВЫХ ДОКУМЕНТОВ

(ДЛЯ ОРГАНА КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ)

----T----------T----------T----------T-------------------T----------------------T
¦ N ¦Наименова-¦Серийные  ¦Номера эк-¦Отметка о получении¦  Отметка о рассылке  ¦
¦п/п¦ние СКЗИ, ¦номера    ¦земпляров ¦                   ¦      (передаче)      ¦
¦   ¦эксплуата-¦СКЗИ,     ¦(криптог-  ----------T-------- ------T------T-------- 
¦   ¦ционной и ¦эксплуата-¦рафические¦От кого   ¦Дата и  ¦Кому  ¦Дата и¦Дата и  ¦
¦   ¦техничес- ¦ционной и ¦номера)   ¦получены  ¦номер   ¦разос-¦номер ¦номер   ¦
¦   ¦кой доку- ¦техничес- ¦ключевых  ¦или Ф.И.О.¦сопрово-¦ланы  ¦сопро-¦подтвер-¦
¦   ¦ментации к¦кой доку- ¦документов¦сотрудника¦дитель- ¦(пере-¦води- ¦ждения  ¦
¦   ¦ним, клю- ¦ментации к¦          ¦органа    ¦ного    ¦даны) ¦тель- ¦или рас-¦
¦   ¦чевых до- ¦ним, номе-¦          ¦криптогра-¦письма  ¦      ¦ного  ¦писка в ¦
¦   ¦кументов  ¦ра серий  ¦          ¦фической  ¦или дата¦      ¦письма¦получе- ¦
¦   ¦          ¦ключевых  ¦          ¦защиты,   ¦изготов-¦      ¦      ¦нии     ¦
¦   ¦          ¦документов¦          ¦изготовив-¦ления   ¦      ¦      ¦        ¦
¦   ¦          ¦          ¦          ¦шего клю- ¦ключевых¦      ¦      ¦        ¦
¦   ¦          ¦          ¦          ¦чевые     ¦докумен-¦      ¦      ¦        ¦
¦   ¦          ¦          ¦          ¦документы ¦тов и   ¦      ¦      ¦        ¦
¦   ¦          ¦          ¦          ¦          ¦расписка¦      ¦      ¦        ¦
¦   ¦          ¦          ¦          ¦          ¦в изго- ¦      ¦      ¦        ¦
¦   ¦          ¦          ¦          ¦          ¦товлении¦      ¦      ¦        ¦
 --- ---------- ---------- ---------- ---------- -------- ------ ------ -------- 
¦ 1 ¦    2     ¦    3     ¦    4     ¦    5     ¦    6   ¦  7   ¦  8   ¦   9    ¦
L--- ---------- ---------- ---------- ---------- -------- ------ ------ -------- 
T-----------------T------T------T-------------------------T------¬
¦     Отметка     ¦Дата  ¦Дата  ¦ Отметка об уничтожении  ¦Приме-¦
¦   о возврате    ¦ввода ¦вывода¦СКЗИ, ключевых документов¦чание ¦
 --------T-------- в дей-¦из     ----------T--------------       ¦
¦Дата и  ¦Дата и  ¦ствие ¦дейст-¦Дата унич-¦  Номер акта  ¦      ¦
¦номер   ¦номер   ¦      ¦вия   ¦тожения   ¦ или расписка ¦      ¦
¦сопрово-¦подтвер-¦      ¦      ¦          ¦об уничтожении¦      ¦
¦дитель- ¦ждения  ¦      ¦      ¦          ¦              ¦      ¦
¦ного    ¦        ¦      ¦      ¦          ¦              ¦      ¦
¦письма  ¦        ¦      ¦      ¦          ¦              ¦      ¦
¦        ¦        ¦      ¦      ¦          ¦              ¦      ¦
¦        ¦        ¦      ¦      ¦          ¦              ¦      ¦
¦        ¦        ¦      ¦      ¦          ¦              ¦      ¦
¦        ¦        ¦      ¦      ¦          ¦              ¦      ¦
¦        ¦        ¦      ¦      ¦          ¦              ¦      ¦
¦        ¦        ¦      ¦      ¦          ¦              ¦      ¦
¦        ¦        ¦      ¦      ¦          ¦              ¦      ¦
¦        ¦        ¦      ¦      ¦          ¦              ¦      ¦
¦        ¦        ¦      ¦      ¦          ¦              ¦      ¦
 -------- -------- ------ ------ ---------- -------------- ------ 
¦   10   ¦   11   ¦  12  ¦  13  ¦    14    ¦     15       ¦  16  ¦
 -------- -------- ------ ------ ---------- -------------- -------

Требования к виду сертификата

Компании с госучастием — это компании, доля участия государства в которых выше 50%, а также их «дочки» и «внучки», естественные монополии (нефтегазовые компании, РЖД и т д.) и другие юридические лица. Эти компании проводят закупки по федеральному закону № 223-ФЗ.

Читайте также:  Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для органа криптографической защиты, для обладателя конфиденциальной информации), журнал технический (аппаратный) — Редакция от 13.06.2001 — Контур.Норматив

Крупные коммерческие организации тоже проводят часть своих закупки в форме электронных аукционов, чтобы оптимизировать расходы. Проведение коммерческих закупок регламентируется только Гражданским кодексом.

Усиленная электронная подпись

В КЭП и НЭП заложены криптографические алгоритмы. Чем эти виды подписи отличаются друг от друга?

  1. Средствами и алгоритмами, при помощи которых создается ЭП. В случае с НЭП на них не накладываются никакие дополнительные ограничения. Это может быть американский, российский, белорусский и другой криптографический алгоритм.
  2. ПО для работы с ЭП. В случае с НЭП на средства ЭП не накладываются ограничения. В случае с КЭП, наоборот, к средствам предъявляются дополнительные требования — они должны быть сертифицированы в ФСБ и соответствовать определенным стандартам. Это сразу же влечет за собой ограничение на криптографический алгоритм, а именно должны применяться только российские алгоритмы в соответствии с ГОСТ. Накладываются требования и на сам сертификат ЭП по его структуре, то есть существуют жесткие требования, определяющие структуру этого сертификата.
  3. Аккредитованный удостоверяющий центр (УЦ). Квалифицированные сертификаты ЭП должны выпускаться УЦ, которые прошли процедуру аккредитации в Минкомсвязи. Такие  УЦ удовлетворяют ряду довольно серьезных требований, гарантирующих их надежность.
  4. Структура сертификата ЭП. Квалифицированный сертификат ЭП должен удовлетворять требованиям по структуре, например, содержать СНИЛС владельца. К неквалифицированным таких требований не предъявляется.

Таким образом, суть отличия между НЭП и КЭП прозрачна: так как на КЭП накладывается несколько жестких ограничений, ее юридический статус выше. КЭП — это единственная подпись, которая признается равной собственноручной подписи без дополнительных мероприятий.

Что касается НЭП, то для признания ее равной собственноручной подписи требуются дополнительные соглашения между участниками электронного документооборота (ЭДО) либо отдельный нормативно-правовой акт, регламентирующий факт равнозначности. Например, если между двумя компаниями осуществляется ЭДО, то документы они подписывают ЭП.

В этом случае компании могут пользоваться НЭП, но тогда им придется заключить между собой соглашение, устанавливающее правила использования и признания этой ЭП. Они могут пользоваться, допустим, американской криптографией, встроенной в Windows, не прикладывая никаких дополнительных усилий.

При этом в суде им нужно будет доказывать юридическую значимость на основе данного соглашения. В случае допущения в соглашении о документообороте каких-то ошибок, значимость электронного документа может быть не признана. Если те же самые компании ведут ЭДО, используя КЭП, то им не понадобятся дополнительные соглашения друг с другом, а юридическая значимость документов будет в силу ФЗ признаваться автоматически.

Этап второй

После того как заявка подана, представитель СКБ Контур в течение суток связывается с заявителем и рассказывает ему, какой комплект документов необходим для получения сертификата — квалифицированного или неквалифицированного.

Этап первый

Необходимо подать заявку на получение сертификата одним из способов:

Этап третий

Заявитель оплачивает счет, собирает необходимый пакет документов и приходит в сервисный центр для получения сертификата.

В сервисном центре он представляет комплект документов, который сотрудник центра визирует и проверяет на корректность. Далее он подписывает договор, осуществляет прочие формальности и в зависимости от того, какой способ ему удобнее, получает уже готовый защищенный носитель (внешне похожий на флешку), на котором хранится секретный ключ и сертификат, или самостоятельно на своем рабочем месте (в случае с квалифицированным сертификатом ЭП) получает сертификат через специальный сайт Личный кабинет УЦ.

Самый важный этап в процессе получения сертификата электронной подписи — это подготовка необходимого комплекта документов. Если комплект собран правильно, то процесс проходит быстро.

Есть ряд дополнительных услуг, которые можно заказать в сервисном центре, например, ускоренное получение сертификата в течение часа после представления документов. Такая услуга может понадобиться при экстренной необходимости участия в торгах.

Выводы

Трудно не согласиться с тем, что все эти требования уже давно морально устарели и «Инструкция» нуждается в актуальных корректировках, но пока мы вынуждены выполнять требования её текущей редакции. Обратите внимание, что для ведения журнала поэкземплярного учёта СКЗИ в электронном виде требуется подписывать документы только квалифицированной ЭП либо сопровождать каждое действие соответствующими актами. Если же речь идёт о физическом документе, то все данные и подписи должны быть внесены в него всеми ответственными лично.

Безусловно, учёт СКЗИ — это только один из множества обязательных к исполнению процессов, описанных в документе. В дальнейших статьях мы постараемся подробно описать процесс опломбирования СКЗИ, технологию их уничтожения и многое другое.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector