Журнал учета электронной подписи (эцп) в организации: образец, как правильно заполнить

Что такое порядок использования и хранения ключей эп и скзи

Кроме журналов учета инструкция также рекомендует организациям разработать и соблюдать свой регламент хранения и использования ключей ЭП. Для регламента нет единой типовой формы, поэтому компания может разработать документ самостоятельно. Для этого нужно изучить инструкцию и адаптировать требования именно под свою компанию.

Несмотря на то, что регламент в разных компаниях будет отличаться, есть общие требования — регламент должен указывать правила, по которым в организации:

• назначают сотрудников ответственных за учет ключей ЭП и СКЗИ;
• ведут журналы и поэкземплярный учет;
• устанавливают и настраивают СКЗИ;
• обучают работе с ЭП и СКЗИ, ведут пользователей, допущенных к работе с ними;
• контролируют соблюдение условий использования ЭП и СКЗИ;
• действуют в случае, если ключи и СКЗИ утеряны или есть подозрение, что используются неправомерно;
• контролируют соблюдение регламента внутри организации.

Что такое журналы учета ключей эп

Журналы учета средств криптографической защиты информации (СКЗИ) или ключей электронной подписи (ЭП или ЭЦП) помогают следить за перемещением средств криптозащиты и ключей подписи в организации. В них отражается кто получил ключ подписи, сдал ли его при переходе на другую должность или увольнении, знаком ли сотрудник с правилами работы со средствами электронной подписи. Журналы нужны предприятиям, которые используют ЭП и СКЗИ, например, КриптоПро CSP или ViPNet CSP.

Описание задачи

В общем виде можно сформулировать следующие задачи управления носителями и сертификатами:

• Контролирование использования сертификатов и ключевых носителей сотрудниками компании
• Учет сторонних сертификатов, выпускаемых внешними УЦ для работы в ДБО, торговых площадках, ЕГАИС и пр.
• Ведение электронного журнала учета СКЗИ

Что будет, если не соблюдать инструкцию и не вести журналы учета

Организация, использующая в работе криптографические средства защиты, должна обеспечить выполнение следующих мероприятий, направленных на сохранение конфиденциальности информации:

• назначения сотрудников, которым поручено ведение журналов и контроль применения ЭЦП;
• осуществления поэкземплярного учета электронных подписей;
• обучения персонала, допущенного к работе с ключами, с проведением инструктажей о том, как правильно обращаться с данными средствами защиты;
• соблюдения установленного законом порядка действий при утере или подозрениях на неправомерное применение криптоключей.

Перечисленные меры утверждают в регламенте, действующем внутри организации.

Руководство многих организаций полагает содержание вышеупомянутого приказа № 152 неактуальным, ввиду давности утверждения данного документа. Но такое мнение ошибочно, поскольку норматив никто не отменял.

Не стоит забывать, что контроль исполнения законодательных норм по обращению криптографических средств защиты осуществляет ФСБ, проводя плановые и внеплановые проверки.

Нарушителей могут привлечь к административной ответственности, на основании ст. 13.12 КоАП РФ, предполагающей назначение штрафов следующим категориям нарушителей:

• физическим лицам – от 500 до 2 500 руб.;
• ответственным сотрудникам предприятий – от 1 000 до 4 000 руб.;
• организациям – от 10 000 до 25 000 руб.

По результатам проверки, предприятие получит обязательное к исполнению предписание об устранении выявленных недостатков, с установленными сроками.

Соблюдение конфиденциальности криптографических средств защиты информации в учреждении или компании требует ведения установленной законом документации. Заполнение указанных журналов организовать несложно.

А выполнение условий по контролю за обращением ЭЦП избавит руководство и персонал организации от серьезных проблем с государственными контролирующими органами.

Нормативные документы

Положение разрабатывалось с учетом:

Общие положения

2.1. Настоящее Положение разработано для операторов, абонентов и уполномоченных абонентов Систем криптозащиты информации (СКЗИ), осуществляющих электронные взаимодействия со сторонними организациями с использованием носителей ключевой информации (НКИ).

2.2. Данное Положение включает:

2.3. Основные термины:

Организация работы с носителями ключевой информации

Лица, имеющие доступ к носителям ключевой информации, несут за нее персональную ответственность. Список лиц, имеющих доступ к дискетам с ключевой информацией, составляется Начальником Отдела информационной безопасности и фиксируется в приказе по Банку.

В целях обеспечения идентификации отправителей и получателей информации, защиты ее от несанкционированного доступа:

3.1. Председатель Правления Банка назначает ответственных за осуществление электронных взаимодействий со сторонними организациями из руководителей подразделений и наделяет ответственных сотрудников правом установки электронной подписи отправляемых документов приказом по Банку.

3.2. Начальник Отдела информационной безопасности, по согласованию с Начальником Управления информационных технологий назначает сотрудников УИТ ответственных за установку на рабочих станциях ответственных сотрудников, назначенных в п.2.1., соответствующих средств для обеспечения электронных взаимодействий и СКЗИ.

3.3. Сотрудники ОИБ, совместно с сотрудниками УИТ, назначенные в п.2.2. должны провести обучение ответственных сотрудников подразделений, участвующих в электронных взаимодействиях со сторонними организациями, работе со средствами обеспечения электронного документооборота и СКЗИ.

3.4. Контроль за электронными взаимодействиями и использованием носителей ключевой информации осуществляют сотрудники Отдела информационной безопасности, Службы внутреннего контроля и Управления экономической защиты.

2.1. Порядок изготовления и учета носителей ключевой информации

Персональный ключевой носитель (чаще всего — дискета) обычно изготавливается в центре управления ключевыми системами (ЦУКС). Если ЦУКС обслуживается сторонней организацией, то ключевые дискеты получаются сотрудником Отдела информационной безопасности или назначенным приказом по банку Уполномоченным абонентом СКЗИ.

Генерация уникальной ключевой информации и ее запись на дискету осуществляется на специально оборудованном автономном «АРМ генерации ключей», программное обеспечение которого выполняет функции, регламентированные технологическим процессом формирования ключей электронной цифровой подписи, уполномоченными сотрудниками управления информационных технологий в присутствии самого пользователя НКИ, маркируется, учитывается в «Журнале учета НКИ» и выдается ему под роспись.

Для обеспечения возможности восстановления ключевой информации пользователя НКИ в случае выхода ключевой дискеты из строя, обычно создается ее рабочая копия. Для того чтобы при копировании с оригинала на рабочую копию ключевой дискеты ее содержимое не попадало на какой-либо промежуточный носитель, копирование должно осуществляться только на «АРМ генерации ключей».

Ключевые дискеты должны иметь соответствующие этикетки, на которых отражается: регистрационный номер дискеты (по «Журналу учета НКИ»), дата изготовления и подпись уполномоченного сотрудника подразделения обеспечения информационной безопасности, изготовившего дискету, вид ключевой информации — ключевая дискета (оригинал) или ключевая дискета (копия), фамилия, имя, отчество и подпись владельца-исполнителя.

2.2. Порядок использования носителей ключевой информации

Каждому сотруднику (исполнителю), которому в соответствии с его функциональными обязанностями предоставлено право постановки на ЭД цифровой подписи, согласно п.2.1., выдается персональный носитель ключевой информации (например, дискета), на который записана уникальная ключевая информация («секретный ключ ЭЦП»), относящаяся к категории сведений ограниченного распространения.

Персональные ключевые дискеты (рабочие копии) пользователь должен хранить в специальном пенале, опечатанном личной печатью.

В подразделении учет и хранение персональных ключевых дискет исполнителей должен осуществляться ответственным за информационную безопасность (при его отсутствии — руководителем подразделения) или самим исполнителем (при наличии у него сейфа или металлического шкафа).

Ключевые дискеты должны храниться в сейфе ответственного за информационную безопасность подразделения или исполнителя в индивидуальных пеналах, опечатанных личными печатями исполнителей. Пеналы извлекаются из сейфа только на время приема (выдачи) рабочих копий ключевых дискет исполнителям.

Оригиналы ключевых дискет исполнителей хранятся в Отделе информационной безопасности в опечатанном пенале и могут быть использованы только для восстановления установленным порядком рабочей копии ключевой дискеты при выходе последней из строя. Наличие оригиналов ключевых дискет в пеналах проверяется сотрудниками ОИБ при каждом вскрытии и опечатывании пенала.

Контроль за обеспечением безопасности технологии обработки электронных документов, в том числе за действиями пользователей НКИ, выполняющих свою работу с применением персональных ключевых дискет, осуществляется ответственными за информационную безопасность подразделений в пределах своей компетенции и сотрудниками Отдела информационной безопасности.

«Открытые» ключи ЭЦП исполнителей установленным порядком регистрируются специалистами ЦУКС или УИТ в справочнике «открытых» ключей, используемом при проверке подлинности документов по установленным на них ЭЦП.

1. Права пользователя носителей ключевой информации

Пользователь НКИ должен иметь право обращаться к ответственному за информационную безопасность своего подразделения за консультациями по вопросам использования ключевой дискеты и по вопросам обеспечения информационной безопасности технологического процесса.

Пользователь НКИ имеет право требовать от ответственного за информационную безопасность своего подразделения и от своего непосредственного руководителя создания необходимых условий для выполнения перечисленных выше требований.

Пользователь НКИ имеет право представлять свои предложения по совершенствованию мер защиты на своем участке работы.

2. Обязанности пользователя носителей ключевой информации

Пользователь НКИ, которому в соответствии с его должностными функциями предоставлено право постановки на ЭД цифровой подписи, несет персональную ответственность за сохранность и правильное использование вверенной ему ключевой информации и содержание документов, на которых стоит его ЭЦП.

Пользователь носителей ключевой информации обязан:

Порядок действий при компрометации носителей ключевой информации

К событиям, связанным с компрометацией ключевой информации должны быть отнесены следующие события:

Первые три события должны трактоваться как безусловная компрометация действующих ключей ЭЦП. Три следующих события требуют специального рассмотрения в каждом конкретном случае. При компрометации ключей ЭЦП и шифрования Участника обмена электронными документами предусмотрены следующие мероприятия:

Обеспечение информационной безопасности при работе с носителями ключевой информации

Порядок размещения, специального оборудования, охраны и режима в помещениях, в которых находятся средства криптографической защиты и носители ключевой информации:

Порядок обеспечения безопасности хранения ключевых дискет:

Требования к сотрудникам, осуществляющим эксплуатацию и установку (инсталляцию) средств криптографической защиты и носителей ключевой информации:

Ведение электронного журнала скзи

Для выполнения требований регуляторов организации может потребоваться вести журнал учета СКЗИ. Indeed CM позволяет вести такой журнал в электронном виде. При выпуске сертификатов в журнал автоматически будут добавляться новые СКЗИ. Также администратор может вручную добавить дополнительные СКЗИ различных типов, включая свои собственные, не входящие в стандартный набор.

Ниже приведена общая схема решения.

В состав Indeed Certificate Manager входят следующие основные компоненты:

Indeed CM Server — основной компонент инфраструктуры Indeed CM. Представляет собой ASP.Net приложение, работающее на сервере Internet Information Services (IIS). Indeed CM Server обеспечивает централизованное управление пользователями системы, репозиторием карт, журналом СКЗИ и политиками безопасности.

Журнал событий — хранилище событий Indeed CM. В журнале фиксируются все события, связанные с жизненным циклом смарт-карт и изменением параметров системы. Просмотр журнала доступен в интерфейсе консоли администратора Indeed CM, там же возможно построение отчетов по различным критериям.

Журнал СКЗИ — электронный журнал учета средств криптографической защиты информации. Журнал позволяет выполнить требования регуляторов в части учета СКЗИ. Просмотр журнала доступен в интерфейсе консоли администратора Indeed CM.

Реестр ключевых носителей содержит информацию по всем зарегистрированным в системе устройствам. Просмотр реестра доступен в интерфейсе консоли администратора Indeed CM.

Агент Indeed CM — клиентский компонент, реализующий функции контроля и мониторинга использования ключевых носителей. Также агент обеспечивает удаленное выполнение операций со смарт-картами и токенами: блокировка, смена PIN, обновление сертификатов ключа электронной подписи и др.

Журнал учета скзи

• Сообщений: 1452
• Репутация: 45
• Спасибо получено: 209

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Сообщений: 1452
• Репутация: 45
• Спасибо получено: 209

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Сообщений: 1
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Сообщений: 1452
• Репутация: 45
• Спасибо получено: 209

marina пишет: Подскажите пожалуйста, что я должна заносить в журнал СКЗИ. Полученные лицензии от управления Крипто про и континент ап? А лицензии, которые выдаю клиентам, тоже заносить? Извините, работаю недавно.

Извиняться не за что — на то форум и создан, чтоб помогать. Если правильно понял — Вы из теротдела казначейства? Тогда все правильно написали — регистрируем в нем и полученные из УФК и выдаваемые клиентам лицензии СКЗИ на КриптоПро, Континент-АП, а в связи с внедрением ГИИС «Электронный бюджет» — и на Continent_TLS_Client и Jinn-Client.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Сообщений: 11
• Спасибо получено: 1

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Сообщений: 1452
• Репутация: 45
• Спасибо получено: 209

Vladimir-konovalov пишет: Здравствуйте коллеги. Сотрудник территориального отдела Федерального казначейства. Я честно говоря не совсем понимаю, почему мы должны учитывать диски отдаваемые в сторонние организации в своих журналах.

Здравствуйте, коллега. Мы не отдаем диски сторонним организациям, они не наши, а их и они нам передают свои диски для записи лицензионного ПО СКЗИ и ПО для создания ЭП, учтенные в их Журнале СКЗИ. Мы возвращаем им их же диски.

А если они этот диск потеряют, поломают или еще чего то с ним с делают, каковы мои действия?

Никаких — им потом расхлебывать, когда придет время уничтожения по Акту устаревшего ПО СКЗИ и обязательного возврата в ФК лицензий вместе с этим диском.

Если честно не понимаю, про какие лицензии на континент-АП вы говорите. Мы своим клиентам выдаем лицензии только на КриптоPRO CSP. Лицензий на СКЗИ «Континент-АП» в глаза не видел.

А нам их довели безопасники нашей управы — вот их и выдаем. Хотя она и не вводится нигде, но думаю она нужна на случай проверки ФСБ законности использования СКЗИ.

Каменный век какой то, выдавать дистрибутивы на дисках.

Не коллега — железный, т.к. у силовиков до сих пор железные правила со времен железного . : есть бумажка с загигулиной и пластинка с царапулиной — молодец, свободен!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Сообщений: 8
• Репутация: 1
• Спасибо получено: 2

Alex_04 пишет: ВАЖНО! Замечено, что мало кто из клиентов в свой Журнал учета СКЗИ вносит лицензии на СКЗИ «КриптоПро CSP 3.6» и «Континент-АП 3.5», полученные в своих территориальных органах ФК, а это необходимо делать обязательно!

Я правильно понял что клиентам тоже нужное журналы заводить?

Журналы учета электронных подписей: как вести и хранить

Статья будет полезна, если в вашей организации есть хотя бы один ключ электронной подписи — тогда вам, скорее всего, нужно вести журналы учета ключей подписи. Кто обязан это делать и как, расскажем в статье.

Какие журналы учета вести

Инструкция устанавливает два типа журналов:

1. Журнал поэкземплярного учета СКЗИ.
   В него вносят сведения о ключах ЭП сотрудников — кто получил носитель с ключом подписи, когда и где, даты уничтожения и другая информация.

Способ заполнения журнала отличается в зависимости от типа СКЗИ, от того кто ведет журнал: обладатель ключей ЭП или орган криптографической защиты. Подробно детали заполнения описаны в приказе ФАПСИ № 152.

Форма журнала поэкземплярного учета для органа криптографической защиты — для лицензиатов ФCБ:

Форма журнала поэкземплярного учета для обладателей конфиденциальной информации:

1. Технический или аппаратный журнал.
   Он помогает следить за аппаратными средствами криптозащиты — например, серверами с установленным ключом ЭП.

Типовая форма технического (аппаратного) журнала:

Контроль использования сертификатов и ключевых носителей

Для решения задачи контроля использования смарт-карт, токенов и сертификатов в Indeed CM реализован специализированный модуль — клиентский агент Indeed CM. Агент устанавливается на ПК пользователей и позволяет удаленно выполнять ряд операций:

• Передавать на сервер Indeed CM информацию об используемых ключевых носителях — к какому ПК в данный момент подключены токены и какой пользователь работает на ПК
• Блокировать сессию Windows или ключевой носитель, в случае нарушения правил использования. Например, смарт-карта СКЗИ(токен) может быть привязана к учетной записи пользователя или ПК; если текущий пользователь или ПК не совпадает с назначенными, агент может заблокировать смарт-карту
• Смена PIN-кода по требованию администратора
• Блокировка носителя по требованию администратора
• Обновление сертификатов на носителе
• Удаление информации с ключевого носителя

Таким образом, агент позволяет администраторам вести аудит использования смарт-карт и токенов и удаленно выполнять операции с ключевыми носителями на ПК пользователя. Также агент может предотвращать несанкционированное использование носителей.

Дополнительно к агенту, Indeed CM может отслеживать состояние учетной записи пользователя в каталоге Active Directory и приостанавливать действие сертификатов пользователей, чьи учетные записи были отключены. Это позволяет прекратить возможность использования сертификатов на период отпуска или увольнения сотрудника.

Контроль использованияключевых носителей, цифровых сертификатов и скзи

Использование цифровых сертификатов и ключевых носителей для многих компаний является обязательной практикой. Они применяются как для внутренних целей — защиты электронной почты, внутренний документооборот, аутентификация пользователей, так для общения со сторонними организациями при работе на торговых площадках, в ДБО и для формирования квалифицированной электронной цифровой подписи (ЭЦП).

Сертификаты электронных ключей могут выпускаться как на собственных удостоверяющих центрах компании, так и в сторонних аккредитованных организациях. Управление разрозненной популяцией ключевых носителей становится сложной задачей, решить которую призваны специализированные системы. Indeed Certificate Manager предлагает централизованное и эффективное решение этой задачи.

Лицензиаты фсб

Эти компании оказывают платные услуги, связанные с использованием СКЗИ: их разработкой, распространением, установкой, обслуживанием и т.д. Это могут быть удостоверяющие центры, которые выпускают сертификат электронных подписей, или, например, дистрибьюторы СКЗИ.

К лицензиатам предъявляется самый большой список требований по соблюдению инструкции. Они должны создать у себя орган криптографической защиты информации, разработать свой регламент по соблюдению инструкции и вести журналы учета ключей ЭП и СКЗИ. Орган криптозащиты контролирует, как организация соблюдает инструкцию из приказа ФАПСИ №152.

Лицензиаты также могут помогать другим компаниям соблюдать требования регулятора — ФСБ России.

Нормативные документы

Помимо приказа ФАПСИ организации должны придерживаться в своей работе с электронной подписью следующий документов:

Все внутренние положения, регламенты и инструкции по использованию средств электронной цифровой подписи должны строиться на этих управляющих документах и отвечать их требованиям.

Образец журнала учета и регламента использования в организации эцп

Организации обязаны выполнять требования по обеспечению безопасности хранения, обработки и передачи средств криптографической защиты информации. Требования к хранению и учету электронной подписи и ее средств прописаны в отдельном приказе, а за его невыполнение юридическое лицо может понести наказание вплоть до уголовной ответственности.

Образцы документов

Регламент, а также положение по использованию и хранению электронной цифровой подписи составляются юридическим и IT-отделом исходя из требований приказа ФАПСИ № 152.

Для всех юридических лиц являются обязательными к выполнению требования Приказа ФАПСИ № 152 по обеспечению безопасности использования электронной цифровой подписи. Каждая организация должна вести журнал учета ЭЦП в организации по образцу, а также иметь регламент и положение по использованию, обеспечению сохранности и уничтожению ЭЦП.

Документы должны содержать такие разделы, как требования к ЭЦП, организация хранения подписи и правила использования подписи, порядок отзыва сертификата и процедура восстановления ранее приостановленного. Составляются документы юридическим отделом и отделом информационной безопасности исходя из рекомендаций и требования ФАПСИ.

Образцы журналов учета эцп

Отмеченная инструкция предусматривает ведение нескольких видов журналов учета ЭЦП, устанавливая форму указанной документации. Соответствующие таблицы приведены в приложениях данного норматива.

Образцы с примерами заполнения для каждой разновидности отчетных документов не составит труда найти в интернете, чтобы использовать в качестве наглядного руководства.

Общие положения регламента использования эцп в организации

Документ должен включать все принципы использования ЭЦП в организации и содержать следующие разделы:

• термины и определения;
• нормативные ссылки;
• основные положения;
• требования к использованию ЭЦП;
• организация работы с носителями ключевой информации;
• правила получения сертификата ключа ЭЦП;
• правила предоставления данных о статусе сертификата ЭЦП;
• порядок использования ЭЦП;
• условия признания юридической силы ЭЦП;
• порядок отзыва сертификата ключа ЭЦП;
• процедура восстановления работы ранее приостановленного сертификата ЭЦП.

Дополнительно к документу указываются ссылки на положения по электронному документообороту, а также на приложения в виде журнала учета электронной подписи, акта уничтожения ключевых носителей и т.д.

Организация работы с носителями ключевой информации

Пользователи, имеющие доступ к средствам электронной подписи, несут ответственность за ее сохранность согласно ФЗ-63. Список лиц, имеющих доступ к носителям ключевой информации, должен быть составлен руководством организации и зафиксирован в журнале учета выдачи электронной подписи.

Руководство организации также обязано назначить сотрудника, ответственного за осуществление электронных взаимодействий со сторонними агентами, и наделить его правом устанавливать электронную подпись соответствующим приказом.

Директор отдела информационной безопасности по согласованию с руководителем организации назначает ответственных за установку на рабочих местах средств для работы с ЭЦП. Контроль за использованием средств электронной подписи, а также за хранение и безопасность ЭЦП ложится на сотрудников компании.

Правила хранения и использования эцп

Носитель электронной цифровой подписи изготавливается в удостоверяющем центре и обслуживается сторонней организацией. Генерация ключей и их запись на токен (ключевой носитель) происходит на специальном сертифицированном оборудовании с использованием регламентированных технологических процессов.

Установка на рабочее место ПО АРМ от КриптоПро призвано гарантировать безопасность ключевой информации. Для возможности восстановления сертификата ключевой подписи в случае поломки носителя создается его копия на персональном компьютере. Безопасность информации во время копирования информации обеспечивается переносом данных только при помощи ПО «‎АРМ Генерация ключей». Носители ЭЦП маркируются специальными этикетками с номерами, соответствующими записи в журнале выдачи ЭЦП.

Каждому пользователю выдается личный носитель сертификата ЭЦП, содержащий закрытый ключ электронной подписи. Пользователь обязан хранить носители ЭЦП в месте, недоступной сторонним лицам.

Рекомендации по обеспечению безопасности при работе с эцп

На ПК должно быть установлено только лицензионное ПО последней версии. Обновление программного обеспечения обязательное условие безопасного использования средств ЭЦП. Также на ПК устанавливается антивирусное программное обеспечение с регулярным обновлением, а все съемные носители и файлы, запускаемые из сети, должны проверяться антивирусом перед открытием. Рекомендуется использовать ограничение IP-диапазона, блокировку сетевых атак и средства фильтрации трафика.

Решение

Для решение всех указанных задач в Indeed Certificate Manager реализованы соответствующие функции.

Требования по обеспечению безопасности хранения эцп

Требования к журналу учета ЭЦП, а также к документам по информационной безопасности указаны в Приказе от 13.06.2001 г. под номером 152, опубликованном Федеральным агентством правительственной связи и информации (ФАПСИ). Приказ прописывает определения средств криптографической защиты информации, ключевой информации, а также правила по хранению, обработке, передаче данных.

Согласно приказу, электронная подпись в организации должна ставиться на учет, и ее движение (выдача, формирование, передача, установка или уничтожение) также должны быть отслежены документально. Для этой цели и создан журнал учета средств электронной подписи.

Учет сторонних сертификатов

Информация об уже записанных на носитель сертификатах считывается в момент закрепления носителя за пользователем и отображается в его профиле. При приближении окончания срока действия таких сертификатов, система уведомит пользователя и/или администратора о необходимости обновления сертификата.