Технический аппаратный журнал для чего
Перейти к содержимому

Технический аппаратный журнал для чего

  • автор:

Аппаратный журнал СКЗИ — Форум по вопросам информационной безопасности

Аппаратный журнал СКЗИ — Форум по вопросам информационной безопасности

Я понимаю тема заезженная и сто раз разжеванная, но блин не могу я понять в каком случае заводится технический (аппаратный) журнал, а в каких нет? Грубо говоря в 152 инструкции написано если в эксплуатационной документации не говориться его заводить то и не надо. Так ли это, или все же в каких то случаях надо?

И еще по поводу лицевого счета, в каких случаях он заводится

to Штрудень
Согласно п. 24 — 28, если у вас нет обязаловки по ЭД на СКЗИ + не используются «разовые ключевые носители» + ключи не хранятся в СКЗИ непосредственно = можете не заводить аппаратный журнал, а отделаться журналом экземплярного учета. Определяйтесь со всем этим и действуйте.
Лицевой счет — согласно п. 27 — заводится всегда специалистами ОКЗ и на каждого пользователя СКЗИ. Определяйтесь с ОКЗ (та еще задачка, ага) и действуйте.

Пример разового носителя: смарт-карта с записанной ключевкой (вряд ли ваш случай) или любой носитель с перезаписываемой памятью, для которого регламентом предусмотрена замена самого носителя в случае изменения ключевки.
Пример хранения ключа в СКЗИ непосредственно: DST-файл сети ViPNet в типовом случае, если не применяются отчуждаемые носители типа Rutoken, eToken и т.д.
Пример ключевого носителя многократного использования: любой отчуждаемый носитель с перезаписываемой памятью при условии, что ключевая информация на нем периодически меняется согласно регламенту (например, ежегодная перезапись криптоключей сотрудниками ОКЗ).

Журналы учета электронных подписей: как вести и хранить

Статья будет полезна, если в вашей организации есть хотя бы один ключ электронной подписи — тогда вам, скорее всего, нужно вести журналы учета ключей подписи. Кто обязан это делать и как, расскажем в статье.

Что такое журналы учета ключей ЭП

Журналы учета средств криптографической защиты информации (СКЗИ) или ключей электронной подписи (ЭП или ЭЦП) помогают следить за перемещением средств криптозащиты и ключей подписи в организации. В них отражается кто получил ключ подписи, сдал ли его при переходе на другую должность или увольнении, знаком ли сотрудник с правилами работы со средствами электронной подписи. Журналы нужны предприятиям, которые используют ЭП и СКЗИ, например, КриптоПро CSP или ViPNet CSP. Как вести такие журналы, описано в Инструкции о безопасности хранения, обработки и передачи информации с использованием криптографических средств (приказ ФАПСИ № 152 от 13.06.2001). Разберемся, кому обязательно нужно вести их, а кому только рекомендуется это делать.

Кому нужно вести журналы учета ключей ЭП

Лицензиаты ФСБ

Эти компании оказывают платные услуги, связанные с использованием СКЗИ: их разработкой, распространением, установкой, обслуживанием и т.д. Это могут быть удостоверяющие центры, которые выпускают сертификат электронных подписей, или, например, дистрибьюторы СКЗИ. К лицензиатам предъявляется самый большой список требований по соблюдению инструкции. Они должны создать у себя орган криптографической защиты информации, разработать свой регламент по соблюдению инструкции и вести журналы учета ключей ЭП и СКЗИ. Орган криптозащиты контролирует, как организация соблюдает инструкцию из приказа ФАПСИ №152. Лицензиаты также могут помогать другим компаниям соблюдать требования регулятора — ФСБ России.

Организации, которые не являются лицензиатами ФСБ

  • Самостоятельно создать регламент, назначить конкретного сотрудника, который будет отвечать за его соблюдение и вести журналы.
  • Обратиться к лицензиатам ФСБ и поручить им разработку регламента и журналов, и при необходимости, передать им контроль за тем, как соблюдается инструкция и внутренний регламент.

СКБ Контур — лицензиат ФСБ и поможет организовать учет электронных подписей в компании. Специалисты проекта Контур.Безопасность создадут всю необходимую документацию и проконтролируют соблюдение регламента и инструкции из приказа ФАПСИ № 152.

Какие журналы учета вести

Инструкция устанавливает два типа журналов:

Журнал поэкземплярного учета СКЗИ. В него вносят сведения о ключах ЭП сотрудников — кто получил носитель с ключом подписи, когда и где, даты уничтожения и другая информация.

Способ заполнения журнала отличается в зависимости от типа СКЗИ, от того кто ведет журнал: обладатель ключей ЭП или орган криптографической защиты. Подробно детали заполнения описаны в приказе ФАПСИ № 152.

Форма журнала поэкземплярного учета для органа криптографической защиты — для лицензиатов ФCБ:

Образец журнала поэкземплярного учета ЭЦП для организаций — органов криптографической защиты

Форма журнала поэкземплярного учета для обладателей конфиденциальной информации:

Образец журнала учета электронной подписи для организаций — обладателей конфиденциальной информации. Позволяет вести учет выдачи ЭЦП, ставит на учет рутокены и другие носители, фиксирует владельцев средств ЭП.

Технический или аппаратный журнал. Он помогает следить за аппаратными средствами криптозащиты — например, серверами с установленным ключом ЭП.

Типовая форма технического (аппаратного) журнала:

Аппаратный журнал учета средств ЭП пример для заполнения

Чтобы скачать формы для заполнения журналов, перейдите по ссылке.

Если вы еще не получили электронную подпись, оформите ее в удостоверяющем центре, который прошел аккредитацию. В УЦ Контура есть подписи для сотрудников, торгов, отчетности и личных дел. Поможем оформить сертификат ФНС для руководителя.

Что такое порядок использования и хранения ключей ЭП и СКЗИ

Кроме журналов учета инструкция также рекомендует организациям разработать и соблюдать свой регламент хранения и использования ключей ЭП. Для регламента нет единой типовой формы, поэтому компания может разработать документ самостоятельно. Для этого нужно изучить инструкцию и адаптировать требования именно под свою компанию.

Несмотря на то, что регламент в разных компаниях будет отличаться, есть общие требования — регламент должен указывать правила, по которым в организации:

  • назначают сотрудников ответственных за учет ключей ЭП и СКЗИ;
  • ведут журналы и поэкземплярный учет;
  • устанавливают и настраивают СКЗИ;
  • обучают работе с ЭП и СКЗИ, ведут пользователей, допущенных к работе с ними;
  • контролируют соблюдение условий использования ЭП и СКЗИ;
  • действуют в случае, если ключи и СКЗИ утеряны или есть подозрение, что используются неправомерно;
  • контролируют соблюдение регламента внутри организации.

Что будет, если не соблюдать инструкцию и не вести журналы учета

За безопасностью в сфере использования конфиденциальных данных в России следит ФСБ России. Ведомство может проводить, как плановые, так и внеплановые проверки в целях контроля использования шифровальных средств. Если при проверке обнаружат нарушения правил защиты информации, то, согласно ст. 13.12 КоАП РФ, на организацию могут наложить ряд санкций: штрафы для должностных лиц и юрлица, а также конфискацию самих средств криптозащиты. В итоге не сможет отправить электронную отчетность или работать в системе обмена данными.

Отметим, что на практике некоторые организации не соблюдают приказ ФАПСИ №152, считая, что так как документ утвердили почти двадцать лет назад, то и значимость его устарела. Однако приказ все еще юридически действителен, а в 2016 году ФСБ России подтвердило его актуальность.

Поэтому организациям необходимо обеспечить безопасность хранения, использования и передачи конфиденциальной информации. Если для этого используются электронные подписи и СКЗИ, организация должна их учитывать. Основной документ, на который можно опираться — приказ ФАПСИ №152 и утвержденная в нем инструкция. Если ФСБ России решит проверить организацию и обнаружит существенные недостатки, ведомство вправе наложить административный штраф или даже приостановить деятельность организации до устранения недочетов.

Привет из прошлого: кто, что и зачем пишет в журнале учета СКЗИ

Скорее всего, вы знаете, что учет СКЗИ регламентирован «Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащих сведений, составляющих государственную тайну». Этот документ невиданной силы утвержден приказом Федерального агентства правительственной связи и информации при президенте Российской Федерации (ФАПСИ) от 13.06.2001 № 152.

Тогда, 20 лет назад, сертифицированные СКЗИ применялись крайне редко, а большинство организаций не имели такой разрозненной и распределенной по всей стране ИТ-инфраструктуры. В итоге инструкция, например, до сих пор не предусматривает возможность удаленной передачи ключей шифрования, а журнал учета требуется хранить в отдельном помещении. Вести учет в электронном виде можно, но только с применением квалифицированной ЭП (учет СКЗИ в электронном виде – это тема для отдельной статьи, и об этом мы поговорим следующий раз), либо сопровождать каждое действие соответствующими актами.

Кстати, само ФАПСИ было расформировано в 2003 году. Его функции были распределены между ФСО, ФСБ, СВР и Службой специальной связи и информации при ФСО. Но написанный агентством документ не утратил силы.

Кто и как ведет учет

Если организация является обладателем конфиденциальной информации, то ей, скорее всего, требуется обеспечить безопасную передачу, обработку и хранение этой информации с помощью СКЗИ. К слову, к последним инструкция относит как сами программные или аппаратно-программные средства, так и информацию, необходимую для их работы, ключи, техническую документацию.

Организует и контролирует все работы с СКЗИ орган криптографической защиты (ОКЗ). Это может быть как структурное подразделение (или конкретный сотрудник) внутри организации (обладателе конфиденциальной информации), так и внешний подрядчик (например, сервис-провайдер).

В первом случае организация должна издать приказ о создании ОКЗ, определить его структуру и обязанности сотрудников. Например:

  • начальник отдела занимается организацией и совершенствованием системы управления работой своих сотрудников;
  • администратор безопасности обеспечивает сохранность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники.

Все работники, которые занимаются установкой и настройкой СКЗИ и в принципе имеют к ним доступ, должны быть внесены в приказ и ознакомлены с ним. Для каждой должности нужно разработать должностную инструкцию и ознакомить пользователей с порядком применения СКЗИ.

В итоге перечень необходимых документов состоит из:

  • приказа о создании ОКЗ;
  • должностных инструкций;
  • утвержденных форм журналов учета;
  • шаблонов заявлений, актов;
  • инструкции для пользователей по работе с СКЗИ.

Мы помним, что по всем СКЗИ должен вестись поэкземплярный учет, а их движение (формирование, выдача, установка, передача, уничтожение) должно быть документально подтверждено. Для этого и обладатель конфиденциальной информации, и орган криптографической защиты должны вести журналы (каждый свой) поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.

Но если орган криптографической защиты информации – это структурное подразделение организации, на его плечи ложится ведение обоих журналов. Дело в том, что в этом случае организация не только является обладателем конфиденциальной информации, но и выполняет часть функций ОКЗ. Например, крупные холдинги, как правило, выделяют в своем составе ИТ-компанию, которая в том числе отвечает за информационную безопасность с использованием СКЗИ. Она ведет все журналы и сопутствующую документацию и является для своего холдинга поставщиком услуг.

Если услуги оказывает сервис-провайдер, то он заполняет журнал учета для органа криптографической защиты, а организация – журнал для обладателя конфиденциальной информации.

Вы еще тут? Надеемся, не запутались!

Журналы учета хранятся в течение 5 лет. Сами СКЗИ и документация к ним должны находиться за семью замками в специальном помещении, а доступ туда могут иметь только сотрудники ОКЗ.

Операции с СКЗИ: взятие на учет

Рассмотрим порядок учета на конкретном примере (данные в таблицах ниже вымышленные все совпадения случайны). Организация N – обладатель конфиденциальной информации – хочет использовать СКЗИ компании «КриптоПро». При этом организация N не готова создавать у себя ОКЗ и обращается к сервис-провайдеру, который будет предоставлять ей соответствующие услуги. Итак, для начала вендор ПАК должен предоставить организации N исходные данные для учета. Выглядит это так:

Предмет

Данные

с/н лицензии СКЗИ

Технический аппаратный журнал для чего

На главную страницу ctntrmag.ru

ЦЕНТ Р А ЛЬНЫЙ ИНТЕРНЕТ-МА Г А ЗИН

+7(800)707-21-74
Бесплатно по России

Документ отменен

Нормативные документы регламентируют ведение тех, или иных учетных форм (журналов, актов, нарядов и т.д.). В случае, когда приказ утрачивает силу, автоматически считаются отмененными (недействующими) и формы, введенные этим документом.

Если взамен приказа вводится новый, мы стараемся это указывать и давать ссылки.

Бывает так, что в действующем приказе не приводится форма журнала. В таких случаях Правительство возлагает разработку учетного документа на руководителя предприятия.

Постановлением Минтруда РФ от 10.10.2003 N 69 была введена форма Книги учета движения трудовых книжек и вкладышей в них. 31.08.2021 данное постановление утратило силу в связи с выходом Приказа Минтруда России от 19.05.2021 N 320н. Соответственно, книга учета, введенная старым Постановлением, утратила силу. Новый Приказ гласит: «Работодатель самостоятельно разрабатывает книги (журналы) по учету бланков трудовой книжки и вкладыша в нее и учета движения трудовых книжек». Для облегчения работы наших клиентов специалисты типографии «ЦентрМаг» разработали форму Книги учета движения трудовых книжек и вкладышей в них согласно действующему законодательству по состоянию на 01.09.2021. Она носит рекомендательный характер, пользоваться данной формой, или нет, каждый принимает решение самостоятельно.

Распоряжением Росавтодора от 23.05.2002 N ИС-478-р ввели в действие большое количество учетных форм, в том числе Журнал подводного бетонирования (Форма Ф-49). Распоряжением Минтранса России от 11.12.2017 N МС-226-р данный документ, а значит и все журналы, приведенные в нем, также утратили силу. В связи с тем, что на законодательном уровне не было введено нового Приказа, регламентирующего ведение производственно-технической документации при строительстве (реконструкции) автомобильных дорог и искусственных сооружений на них, многие организации продолжают заказывать и пользоваться фактически отмененными формами.

Допустимо это, или нет, следует узнавать у контролирующих организаций.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *