ИБ03 Журнал технический (аппаратный)
Журнал технический (аппаратный) предназначен для фиксации операций по обращению и допуску к работе со средствами криптозащиты, установленными на серверном компьютерном оборудовании.
Форма журнала утверждена Приказом ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
Внутренний блок журнала
Журнал содержит следующие колонки:
- N п/п
- Дата
- Тип и серийные номера используемых СКЗИ
- Записи по обслуживанию СКЗИ
Используемые криптоключи - Тип ключевого документа
- Серийный криптографи-ческий номер и номер экземпляра ключевого документа
- Номер разового ключевого носителя или зоны СКЗИ, в которую введены криптоключи
Отметка об уничтожении (стирании) - Дата
- Подпись пользователя СКЗИ
- Примечание
Контрольная пломба
Перед началом работы с Журналом необходимо заполнить титульный лист и заверительную надпись. Обязательно вписать номер пломбы в соответствующую строку, без этого Журнал не считается опломбированным.
Нормативные материалы:
Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»
Полезная информация:
-
, СКБ Контур
Вебинары по информационной безопасности:
- Жижерина Ю. Ю. «Персональные данные работников»
- Сорокин А. В. «Криптографические методы защиты информации»
- Выходцев А. С. «Персональные данные работника: минимизируем риски»
Какие требования предъявляются к журналам учета и как должен быть оформлен журнал в соответствии с этими требованиями, смотрите в нашем видеоролике.
Привет из прошлого: кто, что и зачем пишет в журнале учета СКЗИ
Скорее всего, вы знаете, что учет СКЗИ регламентирован «Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащих сведений, составляющих государственную тайну». Этот документ невиданной силы утвержден приказом Федерального агентства правительственной связи и информации при президенте Российской Федерации (ФАПСИ) от 13.06.2001 № 152.
Тогда, 20 лет назад, сертифицированные СКЗИ применялись крайне редко, а большинство организаций не имели такой разрозненной и распределенной по всей стране ИТ-инфраструктуры. В итоге инструкция, например, до сих пор не предусматривает возможность удаленной передачи ключей шифрования, а журнал учета требуется хранить в отдельном помещении. Вести учет в электронном виде можно, но только с применением квалифицированной ЭП (учет СКЗИ в электронном виде – это тема для отдельной статьи, и об этом мы поговорим следующий раз), либо сопровождать каждое действие соответствующими актами.
Кстати, само ФАПСИ было расформировано в 2003 году. Его функции были распределены между ФСО, ФСБ, СВР и Службой специальной связи и информации при ФСО. Но написанный агентством документ не утратил силы.
Кто и как ведет учет
Если организация является обладателем конфиденциальной информации, то ей, скорее всего, требуется обеспечить безопасную передачу, обработку и хранение этой информации с помощью СКЗИ. К слову, к последним инструкция относит как сами программные или аппаратно-программные средства, так и информацию, необходимую для их работы, ключи, техническую документацию.
Организует и контролирует все работы с СКЗИ орган криптографической защиты (ОКЗ). Это может быть как структурное подразделение (или конкретный сотрудник) внутри организации (обладателе конфиденциальной информации), так и внешний подрядчик (например, сервис-провайдер).
В первом случае организация должна издать приказ о создании ОКЗ, определить его структуру и обязанности сотрудников. Например:
начальник отдела занимается организацией и совершенствованием системы управления работой своих сотрудников;
администратор безопасности обеспечивает сохранность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники.
Все работники, которые занимаются установкой и настройкой СКЗИ и в принципе имеют к ним доступ, должны быть внесены в приказ и ознакомлены с ним. Для каждой должности нужно разработать должностную инструкцию и ознакомить пользователей с порядком применения СКЗИ.
В итоге перечень необходимых документов состоит из:
приказа о создании ОКЗ;
утвержденных форм журналов учета;
шаблонов заявлений, актов;
инструкции для пользователей по работе с СКЗИ.
Мы помним, что по всем СКЗИ должен вестись поэкземплярный учет, а их движение (формирование, выдача, установка, передача, уничтожение) должно быть документально подтверждено. Для этого и обладатель конфиденциальной информации, и орган криптографической защиты должны вести журналы (каждый свой) поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.
Но если орган криптографической защиты информации – это структурное подразделение организации, на его плечи ложится ведение обоих журналов. Дело в том, что в этом случае организация не только является обладателем конфиденциальной информации, но и выполняет часть функций ОКЗ. Например, крупные холдинги, как правило, выделяют в своем составе ИТ-компанию, которая в том числе отвечает за информационную безопасность с использованием СКЗИ. Она ведет все журналы и сопутствующую документацию и является для своего холдинга поставщиком услуг.
Если услуги оказывает сервис-провайдер, то он заполняет журнал учета для органа криптографической защиты, а организация – журнал для обладателя конфиденциальной информации.
Вы еще тут? Надеемся, не запутались!
Журналы учета хранятся в течение 5 лет. Сами СКЗИ и документация к ним должны находиться за семью замками в специальном помещении, а доступ туда могут иметь только сотрудники ОКЗ.
Операции с СКЗИ: взятие на учет
Рассмотрим порядок учета на конкретном примере (данные в таблицах ниже вымышленные все совпадения случайны). Организация N – обладатель конфиденциальной информации – хочет использовать СКЗИ компании «КриптоПро». При этом организация N не готова создавать у себя ОКЗ и обращается к сервис-провайдеру, который будет предоставлять ей соответствующие услуги. Итак, для начала вендор ПАК должен предоставить организации N исходные данные для учета. Выглядит это так:
Предмет
Данные
с/н лицензии СКЗИ
т/н № 44313 от 22.02.2020
Формуляр СКЗИ «КриптоПро CSP» версии 4.2
ЖТЯИ.00002-02 30 10
Диск CD-ROM с дистрибутивом СКЗИ
В 1–6 графы журнала поэкземплярного учета должна попасть информация о:
диске с дистрибутивом;
серийном номере лицензии на СКЗИ.
После заполнения всех этих данных СКЗИ выдаются пользователям, то есть тем работникам в организации, для которых они закупались. Это может быть как сотрудник бухгалтерии, который применяет ЭП для подписания и отправки документов, так и другой ответственный специалист, взявший на себя обязательства по сохранности СЗКИ.
На этом этапе заполняются 7 и 8 графы журнала (кому и когда выдается СКЗИ – с обязательной росписью пользователя). Если возможности расписаться в журнале нет, то можно заполнить акт передачи, где в свободной форме указывается, кто (администратор безопасности) и кому (пользователю) передает СКЗИ. При этом обе стороны расписываются, а номер акта вносится в 8 графу («Дата и номер сопроводительного письма»).
В 9 графу записывается имя сотрудника, производившего установку СКЗИ. Чаще всего это делает специалист технической поддержки, который также является администратором безопасности. Но это может быть и пользователь, если он обладает соответствующими навыками и правами доступа в сеть. В 11 графе указывается серийный номер материнской платы или номер опечатывающей пломбы системного блока.
Если сотрудник, который производил установку, уволился, то СКЗИ нужно изъять и составить акт, в котором указывается предмет и способ изъятия (например, удаление ключевой информации с носителя). Все это фиксируются в 12, 13, 14 графах.
При уничтожении СКЗИ также составляется соответствующий акт. В нем должны быть указаны предмет и способ уничтожения. Программные СКЗИ стирают с носителя ключевой информации (чистка реестра), а ПО деинсталлируют. С аппаратных СКЗИ можно удалить ключевую информацию либо уничтожить их физически.
Ниже пример журнала, заполненного организацией – обладателем конфиденциальной информации. ООО «Компания» – это сервис-провайдер, который выполняет функции органа криптографической защиты для организации.
Заглянуть в журнал учета
Журнал поэкземплярного учета СКЗИ для обладателя конфиденциальной информации
Журнал учета СКЗИ для органа криптографической защиты во многих пунктах перекликается с аналогичным документом для организации и заполняется по такому же принципу, поэтому не будем подробно останавливаться на его разборе. В примере ниже ООО «Организация» – это обладатель конфиденциальной информации, который воспользовался услугами сервис-провайдера.
Заглянуть в журнал еще раз
Журнал поэкземплярного учета СКЗИ для органа криптографической защиты
Что в итоге?
Сложно не согласиться с тем, что все эти требования уже давно морально устарели и Инструкция нуждается в актуальных корректировках, но пока мы вынуждены выполнять требования ее текущей редакции. Обратите внимание, что для ведения журнала поэкземплярного учета СКЗИ в электронном виде требуется подписывать документы только квалифицированной ЭП либо сопровождать каждое действие соответствующими актами. Если же речь идет о физическом документе, то все данные и подписи должны быть внесены в него всеми ответственными лично.
Безусловно, учет СКЗИ – это только один из множества обязательных к исполнению процессов, описанных в документе. В будущем мы постараемся подробно описать процесс опломбирования СКЗИ, технологию их уничтожения и многое другое.
Надеемся, эта памятка была для вас полезной.
Автор: Никита Никиточкин, администратор реестра СКЗИ Solar JSOC «Ростелеком-Солар»
Журналы учета СКЗИ — Форум по вопросам информационной безопасности
Журналы учета СКЗИ — Форум по вопросам информационной безопасности
Страницы: 1 2 >
Работаю в гос.структуре, запутался в количестве журналов связанных с СКЗИ, которые должны у меня быть.
1) Журнал Поэкземплярного учета СКЗИ — понятно. Уже сделал, но еще не начал заполнять. Думаю как быть, если СКЗИ установлены еще полгода назад и токены розданы соответственно тогда же.
2) Технический (аппаратный) журнал — заводится если ключи хранятся на жестком диске АРМ (насколько я понимаю этот журнал заводится отдельно на каждый конкретный АРМ).
3) из Руководства Администратора безопасности на Крипто-Про 3.9, вылез журнал "пользователя сети"? Нужен ли он?
4) Один мой знакомый из Налоговой говорит, что должен быть еще "журнал инструктажа пользователей с правилами работы с СКЗИ".
5) Также этот знакомый говорит что перед установкой СКЗИ нужен акт готовности АРМ к работе с СКЗИ, причем для каждого АРМ-свой акт?
6) Про книгу лицевых счетов совсем не понятно, и информации по ней тоже не нашел толком.
Подскажите как это должно быть правильно организовано?
Заранее спасибо!
4) Журнал инструктажа = журнал ознакомления с инструкцией. Да, нужен. В договорах на обслуживание с тем же УФК это прописано.
5), 6) Есть по ссылке выше.
Спасибо за ответ!
1)Я правильно понял, что "журнал пользователя сети" мы не ведем? По сути он дублирует "журнал поэкземплярного учета"?
2) Если нет необходимости вести "Аппаратный журнал" (пользователь изредка пользуется ЭП, и ключи на токене) — куда я делаю запись о том, что опечатал компьютер?
3) Также не уяснил про книгу лицевых счетов. В приведенных Вами материалах ест определение:"Книга регистрации применяющихся Пользователями средств криптографической защиты, эксплуатационной и технической документации". Как она ведется? Кем? И есть ли образец?
1) В помощью по вашему вопросу — бесплатная система учета СКЗИ и криптоключей — Менеджмент безопасности, позволяет печатать акты и вести необходимые журналы.
Скачать можно отсюда — http://imbasoft.ru/viewtopic.php?f=7&t=5
2) Перед организацией учета рекомендуется провести аудит.
С методикой можно ознакомиться — http://imbasoft.ru/viewtopic.php?f=7&t=8
Хочу добавить что журнал согласно правилам Росархива 23.12.2009 N 76 должет быть опечатан, заверен подписью уполномоченными лицами и часть подписи должна быть расположена на самом документе, а часть на наклеенной бумаге.
А то журнал не действителен
Сейф, в силу постоянно использования, целесообразно оборудовать металлической плашкой с флажком, купить металлическую печать и заказать гравировку. Один раз нанесете платистин и будете постоянно опечатывать сейф своей индивидуальной печатью. Печать и плашку можно купить в "Комус". Гравировку можно дешёво сделать в любой мастерской.
Системные блоки уже можно, а лучше нужно, опечатать с использованием заранее пронумерованных пломб-наклеек. Купили в том же "Комусе" рулон на 1000 шт. наклеек, опечатали системный блок так, чтобы его невозможно было вскрыть без повреждения, номер указанный на пломбе-наклейке занесли журнал. Ничего сложного. На наклейке также можно расписаться, проставить дату, поля для этого предусмотрены. Процедура опломбирования разовая.
Журналы учета электронных подписей: правильное заполнение и хранение
Журналы учета электронных подписей: правильное заполнение и хранение
Понятие журналов учета ключей электронной подписи
Журналом учета ключей электронной (цифровой) подписи (далее – ЭП, ЭЦП) или средств криптографический защиты (далее – СКЗИ) называют документ, который позволяет отслеживать использование ЭЦП и СКЗИ внутри организации.
Такие журналы содержат информацию о том, кто и в какое время получал ключи электронных подписей, кто сдал их назад в случае перехода сотрудника на другую должность или же в случае его увольнения, было ли совершено уничтожение средства, а также позволяют определить, какие работники были ознакомлены с порядком работы со средствами криптографической защиты.
Кому необходимо вести журналы учета ключей электронной подписи?
- Лицензиаты Федеральной службы безопасности (далее – ФСБ) – различные субъекты, деятельность которых направлена на оказание платных услуг, связанных с использованием СКЗИ. К числу таковых относятся разработка, распространение, установка программного обеспечения, средств СКЗИ и другое. Для того, чтобы быть лицензиатом ФСБ, необходимо выполнить все требования, предусмотренные законом, к документации, а также ее ведению и соблюдению. Помимо этого, требуется создать орган криптографической защиты, который следит за соблюдением организацией Инструкции о безопасности хранения, обработки и передачи информации с использованием криптографических средств, принятой в соответствии с приказом Федерального агентства правительственной связи и информации (далее – ФАПСИ) № 152 от 13.06.2001 г. Несмотря на то, что приказ был принят более 20 лет назад, а агентство распущено еще в 2003 году, документ является действующим, что неоднократно подтверждалось ФСБ РФ;
- Иные организации, которые не являются лицензиатами ФСБ, но использующие ЭЦП в документообороте или СКЗИ для защиты конфиденциальной информации в случае необходимости защиты таковой по закону. Если законом не установлен обязательный характер защиты определенной информации, то правила инструкции из приказа ФАПСИ лишь рекомендуется учитывать.
Журналы учета СКЗИ и ЭЦП
В Инструкции о безопасности хранения, обработки и передачи информации с использованием криптографических средств обозначены формы определенных видов журналов учета СКЗИ и ЭЦП и представлены в приложениях документа.
Первым является журнал поэкземплярного учета средств криптографической защиты информации. Чтобы его заполнить, необходимо внести сведения о выданных ЭЦП сотрудникам: какие средства используются, кто их получил, когда и в каком месте, когда начато было использование и завершено, когда уничтожены и другая необходимая информация.
В зависимости от того, кто ведет журнал учета, приказ ФАПСИ №152 разделяет формы типовых документов.
1. Форма журнала поэкземплярного учета для органа криптографической защиты, т.е. для лицензиатов ФCБ
2. Форма журнала поэкземплярного учета для обладателей конфиденциальной информации
Вторым необходимым журналом является технический или аппаратный журнал. С его помощью можно отслеживать операции по работе с СКЗИ, которые установлены на серверах.
В него вносится информация о том, с помощью какого СКЗИ и какая проводится операция, когда и какие используются криптоключи, когда и кем была уничтожена подпись и так далее.
Приказ ФАПСИ №152 устанавливает форму технического или аппаратного журнала:
Регламент использования и хранения ключей СКЗИ и ЭЦП
Компаниям необходимо не только подготовить журналы учета ЭП и СКЗИ, но еще и регламент действий, которые позволят держать информацию конфиденциальной. Различными нормативно-правовыми актами не предусмотрена для таких документов специальная форма, поэтому организации могут самостоятельно сформулировать удобный для себя регламент, проанализировав инструкцию из Приказа.
- Установление правил надзора за соблюдением требований регламента в компании;
- Определение сотрудников, которые будут заниматься заполнением журналов, вести учет СКЗИ и ЭЦП;
- Формирование правил обучения работе с СКЗИ и ЭЦП, а также определения допуска к работе с таковыми средствами;
- Контроль за правильностью использования СКЗИ и ЭП;
- Правила установки и настройки СКЗИ;
- Порядок действий в случае неправомерного использования ключей и СКЗИ, а также в ситуациях их потери.
Ответственность за несоблюдение требований инструкций и ведения журналов учета
Организации, которые работают с СКЗИ, должны соблюдать требования по регламенту, а также правильно заполнять журналы. Все мероприятия осуществляются с учетом Приказа ФАПСИ №152.
ФСБ России как ведомство, контролирующее исполнение норм в сфере использования конфиденциальных данных с использованием СКЗИ, проводит проверки (плановые/внеплановые) для того, чтобы отследить, применяют ли компании в своей деятельности сформированные документы, правильно ли они делают, как используют средства защиты.
- Штрафы для физических лиц. В указанной статье суммы варьируются от 500 до 2500 рублей. Штраф может быть как с конфискацией несертифицированных средств защиты информации, так и без таковой;
- Штрафы для индивидуальных предпринимателей. В указанной статье суммы варьируются от 2000 до 3000 рублей. Также предусмотрена санкция в виде административного приостановления деятельности на срок до 90 суток;
- Штрафы для должностных лиц. В указанной статье суммы варьируются от 1000 до 4000 рублей;
- Штрафы для юридических лиц. В указанной статье суммы варьируются от 10000 до 30000 рублей. Штраф может быть как с конфискацией несертифицированных средств защиты информации, так и без таковой. Также предусмотрена санкция в виде административного приостановления деятельности на срок до 90 суток.
После проведения проверки организации от ФСБ будет предоставлено предписание об устранении выявленных недостатков, которое необходимо исполнить в обозначенный срок.
Чтобы избежать наложения штрафов и приостановления деятельности организации, необходимо соблюдать приказ ФАПСИ №152, принятый регламент, работать с сертифицированными СКЗИ.