Содержание страницы

Особенности учета СКЗИ — Информационная безопасность

Но не все знают, что согласно закону ключи шифрования должны учитываться.В данной статье я расскажу об учете средств криптографической защиты информации и приведу ссылки на законные акты Российской Федерации.

Если посмотреть приказ ФСБ №66 в приложении в пункте 48, можно увидеть следующее содержание:48. СКЗИ и их опытные образцы подлежат поэкземплярному учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов (условных наименований) и регистрационных номеров поэкземплярного учета СКЗИ и их опытных образцов определяет ФСБ России.    Организация поэкземплярного учета опытных образцов СКЗИ возлагается на разработчика СКЗИ.    Организация поэкземплярного учета изготовленных СКЗИ возлагается на изготовителя СКЗИ.    Организация поэкземплярного учета используемых СКЗИ возлагается на заказчика СКЗИ.

Данный учет средств криптографической защиты информации должен вестись в специальном журнале, а еще лучше в добавок и в электронном виде, где должны быть учтена следующая информация:1. что выдали2. на чем выдали3. кто получил4. кто сдал5. отметка о уничтожении

Таким образом СКЗИ для учета следует разделить на:Ключевой носитель — физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т. п.).Ключевой документ — физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости — контрольную, служебную и технологическую информацию; (по сути это носитель с записанным секретным ключом)Дистрибутив СКЗИ — само программное обеспечение(например КриптоПро CSP, тут следует учесть номер дистрибутива, который можно найти в формуляре на СКЗИ)Лицензия СКЗИ — сама по себе не является средством шифрования, но ее тоже следует учесть в журнале, так как были инциденты, когда компании из за этого штрафовали, а еще я слышал случаи о возбуждении уголовных дел.

Кстати говоря у многих возникает спор, в чем же разница между ключевым документом и ключевым носителем. Кто-то придерживается мнения, что ключевой документ это сам по себе ключевой контейнер или ключевая информация, и в принципе это логично, но то описание которое я привел выше, было взять из приложения к Приказу ФАПСИ от 13 июня 2001 г. N 152, где четко прописано, что это физический носитель.Поэтому лично с моей точки зрения это следует подразумевать, как не просто ключевая информация в электронном виде, а физический носитель с записанной на него ключевой информацией. В принципе это не составляет труда учесть, так как можно в журнале указать номер носителя и идентификатор секретного ключа в одном пункте.

Мое и не только мое мнение для учета лучше всего вести несколько журналов:Журнал поэкземплярного учёта дистрибутивов СКЗИ.Журнал поэкземплярного учёта лицензий на право использования СКЗИ.Журнал поэкземплярного учёта ключевых документов СКЗИ.Журнал поэкземплярного учёта аппаратных ключевых носителей СКЗИ.

В целях упрощения учета, при получении большого количества СКЗИ, следует запросить учетную информацию в электронном виде, у поставщика или криптографического органа, что бы не перепечатывать эти серийные номера вручную.

tsnm.livejournal.com

ОБ УТВЕРЖДЕНИИ ИНСТРУКЦИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ЭКСПЛУАТАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ, ЭЛЕКТРОННО-ЦИФРОВОЙ ПОДПИСИ И КЛЮЧЕВЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ В ДЕПАРТАМЕНТЕ ОХРАНЫ ЗДОРОВЬЯ НАСЕЛЕНИЯ …

2. Контроль за исполнением приказа оставляю за собой.

ИНСТРУКЦИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ЭКСПЛУАТАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ, ЭЛЕКТРОННО-ЦИФРОВОЙ ПОДПИСИ И КЛЮЧЕВЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ В ДЕПАРТАМЕНТЕ ОХРАНЫ ЗДОРОВЬЯ НАСЕЛЕНИЯ КЕМЕРОВСКОЙ ОБЛАСТИ

1. Термины и определения

Администратор безопасности — должностное лицо, обеспечивающее эксплуатацию средств криптографической защиты информации (далее — СКЗИ) и управление криптографическими ключами.

Ответственный за эксплуатацию СЗИ, СКЗИ, ЭЦП и ключевых носителей — сотрудник, осуществляющий организацию и обеспечение работ по техническому обслуживанию СЗИ, СКЗИ и управление криптографическими ключами, ЭЦП и ключевых носителей информации.

ПЭВМ — персональная электронно-вычислительная машина (персональный компьютер).

Электронный документ (ЭД) — документ, в котором информация представлена в электронно-цифровой форме.

2. Общие положения

2.2. Все действия работы с средствами защиты информации осуществляются в соответствии с эксплуатационной документацией.

2.4. Для организации и обеспечения работ по техническому обслуживанию средств защиты информации, приказом учреждения назначается ответственный за эксплуатацию.

— поэкземплярный учет, эксплуатационной и технической документации к ним;

— расследование и составление заключений по фактам нарушения условий использования средств защиты информации, которые могут привести к снижению требуемого уровня безопасности информации;

2.5. Пользователи средств защиты информации назначаются приказом учреждения.

— не разглашать конфиденциальную информацию, к которой допущен, рубежи ее защиты, в том числе сведения о криптографических ключах;

— сдать средства защиты информации, эксплуатационную и техническую документацию к ним, криптографические ключи в соответствии с порядком, установленным настоящей Инструкцией, при прекращении использования средств защиты информации;

2.6. Обучение пользователей правилам работы с средствами защиты информации осуществляет ответственный за эксплуатацию. Ответственный за эксплуатацию средствами защиты информации должен иметь соответствующий документ о квалификации в области эксплуатации. Непосредственно к работе с средствами защиты информации пользователи допускаются после обучения.

2.8. Ответственный за эксплуатацию средств защиты информации и пользователи должны быть ознакомлены с настоящей Инструкцией под роспись.

3.1. Средства защиты информации, эксплуатационная и техническая документация к ним, криптографические ключи подлежат поэкземплярному учету.

3.3. Единицей поэкземплярного учета криптографических ключей, ключевых носителей, считается отчуждаемый ключевой носитель многократного использования. Если один и тот же ключевой носитель многократно используют для записи криптографических ключей, то его каждый раз следует регистрировать отдельно.

3.5. Дистрибутивы средств защиты информации на носителях, эксплуатационная и техническая документация к ним, инструкции хранятся у ответственного за эксплуатацию средств защиты информации. Криптографические ключи, электронно-цифровая подпись и ключевые носители хранятся у пользователей средств защиты информации. Хранение осуществляется в закрываемых на замок металлических хранилищах пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение или в опечатанном пенале (тубусе). Металлические шкафы должны быть оборудованы внутренними замками с двумя экземплярами ключей и кодовыми замками и приспособлениями для опечатывания.

3.7. Аппаратные средства, с которыми осуществляется штатное Функционирование средств защиты информации, а также аппаратные и аппаратно-программные средства защиты информации, должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования), аппаратных средств должно быть таким, чтобы его можно было визуально контролировать.

3.9. На время отсутствия ответственного за эксплуатацию средств защиты информации должен быть назначен сотрудник его замещающий.

4. Использование СКЗИ и криптографических ключей, ЭЦП и ключевых носителей

4.2. При выявлении сбоев или отказов пользователь обязан сообщить о факте их возникновения ответственному за эксплуатацию.

— осуществлять несанкционированное копирование средств защиты информации; использовать ключевые носители и ЭЦП для работы на других рабочих местах для шифрования и подписи электронных документов;

— вставлять носители криптографических ключей, ЭЦП и ключевые носители в устройства считывания в режимах, не предусмотренных штатным режимом работы средств защиты информации, а также в устройства считывания других ПЭВМ;

— подключать к ПЭВМ дополнительные устройства и соединители, не предусмотренные в штатной комплектации;

— вносить какие-либо изменения в программное обеспечение средств защиты информации.

5.1. Изготовление криптографических ключей и ЭЦП может производиться администратором безопасности в присутствии пользователя.

5.3. Переход на новые криптографические ключи пользователь выполняет самостоятельно в соответствии с эксплуатационной документацией на средства защиты информации. Переход на новые криптографические ключи осуществляется в сроки, указанные в сертификате ключа подписи.

6. Действия при компрометации криптографических ключей и ЭЦП

— потеря ключевых носителей с рабочими и/или резервными криптографическими ключами или ЭЦП;

— увольнение сотрудников, имевших доступ к рабочим и/или резервным криптографическим ключам или ЭЦП;

— нарушение целостности печатей на сейфах (металлических шкафах) с ключевыми носителями с рабочими и/или резервными криптографическими ключами, ЭЦП, если используется процедура опечатывания сейфов;

— временный доступ посторонних лиц к ключевым носителям, а также другие события, при которых достоверно не известно, что произошло с ключевыми носителями.

6.3. Решение о компрометации криптографических ключей принимает администратор безопасности на основании письменного уведомления о компрометации, подписанного ответственным за эксплуатацию средств защиты информации, с приложением, при необходимости, письменного объяснения пользователя по факту компрометации его криптографических ключей, ЭЦП.

— идентификационные параметры скомпрометированного криптографического ключа, ЭЦП;

— сведения об обстоятельствах компрометации криптографического ключа, ЭЦП;

6.5. После принятия решения о компрометации криптографического ключа, ЭЦП принимаются меры о его изъятии из обращения в соответствии с требованиями эксплуатационной и технической документации на средства защиты информации.

6.7. Использование средства защиты информации может быть возобновлено только после ввода в действие другого криптографического ключа, ЭЦП взамен скомпрометированного.

7.1. Неиспользованные или выведенные из действия криптографические ключи, ЭЦП и ключевые носители подлежат уничтожению.

7.3. Криптографические ключи, ЭЦП находящиеся на ключевых носителях, уничтожаются путем их стирания (разрушения) по технологии, принятой для ключевых носителей многократного использования в соответствии с требованиями эксплуатационной и технической документации на средства защиты информации.

— установить наличие оригинала и количество копий криптографических ключей, ЭЦП;

— установить наличие на оригинале и всех копиях ключевых носителей реквизитов путем сверки с записями в журнале поэкземплярного учета;

— произвести уничтожение ключевой информации на оригинале и на всех копиях носителей.

8. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены или хранятся средства защиты информации

8.2. При оборудовании режимных помещений должны выполняться требования к размещению, монтажу средств защиты информации, а также другого оборудования, функционирующего с средствами защиты информации.

8.4. Размещение, специальное оборудование, охрана и организация режима в помещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.

8.6. Двери режимных помещений должны быть постоянно закрыты и могут открываться только для санкционированного прохода работников и посетителей. Ключи от входных дверей находятся у ответственных лиц, имеющих право допуска в режимные помещения. Дубликаты ключей от входных дверей таких помещений следует хранить в специальном сейфе.

8.8. Помещения, в которых используются при работе криптографические ключи, ЭЦП как правило, должны быть оснащены охранной сигнализацией, связанной со службой охраны здания. Сотрудникам, ответственным за охрану здания, необходимо проверять периодически исправность сигнализации.

8.10. При обнаружении признаков, указывающих на возможное несанкционированное проникновение в эти помещения или хранилища посторонних лиц, о случившемся должно быть немедленно сообщено ответственному за эксплуатацию. Ответственный за эксплуатацию средств защиты информации должен оценить возможность компрометации хранящихся криптографических ключей и принять, при необходимости, меры к локализации последствий компрометации средств защиты информации и к их замене.

8.12. На время отсутствия пользователей указанное оборудование, при наличии такой возможности, должно быть выключено, отключено от линии связи и убрано в опечатываемые хранилища. В противном случае по согласованию с ответственным за эксплуатацию необходимо предусмотреть организационно-технические меры, исключающие возможность использования средств защиты информации посторонними лицами.

Приложение N 1. Форма журнала учета используемых криптосредств, эксплуатационной и технической документации к ним

Приложение N 2. Журнал сертифицированных средств защиты информации

Приложение N 3. Журнал учета съемных носителей персональных данных к Инструкции по обеспечению безопасности эксплуатации средств криптографической защиты информации в департаменте охраны здоровья населения Кемеровской области

docs.cntd.ru

№ ___________ от __________

Москва 2010 г.

2. Общие положения 4

2.2. Цели регламента 4

3.1. Вовлеченные стороны и их обязанности 4

3.3. Выдача Носителей с установленными ключами ЭЦП, установка и настройка крипто-АРМов 6

3.5. Замена Носителей ключей ЭЦП 7

3.7. Аннулирование ключей ЭЦП 7

5. Приложение № 2 – Заявка на получение ЭЦП 10

7. 7. Приложение № 4 Журнал установки крипто-АРМ пользователям 12

9. Приложение № 6 — Заявление на аннулирование, приостановку, замену ЭЦП 14

1.Глоссарий терминов

2.Общие положения

2.1.Основания введения ЭЦП в ГУ-ВШЭ

ЭЦП вводится в ГУ-ВШЭ в соответствии с требованиями Федерального закона от 21 июля 2005 года № 94-ФЗ «О размещении заказов на поставки товаров, выполнения работ, оказания услуг для государственных и муниципальных нужд».

Инструментарий, позволяющий работать с ЭЦП, содержится на флэш-носителе – ETOKEN. В частности на данный Носитель записаны: Закрытый ключ, Открытый ключ ЭЦП.

2.2.Цели регламента

Настоящий регламент разработан в соответствии с Приказом ректора ГУ-ВШЭ от 30.03.2010 года № 31.1-04/278 .

3.1.Вовлеченные стороны и их обязанности

  1. УУЦ ФК, в обязанности которого входит:
  1. РЦ ДИТ, в обязанности которого входит.
  1. Пользователи, в обязанности которых входит.

3.2.Генерация и запись на Носители ключей ЭЦП

  1. Ректор ГУ-ВШЭ должен издать приказ (далее – Приказ), утверждающий перечень работников, имеющих право подписания электронных документов (далее – Пользователи): конкурсной документации и государственных контрактов. В данном приказе также должна быть определена группа работников Дирекции по ИТ (РЦ ДИТ), имеющая право осуществлять операции по выдаче, замене и отзыву ключей с УУЦ ФК от имени ГУ-ВШЭ.
  2. Пользователи должны подготовить, подписать и передать в РЦ ДИТ в течение 3-х рабочих дней с даты регистрации Приказа (или с даты регистрации приказа, утверждающего настоящий Регламент):
  1. Работники, входящие в РЦ ДИТ, должны осуществить следующие работы:

3.3.Выдача Носителей с установленными ключами ЭЦП, установка и настройка крипто-АРМов

  1. После получения уведомления о готовности Носителя, каждый Пользователь должен уведомить отправителя уведомления (РЦ ДИТ) об удобном для него времени визита представителя РЦ ДИТ для установки крипто-АРМ и проверки работоспособности системы, которая должна производиться только в присутствии Пользователя.
  2. В согласованное время работник РЦ ДИТ производит:
  1. Пользователь производит:

3.4.Продление срока действия ключей ЭЦП

  • Предоставить весь комплект документов, перечисленных в п.3.2, подпункт 3, в УУЦ ФК за 20 рабочих дней до окончания срока действия ЭЦП Пользователя ГУ-ВШЭ для получения новых сертификатов ЭЦП.
  • Получив подтверждение продления срока действия ключей ЭЦП от УУЦ ФК, зарегистрировать эту информацию и оповестить об это Пользователя посредством сообщения корпоративной электронной почты, включающего информацию о факте продления действия ключей и сроке продления.
  1. Пользователь должен представить в РЦ ДИТ заявку по утвержденной форме (Приложение 6).
  2. В случае наличия риска компрометации ключей, работник РЦ ДИТ должен реализовать обработку заявки по сценарию, указанному в параграфе 3.6 ниже.
  3. Работник РЦ ДИТ должен в 3-х дневный срок произвести перезапись ключей Уполномоченного пользователя на новый носитель и установить на него новый PIN-код. После чего, Носитель передается лично Пользователю.
  4. Пользователь проверяет работоспособность Носителя и подтверждает его получение в работоспособном состоянии путем росписи в «Журнале регистрации РЦ ДИТ» (Приложение №1).
  1. Пользователь подает заявление по утвержденной форме (Приложение 6) в РЦ ДИТ.
  2. Работник РЦ ДИТ должен незамедлительно обратиться к Оператору УУЦ ФК для обеспечения немедленного отзыва открытого ключа и внесения его в Список скомпрометированных ключей. Для этого:
  1. Запись и передача Носителя с новыми ключами Пользователю производится в порядке, указанном в параграфах 3.2 и 3.3.

Основанием для действий РЦ ДИТ по аннулированию ключа Пользователя служит только приказ ректора ГУ-ВШЭ.

  1. РЦ ДИТ готовит заявление в УУЦ ФК по форме УУЦ ФК с указанием даты отзыва, причины отзыва, серийного номера ключа, заверенное ректором ГУ-ВШЭ, или уполномоченным им другим работником ГУ-ВШЭ.
  2. После подписания заявления, работник УЦ ДИТ информирует оператора УУЦ ФК, в течении одно рабочего дня об отзыве ключа и сообщает его серийный номер с указанием причины отзыва.
  3. После отзыва ключа оператор УЦ ДИТ, получивший письменный подтверждение об отзыве ключа, должен зарегистрировать в «Журнале регистрации ЭЦП» время и причину отзыва ключа.
  4. Пользователь обязан сдать выданный ему Носитель уполномоченному работнику РЦ ДИТ.

1. Пользователь ГУ-ВШЭ обязан:

3. Действие ЭЦП – 1 год с даты выдачи сертификата ЭЦП УУЦ ФК.

— приостановлено Удостоверяющим центром на основании указания полномочного лица ГУ-ВШЭ с указанием даты, времени и срока приостановления действия сертификата ключа подписи.

5. По каждому случаю утери, пропажи Носителя проводится служебное расследование.

5.Приложение № 2 – Заявка на получение ЭЦП

6.Приложение № 3 – Доверенность на получение ЭЦП

Доверенность

Получить в удостоверяющем центре (уполномоченном удостоверяющем центре) сертификат моей ЭЦП, расписываться за меня в регистрационных журналах и совершать все действия, связанные с выполнением этого поручения.

(подпись, Ф. И.О. прописью)

Подпись доверителя удостоверяю.

Должность _______________________________________________________Фамилия И.О. ______________________

7.7. Приложение № 4 Журнал установки крипто-АРМ пользователям

8.Приложение № 5 Журнал регистрации ЭЦП

Журнал регистрации сертификатов открытых и закрытых ключей ЭЦП пользователей ГУ-ВШЭ

Заявление на аннулирование (отзыв) сертификата ключа подписи ПОЛЬЗОВАТЕЛЯ из Удостоверяющего Центра УУЦ ФК, замену носителя ЭЦП

  • Аннулировать (отозвать) ЭЦП
  • Приостановить действие ЭЦП
  • Заменить (объявить скомромитированной) ЭЦП
  • Заменить Носитель ЭЦП.

Подпись ____________________ /ФИО«_____»________________ 20__ г.Директор по ИТ ___________________ (О.М. Щербаков)

Смотрите также

Ссылка на источник