Журнал поэкземплярного учета скзи, эксплуатационной и технической документации к ним, ключевых документов (для органа криптографической защиты)

Введение

Каждая организация при работе с СКЗИ обязана выполнять ряд требований. Основополагающим документом является приказ ФСБ России «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (Положение ПКЗ-2005).

Из него вытекают другие документы, в частности «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», которая утверждена приказом Федерального агентства правительственной связи и информации при президенте Российской Федерации (ФАПСИ) от 13.06.2001 № 152.

К слову, агентство было расформировано в 2003 году, а его функции были распределены между ФСО, ФСБ, СВР и Службой специальной связи и информации при ФСО. Тем не менее инструкция свою силу не утратила. Помимо официальных документов организация должна соблюдать требования правил пользования СКЗИ, которые вендор согласовывает с регулятором.

Итак, согласно инструкции, к СКЗИ относятся как сами программные или аппаратно-программные средства, так и информация, необходимая для их работы, ключи, техническая документация. При этом абсолютно все средства криптографической защиты в организации должны браться на поэкземплярный учёт. Именно об этом процессе и пойдёт речь дальше.

Инструкция была написана 20 лет назад, когда сертифицированные СКЗИ применялись крайне редко, а большинство организаций не имели такой разрозненной и распределённой по всей стране ИТ-инфраструктуры. Поэтому многие пункты документа сейчас вызывают вопросы у специалистов.

Например, вести учёт в электронном виде можно, но только с применением квалифицированной ЭП (учёт СКЗИ в электронном виде — это тема для отдельной статьи, и об этом мы поговорим в следующий раз) либо сопровождая каждое действие соответствующими актами.

Преимущества эцп для портала госуслуг

  • Дает возможность пользоваться личным кабинетом налогоплательщика, узнавать о своих штрафах, оплачивать их.
  • ЭЦП для физических лиц позволяет получить загранпаспорт старого или нового образца с минимальными затратами времени. Открывает доступ к широкому спектру услуг, включая подачу заявления для поступления в учебное заведение.
  • Ускоряет процесс онлайн-кредитования.
  • Позволяет отправлять документы на регистрацию в качестве ИП в электронном виде. Также с помощью ЭЦП можно получить разрешения, аккредитации и лицензии, необходимые для некоторых видов предпринимательской деятельности.
  • Дает возможность быстро и легко зарегистрироваться по месту пребывания или по месту жительства.
  • Помогает узнать состояние лицевого счета в пенсионном фонде.
  • Позволяет получить информацию о ходе исполнительского производства.
  • Упрощает процесс регистрации и снятия с учета транспортного средства.
  • Открывает доступ к законам, нормативным актам, приказам, а также к справочной информации о муниципальных и государственных службах.

Порядок получения ЭЦП и сертификата ключа ее проверки

Мы уже писали о том, что такое ЭЦП и как её получить. Ниже приводим в кратком содержании очерёдность действий для получения электронно-цифровой подписи и ключа:

  1. Заключение соглашения — договора о присоединении к регламенту Удостоверяющего центра.
  2. Предоставление подписанных экземпляров соглашения в Региональный центр регистрации Управления Федерального казначейства по конкретной области.
  3. Написание заявления — письма о предоставлении ЭЦП.
  4. Предоставление чистого носителя информации с возможностью записи на него (диск, флешка и т.п.).
  5. Выдача уполномоченному лицу доверенности на получение ЭЦП.
  6. Установка программного обеспечения на автоматизированном рабочем месте заявителя.
  7. Предоставление доступа к порталу Системы удаленного финансового документооборота и подтверждение этого письмом в Региональный центр регистрации.
  8. Создание электронного ключа. Для чего есть два варианта:
    • заявителем или его уполномоченным лицом на его рабочем месте;
    • заявителем под контролем оператора на компьютере Федерального казначейства.

Зачем нужна электронная подпись?

Назначение ее вполне понятно. В последние годы компании активно переходят с бумажного документооборота на электронный, поэтому обычным для нас подписям и печатям на бумаге нужен аналог. Этим аналогом, по сути, является ЭП.

ЭП решает несколько основных задач. Первая — неотрекаемость. Благодаря ЭП можно доказать, что конкретный человек является автором документа, даже если он отказывается это признавать. Вторая задача — обеспечение подтверждения целостности документа, то есть подтверждение того, что после создания документа и его подписания никто не вносил туда каких-либо изменений (как намеренно, так и случайно).

Допустим, у вас есть платежное поручение в банк на 10 000 руб., подписанное ЭП. Злоумышленник может поменять сумму с 10 000 руб. на 1 млн, чтобы перевести себе в 100 раз больше денег. Для предотвращения таких случаев ЭП фиксирует конечное содержимое электронного документа и позволяет установить, вносились ли в него изменения.

Ответственность за использование ЭЦП и альтернативы ее передачи

Федеральный Закон 63 предусматривает полную ответственность за использование ЭЦП ее владельцем

При наличии документа, подтверждающего факт передачи подписи, доказать непричастность владельца к нарушению правил использования ЭЦП будет проще, но не всегда судьи принимают во внимание данный документ

В случае применения ЭЦП сотрудником компании в корыстных целях может быть заведено уголовное или административное дело с выбором мер наказаний от штрафов до лишения свободы.

Чтобы обезопасить себя и снизить риски, лучше заказать каждому из сотрудников компании индивидуальный ключ ЭЦП и распределить обязанности по его использованию. При помощи современных программных платформ можно легко организовать внутренний документооборот и создать копии ключей даже на разных ПК.

Необходимость использования одного ключа ЭЦП несколькими лицами в компаниях объясняется просто: руководитель организации физически не может подписывать всю документацию, отслеживать электронный документооборот и т.д. Для фиксирования факта передачи ЭЦП заключают специальное соглашение или акт, содержащий не только личные данные сторон, но и правила использования закрытого ключа ЭЦП, сроки действия и обязанности по сохранности конфиденциальность ключа. Полной юридической силы такой акт приема-передачи ЭЦП не имеет из-за положений ФЗ-63, но в случае судебных разбирательств может помочь доказать невиновность владельца в использовании ЭЦП.

Операции с СКЗИ: взятие на учёт

Рассмотрим порядок учёта на конкретном примере. Организация N — обладатель конфиденциальной информации — хочет использовать СКЗИ компании «КриптоПро». Организация N не готова создавать у себя ОКЗ и обращается к сервис-провайдеру, который будет предоставлять ей соответствующие услуги. Итак, для начала вендор должен предоставить организации N, которая приобретает программно-аппаратный комплекс, исходные данные для учёта (здесь и ниже по тексту данные ненастоящие и приведены для примера).

Таблица 1. Пример данных для учёта

В графы 1–6 журнала поэкземплярного учёта должны попасть данные о:

  • диске с дистрибутивом;
  • формуляре;
  • серийном номере лицензии на СКЗИ.

После заполнения всех этих данных СКЗИ выдаются пользователям, то есть тем работникам в организации, для которых закупались. Это может быть как сотрудник бухгалтерии, который применяет ЭП для подписания и отправки документов, так и другой ответственный специалист, взявший на себя обязательства по сохранности СКЗИ.

На этом этапе заполняются 7-я и 8-я графы журнала (кому и когда выдаётся СКЗИ — с обязательной росписью пользователя). Если возможности расписаться в журнале нет, то можно заполнить акт передачи, где в свободной форме указывается, кто (администратор безопасности) и кому (пользователю) передаёт СКЗИ. При этом обе стороны расписываются, а номер акта вносится в 8-ю графу («Дата и номер сопроводительного письма»).

В 9-ю графу записывается имя сотрудника, производившего установку СКЗИ. Чаще всего это делает специалист технической поддержки, который также является администратором безопасности. Но это может быть и пользователь, если он обладает соответствующими навыками и правами доступа в сеть. В графе 11 указывается серийный номер материнской платы или номер опечатывающей пломбы системного блока.

В случае увольнения сотрудника, который производил установку, требуются изъятие СКЗИ и составление акта, в котором указываются предмет и способ изъятия (например, удаление ключевой информации с носителя). Всё это фиксируется в графах 12, 13, 14.

При уничтожении СКЗИ также составляется соответствующий акт. В нём должны быть указаны предмет и способ уничтожения. Программные СКЗИ уничтожаются посредством стирания с носителя ключевой информации (чистки реестра), а также деинсталляции ПО. В случае аппаратных СКЗИ можно удалить с них ключевую информацию либо уничтожить их физически.

Ниже приведён пример журнала, заполненного организацией — обладателем конфиденциальной информации. ООО «Компания» в данном примере — это сервис-провайдер, который выполняет функции органа криптографической защиты для организации.

Таблица 2. Журнал поэкземплярного учёта СКЗИ для обладателя конфиденциальной информации

Журнал учёта СКЗИ для органа криптографической защиты во многих пунктах перекликается с аналогичным документом для организации и заполняется по такому же принципу, поэтому не будем подробно останавливаться на его разборе. В примере ниже ООО «Организация» — это обладатель конфиденциальной информации, который воспользовался услугами сервис-провайдера.

Таблица 3. Журнал поэкземплярного учёта СКЗИ для органа криптографической защиты

Журналы и бланки

БухгалтерияОхрана труда и техника безопасностиМЧСКадровая работа: Журналы, бланки, формыЖурналы, бланки, формы документов для органов прокуратуры и суда, минюста, пенитенциарной системыЖурналы, бланки, формы документов МВД РФ, РосгвардииКонструкторская, научно-техническая документацияЛесное хозяйствоПромышленностьГостиницы, общежития, хостелыСвязьЖурналы и бланки по экологииЖурналы и бланки, используемые в торговле, бытовом обслуживанииЖурналы по санитарии, проверкам СЭСЛифтыКомплекты документов и журналовНефтебазыБассейныГазовое хозяйство, газораспределительные системы, ГАЗПРОМЖКХЭксплуатация зданий и сооруженийЖурналы и бланки для нотариусов, юристов, адвокатовЖурналы и бланки для организаций пищевого производства, общепита и пищевых блоковЖурналы и бланки для организаций, занимающихся охраной объектов и частных лицЖурналы и бланки для ФТС РФ (таможни)Журналы для образовательных учрежденийЖурналы и бланки для армии, вооруженных силБанкиГеодезия, геологияГрузоподъемные механизмыДокументы, относящиеся к нескольким отраслямНефтепромысел, нефтепроводыДелопроизводствоЖурналы для медицинских учрежденийАЗС и АЗГСЭлектроустановкиТепловые энергоустановки, котельныеЭнергетикаШахты, рудники, метрополитены, подземные сооруженияТуризмДрагметаллыУчреждения культуры, библиотеки, музеиПсихологияПроверки и контроль госорганами, контролирующими организациямиРаботы с повышенной опасностьюПожарная безопасностьОбложки для журналов и удостоверенийАптекиТранспортРегулирование алкогольного рынкаАвтодороги, дорожное хозяйствоСамокопирующиеся бланкиСельское хозяйство, ветеринарияСкладСнегоплавильные пунктыСтройка, строительствоМетрологияКанатные дороги, фуникулерыКладбищаЖурналы для парикмахерских, салонов красоты, маникюрных, педикюрных кабинетовАрхивыАттракционы

Операции с скзи: взятие на учёт

Рассмотрим порядок учёта на конкретном примере. Организация N — обладатель конфиденциальной информации — хочет использовать СКЗИ компании «КриптоПро». Организация N не готова создавать у себя ОКЗ и обращается к сервис-провайдеру, который будет предоставлять ей соответствующие услуги.

Таблица 1. Пример данных для учёта

В графы 1–6 журнала поэкземплярного учёта должны попасть данные о:

  • диске с дистрибутивом;
  • формуляре;
  • серийном номере лицензии на СКЗИ.

После заполнения всех этих данных СКЗИ выдаются пользователям, то есть тем работникам в организации, для которых закупались. Это может быть как сотрудник бухгалтерии, который применяет ЭП для подписания и отправки документов, так и другой ответственный специалист, взявший на себя обязательства по сохранности СКЗИ.

На этом этапе заполняются 7-я и 8-я графы журнала (кому и когда выдаётся СКЗИ — с обязательной росписью пользователя). Если возможности расписаться в журнале нет, то можно заполнить акт передачи, где в свободной форме указывается, кто (администратор безопасности) и кому (пользователю)

В 9-ю графу записывается имя сотрудника, производившего установку СКЗИ. Чаще всего это делает специалист технической поддержки, который также является администратором безопасности. Но это может быть и пользователь, если он обладает соответствующими навыками и правами доступа в сеть. В графе 11 указывается серийный номер материнской платы или номер опечатывающей пломбы системного блока.

В случае увольнения сотрудника, который производил установку, требуются изъятие СКЗИ и составление акта, в котором указываются предмет и способ изъятия (например, удаление ключевой информации с носителя). Всё это фиксируется в графах 12, 13, 14.

При уничтожении СКЗИ также составляется соответствующий акт. В нём должны быть указаны предмет и способ уничтожения. Программные СКЗИ уничтожаются посредством стирания с носителя ключевой информации (чистки реестра), а также деинсталляции ПО. В случае аппаратных СКЗИ можно удалить с них ключевую информацию либо уничтожить их физически.

Ниже приведён пример журнала, заполненного организацией — обладателем конфиденциальной информации. ООО «Компания» в данном примере — это сервис-провайдер, который выполняет функции органа криптографической защиты для организации.

Таблица 2. Журнал поэкземплярного учёта СКЗИ для обладателя конфиденциальной информации

Журнал учёта СКЗИ для органа криптографической защиты во многих пунктах перекликается с аналогичным документом для организации и заполняется по такому же принципу, поэтому не будем подробно останавливаться на его разборе. В примере ниже ООО «Организация» — это обладатель конфиденциальной информации, который воспользовался услугами сервис-провайдера.

Таблица 3. Журнал поэкземплярного учёта СКЗИ для органа криптографической защиты

Зачем нужен акт приема-передачи

Данный документ подтверждает и фиксирует факт передачи ключа и всех реквизитов электронной подписи для использования сотрудником компании или иным лицом. Обычно руководитель организации передает ключ ЭЦП бухгалтеру, юристу или должностному лицу, представляющему организацию на переговорах или занимающемуся подписанием документов, ведением электронного документооборота.

Юридическая сила документа

Акт приема-передачи электронной подписи не имеет полной юридической силы, т.к. в соответствии со ст.10 Федерального закона № 63 владелец обязан:

  • обеспечить сохранность конфиденциальности закрытого ключа ЭЦП;
  • не допустить факт использования ЭЦП третьими лицами;
  • отозвать ключ ЭЦП через удостоверяющий центр при подозрении на нарушение его конфиденциальности.

Как регистрировать приказы

Процесс регистрации представляет собой перенос реквизитов приказа по личному составу в определенную установленную форму и присвоение документу номера и даты.

Все виды распоряжений по личному составу должны быть зарегистрированы

Почему это важно? Дело в том, что проект документа приобретает юридическую силу по факту его регистрации. Если процесса регистрации не было, правовые последствия для работника и работодателя не наступают

Регистрация помогает решить 3 задачи:

  • учет;
  • контроль исполнения;
  • возможность оперативно получить доступ к приказу по личному составу.

Регистрировать нужно один раз — при издании.

Когда приказов по личному составу много, номера можно устанавливать по каждой процедуре индивидуально, если мало — возможна сплошная нумерация. К примеру, приказам на прием, перевод и увольнение дать единую нумерацию, на различные отпуска — другую.

Формой для регистрации может быть:

  • журнал или книга;
  • база данных.

Журнальный формат предполагает подробное отражение информации о том, кем и с какими целями разработан документ. Автоматизированная база данных предполагает внесение сведений о приказах с применением специально разработанного ПО.

Образец документа:

Приложение N 2 к Положению об использовании участниками внешнеэкономической деятельности и лицами, осуществляющими деятельность в сфере таможенного дела, средств электронной подписи при реализации информационного взаимодействия с таможенными органами Российской Федерации

Рекомендуемый образец

                     Журнал учета ключевых носителей,
     выданных уполномоченным лицам (работникам) организаций в целях
      представления таможенным органам сведений в электронной форме
                                         Начат   "__" ____________ 201_ г.
                                         Окончен "__" ____________ 201_ г.
--------------------------------------------------------------------------------------------
¦ N  ¦Регистрационный¦  Отметка о выдаче  ¦              Отметка о получении               ¦
¦п/п ¦номер ключевого+--------------------+------------------------------------------------+
¦    ¦   носителя    ¦   Ф.И.О.   ¦ дата  ¦наименование¦  Ф.И.О.   ¦  дата   ¦ отсутствие  ¦
¦    ¦               ¦должностного¦выдачи,¦организации ¦   лица,   ¦получения¦ повреждения ¦
¦    ¦               ¦    лица    ¦подпись¦            ¦получившего¦         ¦упаковки или ¦
¦    ¦               ¦(работника),¦       ¦            ¦ ключевой  ¦         ¦    иных     ¦
¦    ¦               ¦ выдавшего  ¦       ¦            ¦ носитель  ¦         ¦  признаков  ¦
¦    ¦               ¦  ключевой  ¦       ¦            ¦           ¦         ¦компрометации¦
¦    ¦               ¦  носитель  ¦       ¦            ¦           ¦         ¦ЭП (подпись) ¦
+----+---------------+------------+-------+------------+-----------+---------+-------------+
¦    ¦               ¦            ¦       ¦            ¦           ¦         ¦      ¦      ¦
+----+---------------+------------+-------+------------+-----------+---------+------+------+
¦    ¦               ¦            ¦       ¦            ¦           ¦         ¦      ¦      ¦
-----+---------------+------------+-------+------------+-----------+---------+------+-------

СКЗИ

Получение ключа для СКЗИ Континент-АП с доступом на СУФД-Портал.

Порядок выдачи сертификатов ключей аутентификации, предназначенных для использования со средством криптографической защиты информации «Континент-АП», утвержденный приказом Управления Федерального казначейства по г. Санкт-Петербургу от 18.03.2013 № 71, опубликован на официальном сайте Управления в сети Интернет (http://piter.roskazna.ru) в разделе «ГИС\Удостоверяющий центр\Инструкции и разъяснения».

Установка соединения посредством СКЗИ «Континент-АП».

1. До начала установки защищено соединения необходимо организовать и проверить подключение посредством сети Интернет.

2. Подключить используемый носитель ключа аутентификации СКЗИ «Континент-АП» (ГМД или USB Flash диск), нажать правой кнопкой мыши на значке программы «Континент-АП», расположенной на «Панели задач», выбрать «Установить/разорвать соединение – Установить соединение СКЗИ Континент-АП»:

В открывшемся окне выбрать сертификат ключа аутентификации СКЗИ «Континент-АП», установить галочку «использовать данный сертификат при следующем подключении» и нажать «Ок»:

Начнется процесс организации защищенного соединения. При успешном установлении защищенного соединения, иконка программы «Континент-АП» изменит цвет на зеленый.

Получение сертификатов электронной подписи (ЭП) для СУФД-Портала.

Для получения сертификатов ЭП необходимо осуществить мероприятия по получению сертификатов ключей проверки электронных подписей (далее – сертификат ЭП) в соответствии с Регламентом Удостоверяющего центра Федерального казначейства, утвержденного приказом Федерального казначейства от 14.09.2018 № 261, который размещен на официальном сайте Управления Федерального казначейства по г. Санкт-Петербург в сети Интернет, расположенном по адресу http://piter.roskazna.ru в подразделе «Нормативные документы» раздела «ГИС/Удостоверяющий центр».

            В СУФД-Портале утверждение документов ЭП реализовано в полном соответствии электронного документа бумажному носителю (по две подписи на всех документах), вторая подпись с формализованной должностью «главного бухгалтера» и первая подпись с формализованной должностью «руководителя», либо подпись с формализованной должностью руководителя и исполнителя (для уведомлений об уточнении вида и принадлежности платежа). Для обеспечения работоспособности ЭП при работе через Портал генерировать запросы на получение ЭП необходимо строго в соответствии с Регламентом Удостоверяющего центра Федерального казначейства, утвержденного приказом Федерального казначейства от 14.09.2018 № 261, и Инструкцией, размещённой в разделе «ГИС/СУФД-онлайн/Документация».

После получения сертификата его необходимо установить локально в группу «Личные» на компьютере пользователя, для чего во вкладке «Сервис» СКЗИ «Крипто-Про» необходимо нажать кнопку «Установить личный сертификат» и далее последовательно выполнять шаги, предлагаемые программой.

Для завершения процедуры регистрации на СУФД-Портале сертификата пользователя после получения сертификата необходимо направить в Управление письмо с «Заявкой на подключение (изменение данных) пользователя СУФД – Портала АСФК» Управления. Направление сертификата не требуется. Описание порядка заполнения приведено в разделе «Создание пользователей организации на СУФД-Портале».

Для подготовки запросов на сертификаты ЭП необходимо использовать Портал «Формирование запросов на сертификаты» информационной системы «Удостоверяющий центр Федерального казначейства», расположенный по адресу https://fzs.roskazna.ru/ в сети Интернет. Методические материалы, разъяснения, контактная и нормативно-правовая информация по вопросам получения и эксплуатации ключей и сертификатов ЭП опубликованы и регулярно обновляются, в том числе, в разделах «ГИС/Удостоверяющий центр» и «ГИС/СУФД-онлайн» официального сайта Управления Федерального казначейства по г. Санкт-Петербургу в сети Интернет (http://piter.roskazna.ru).

Какие договоры фиксируются в журнале

В журнал могут вноситься все договоры, заключаемые работниками организации. Однако если предприятие достаточно крупное, то в каждом его структурном подразделении может быть свой собственный бланк журнала, также журналы могут разделяться по типу договоров (например, отдельные — по договорам поставки, договорам рекламы, юридическим договорам и т.п.). Такой подход позволяет грамотно систематизировать учет и избежать путаницы.

Журнал может вестись в течение какого-то определенного временного отрезка (месяц, квартал, полугодие, год), или же в течение неопределенного срока – все зависит от того, какое правило в отношении этого параметра закреплено в учетной политике фирмы.

Выводы

Трудно не согласиться с тем, что все эти требования уже давно морально устарели и «Инструкция» нуждается в актуальных корректировках, но пока мы вынуждены выполнять требования её текущей редакции

Обратите внимание, что для ведения журнала поэкземплярного учёта СКЗИ в электронном виде требуется подписывать документы только квалифицированной ЭП либо сопровождать каждое действие соответствующими актами. Если же речь идёт о физическом документе, то все данные и подписи должны быть внесены в него всеми ответственными лично

Безусловно, учёт СКЗИ — это только один из множества обязательных к исполнению процессов, описанных в документе. В дальнейших статьях мы постараемся подробно описать процесс опломбирования СКЗИ, технологию их уничтожения и многое другое.