Kriptografinės informacijos apsaugos priemonės (CIPF)šiandien jie naudojami beveik visose įmonėse, tiek keičiantis duomenimis su sandorio šalimis, tiek bendraujant ir siunčiant mokėjimo nurodymus bankui, naudojant kliento banko programą.
Tačiau ne visi žino, kad pagal įstatymus reikia atsižvelgti į šifravimo raktus.
Šiame straipsnyje kalbėsiu apie kriptografinės informacijos apsaugos apskaitą ir pateiksiu nuorodas į Rusijos Federacijos teisės aktus.
Pagrindiniai CIPF įstatymai yra šie:
Rusijos Federacijos federalinės saugumo tarnybos 2005 m. vasario 9 d. įsakymas N 66 „Dėl Reglamento dėl šifravimo (kriptografinių) informacijos saugos priemonių kūrimo, gamybos, pardavimo ir eksploatavimo patvirtinimo (Reglamentas PKZ-2005)“
FAPSI 2001 m. birželio 13 d. įsakymas N 152 „Dėl ribotos prieigos informacijos, kurioje nėra valstybės paslaptį sudarančios informacijos, saugojimo, apdorojimo ir perdavimo ryšio kanalais, naudojant kriptografinę apsaugą, organizavimo ir saugumo užtikrinimo instrukcijos patvirtinimo“ ir priedas. prie 2001 m. birželio 13 d. FAPSI įsakymo RF N 152
Jei pažvelgsite į FSB įsakymą Nr. 66, esantį priede 48 punkte, galite pamatyti tokį turinį:
48. CIPF ir jų prototipų kopijos skaičiuojamos naudojant indeksus arba sąlyginius pavadinimus ir registracijos numerius. CIPF ir jų prototipų kopijų apskaitos indeksų (sutartinių pavadinimų) ir registracijos numerių sąrašą nustato Rusijos FSB.
CIPF prototipų atskiros apskaitos organizavimas yra pavesta CIPF kūrėjui.
Pagamintų kriptografinės informacijos apsaugos priemonių kopijų apskaitos organizavimas priskirtas kriptografinės informacijos apsaugos priemonių gamintojui.
Naudoto CIPF atskiros apskaitos organizavimas priskiriamas CIPF klientui.
Tai reiškia, kad net jei paprasta įmonė, kuri neužsiima kriptografinės informacijos apsaugos priemonių kūrimu ir pardavimu, nusprendžia įsigyti kelis eToken USB raktus, jie vis tiek turi būti apskaityti ir priskirti galutiniam vartotojui, tai yra darbuotojui. Be to, visiškai teisėtais pagrindais FSB gali patikrinti apskaitą atvykęs į bet kurios įmonės biurą.
Ši kriptografinės informacijos apsaugos priemonių apskaita turėtų būti vedama specialiame žurnale, o dar geriau papildomai ir elektronine forma, kur reikėtų atsižvelgti į šią informaciją:
1. kas buvo išduota
2. ką jie išdavė
3. kas gavo
4. kurie praėjo
5. sunaikinimo ženklas
Reikėtų atsižvelgti į pačius elektroninius raktus, raktų laikmenas, programinę įrangą, kuri atlieka kriptografines informacijos transformacijas, licencijas, suteikiančias teisę naudoti CIPF.
Taigi, CIPF apskaitai turėtų būti suskirstytas į:
raktų laikiklis- tam tikros struktūros fizinis nešiklis, skirtas pagrindinei informacijai ant jo patalpinti (pradinė raktinė informacija). Skiriama vieno klavišo laikmena (stalas, perforuota juosta, perforuota kortelė ir kt.) ir daugkartinio naudojimo raktų laikmena (magnetinė juosta, diskelis, kompaktinis diskas, duomenų raktas, intelektualioji kortelė, jutiklinė atmintis ir kt.).
pagrindinis dokumentas- tam tikros struktūros fizinis nešiklis, kuriame yra pagrindinė informacija (pradinė pagrindinė informacija), o prireikus - valdymo, aptarnavimo ir technologinė informacija; (iš tikrųjų tai yra laikmena su įrašytu slaptu raktu)
Platinimas CIPF- pati programinė įranga (pavyzdžiui, CryptoPro CSP, čia turėtumėte atsižvelgti į platinimo rinkinio numerį, kurį galite rasti CIPF formoje)
CIPF licencija- pats savaime nėra šifravimo įrankis, bet į jį taip pat reikėtų atsižvelgti žurnale, nes buvo atvejų, kai dėl to įmonės buvo nubaustos baudomis, taip pat girdėjau atvejų, kai iškeliamos baudžiamosios bylos.
Beje, daugelis ginčijasi, kuo skiriasi pagrindinis dokumentas nuo rakto laikiklio. Kažkas mano, kad pagrindinis dokumentas pats savaime yra pagrindinė talpykla arba pagrindinė informacija, ir iš esmės tai yra logiška, tačiau aprašymas, kurį pateikiau aukščiau, buvo paimtas iš 2001 m. birželio 13 d. FAPSI įsakymo N 152 priedo, kur aiškiai nurodyta, kad tai fizinė terpė.
Todėl, mano asmeniniu požiūriu, tai turėtų būti suprantama ne tik kaip pagrindinė informacija elektronine forma, bet ir fizinė laikmena su joje įrašyta svarbiausia informacija. Iš esmės į tai atsižvelgti nėra sunku, nes žurnale galima nurodyti vežėjo numerį ir slaptojo rakto identifikatorių vienoje pastraipoje.
Pridedamas prie 2001 m. birželio 13 d. FAPSI RF įsakymas N 152, galite rasti tipiškų žurnalų, skirtų kriptografinės informacijos apsaugai, pavyzdžių. http://base.garant.ru/183628/#block_1000
Mano ir ne tik mano nuomonė apie apskaitą yra geriausia vesti kelis žurnalus:
CIPF platinimo rinkinių atskirų atvejų apskaitos žurnalas.
Licencijų, skirtų teisei naudoti CIPF, registravimo žurnalas.
CIPF pagrindinių dokumentų kopijų apskaitos žurnalas.
CIPF techninės įrangos raktų laikmenų atskirų atvejų apskaitos žurnalas.
Kriptografinės informacijos apsaugos priemonių platinimo rinkinių atskiros apskaitos žurnale, CIPF apskaitomi pagal platinimo rinkinių skaičių, įrašytą gaminio formoje.
Teisės naudoti kriptografinės informacijos apsaugos priemones licencijų kopijų registre kriptografinės informacijos apsaugos priemonės apskaitomos pagal licencijų eilės numerius.
Kriptografinės informacijos apsaugos priemonių pagrindinių dokumentų atskiros apskaitos žurnale, CIPF skaičiuojami pagal žetonų numerius (ir jie atspausdinami ant kiekvieno žetono) arba pagal diskelių / „flash drive“ numerius (tūrių serijos numerius, kuriuos galima pamatyti naudojant DIR komandą), kriptovaliutos konteinerio pavadinimą arba serijos numerį raktas taip pat įrašytas šiame žurnale.
Kriptografinės informacijos apsaugos aparatūros raktų nešėjų atskiros apskaitos žurnale kriptografinės informacijos apsaugos priemonės apskaitomos pagal žetonų numerius (ir jie atspausdinami ant kiekvieno žetono). Šį žurnalą patartina naudoti tik saugomiems žetonams, kurie atkeliavo į sandėlį, tačiau niekam neišduodami ir kuriuose nėra pagrindinės informacijos, arba buvo perduoti, bet be pagrindinės informacijos.
Siekiant supaprastinti apskaitą, gavę didelį CIPF skaičių, apskaitos informacijos turėtumėte prašyti elektronine forma, iš tiekėjo ar kriptografinės institucijos, kad šių serijos numerių nereikėtų spausdinti rankiniu būdu.
CIPF apskaitos žurnalų pavyzdžius rasite 2001 m. birželio 13 d. FAPSI RF įsakymo N 152 priedo pabaigoje.
Kiekis:
Kaina: 35
Nuolaida: %?
Turime nuolaidų sistemą
imk daugiau - mokėk mažiau
užsakant nuo 50 vnt. - 5% nuolaida
užsakant nuo 100 vnt. - 10% nuolaida
užsakant nuo 300 vnt. - 15% nuolaida
užsakant nuo 500 vnt. - 20% nuolaida
užsakant nuo 1000 vnt. - 25% nuolaida
Suma:
su PVM 20%
X
Vėl užsisakėte ploną žurnalą.
Galbūt jums reikia žurnalo su daugiau puslapių ir kitų savybių.
Prašome naudoti skaičiuotuvas
Instrukcija
dėl kriptografinės apsaugos priemonių apskaitos, išdavimo ir perdavimo tvarkos
informacija, elektroninis parašas, operatyvinis ir techninis
dokumentus ir pagrindinius dokumentus
1. Kriptografinės informacijos apsaugos priemonių (CIPF), operatyvinės ir techninės CIPF dokumentacijos, pagrindinių dokumentų ir ES apskaita organizuojama vadovaujantis „Saugojimo, apdorojimo ir perdavimo ryšio kanalais organizavimo ir saugumo užtikrinimo instrukcijose, naudojant kriptografinės informacijos apsaugos priemonės su ribota prieiga, kurioje nėra valstybės paslaptį sudarančios informacijos“, patvirtintas Federalinės vyriausybės ryšių ir informacijos agentūros (FAPSI) prie Rusijos Federacijos prezidento 2001 m. sausio 1 d. įsakymu Nr. 152 (toliau nurodyta Instrukcija Nr. 152), CIPF naudojimo taisyklės, patvirtintos CIPF rengėjo.
2. CIPF pristatymas organizacijai turi būti vykdomas per kurjerinį ryšį (specialus ryšys), arba tiesiogiai pačios organizacijos darbuotojo, tokiu pat būdu, CIPF turi būti perduotas galutiniam vartotojui, vadovaujantis p. 000 instrukcijos 32 p.
3. CIPF pakavimo tvarka turi atitikti Instrukcijos Nr.000 33 punkto 34 punkto reikalavimus.
4. CIPF perdavimas įforminamas priėmimo aktais arba patvirtinamas lydinčiais siuntimo dokumentais.
5. Kai CIPF perduoda įgaliotas kurjeris, kurjeris pasirašo CIPF priėmimo ir perdavimo aktuose, atitinkamuose registruose įrašoma akto data ir numeris.
6. CIPF egzempliorių apskaita, gaunama iš CIPF kūrėjų, gamintojų ir tiekėjų, turi būti vedama CIPF egzempliorių apskaitos žurnale, jų eksploatacinė ir techninė dokumentacija, pagrindiniai dokumentai (konfidencialios informacijos savininkui) (Instrukcijos priedo 26 punktas). Nr. 000). Apskaitą tvarko atsakingas kriptografinių priemonių naudotojas.
7. CIPF individualios apskaitos žurnale, jų eksploatacinės ir techninės dokumentacijos, pagrindinių dokumentų (konfidencialios informacijos savininkui) įrašo padarymo pavyzdys pateiktas 1 lentelėje.
1 lentelė.
Nr. p / p | kvito ženklas | Problemos ženklas | Sujungimo (instaliavimo) ženklas CIPF | Pastaba dėl kriptografinės informacijos apsaugos panaikinimo iš aparatinės įrangos, pagrindinių dokumentų sunaikinimo | Pastaba |
||||||||||
| Iš ko gavo | Motyvacinio laiško data ir numeris | Visas CIPF vartotojo vardas ir pavardė | Pilnas kriptografinės apsaugos institucijos darbuotojų, prisijungusio (įdiegusio) CIPF vartotojo vardas ir pavardė | Prisijungimo (įrengimo) data ir prisijungusių (įrengusių) asmenų parašai | Techninės įrangos, kurioje įdiegtas arba prijungtas CIPF, skaičius | Išėmimo (sunaikinimo) data | Visas kriptografinės apsaugos institucijos darbuotojų, CIPF naudotojo, atlikusių išėmimą (sunaikinimą), pavardės ir pavardės. | Pastaba |
|||||||
Tachografas Mercury TA-001 | 19С3А00113906524 | UAB „Infocentras“ | 000, 2015-04-14 | ||||||||||||
USB įrenginys C-Terra "Post" | 8544391000321DFA | UAB „Infocentras“ | 000, 2015-04-14 | Kraftway terminalo stotis | |||||||||||
Tachografo kortelė "Deimantas" | RUX1234567891234 | UAB „Infocentras“ | 000, 2015-04-14 | 2001-01-01 priėmimo ir perdavimo aktas |
8. Visos CIPF, eksploatacinės ir techninės dokumentacijos kopijos jiems, pagrindiniai dokumentai, perduoti tretiesiems asmenims, turi būti išduoti pagal priėmimo aktą ir apskaityti atitinkamame CIPF atskiros apskaitos žurnale, eksploatacinė ir techninė dokumentacija. jiems – raktiniai dokumentai (kriptografinės apsaugos institucijai) (26 p., instrukcijos Nr. 152 priedas). Apskaitą tvarko atsakingas kriptografinių priemonių naudotojas.
9. Įrašo, skirto CIPF apskaitai, pervedant trečiosios šalies organizacijai, padarymo pavyzdys pateiktas 2 lentelėje.
2 lentelė.
Nr. p / p | CIPF pavadinimas, jų eksploatacinė ir techninė dokumentacija, pagrindiniai dokumentai | CIPF serijos numeriai, jų eksploatacinė ir techninė dokumentacija, pagrindinių dokumentų serijos numeriai | Kopijuoja pagrindinių dokumentų numerius (kriptografinius numerius). | kvito ženklas | grąžinimo raštelis | Įsigaliojimo data | Išėjimo data | Ženklas dėl CIPF, pagrindinių dokumentų sunaikinimo | Pastaba |
|||||||
| Iš ko gavo arba visas OKZ darbuotojo, parengusio pagrindinius dokumentus, pavardė | Motyvacinio laiško data ir numeris arba pagrindinių dokumentų pateikimo ir gamybos gavimo data | Kam atsiuntė | Lydimo dokumento data ir numeris | Patvirtinimo arba kvito data ir numeris | Lydimo dokumento data ir numeris | Data ir patvirtinimo numeris | Sunaikinimo data | Akto arba sunaikinimo kvito numeris | Pastaba |
|||||||
Tachografas Mercury TA-001 | 19С3А00113906524 | UAB „Infocentras“ | 000, 2015-04-14 | Įrangos / programinės įrangos / kortelių išdavimo / grąžinimo sertifikatas 000000027 2001-01-01 10:04:59 | Įrangos / programinės įrangos / kortelių išdavimo / grąžinimo sertifikatas 000000027 2001-01-01 10:04:59 | |||||||||||
Stirch KKM | UAB „Infocentras“ | 000, 2015-04-14 | ||||||||||||||
Tachografas Mercury TA-002 | 15С3А0078906111 | UAB „Infocentras“ | 000, 2015-04-14 |
10. Atsakingas kriptografinių priemonių naudotojas atidaro ir tvarko kiekvienam CIPF vartotojui (kiekvienai organizacijai, kuriai CIPF pervedamas) asmeninę paskyrą, kurioje registruoja jiems priskirtus CIPF, jiems skirtą operatyvinę ir techninę dokumentaciją, pagrindinius dokumentus. Rekomenduojama standartinė CIPF vartotojo asmeninės paskyros forma pateikta šios instrukcijos priede.
11. CIPF vartotojo asmeninės paskyros tvarkymo pavyzdys pateiktas 3 lentelėje.
3 lentelė
CIPF pavadinimas, jų eksploatacinė ir techninė dokumentacija, pagrindiniai dokumentai | Kopijuoja pagrindinių dokumentų numerius (kriptografinius numerius). | Atsakingas vykdytojas | Pastaba |
|||||
Tachografas Mercury TA-001 | 19С3А00113906524 | 000, 2015-04-14 | Įrangos / programinės įrangos / kortelių išdavimo / grąžinimo sertifikatas 000000027 2001-01-01 10:04:59 | |||||
Stirch KKM | 000, 2015-04-14 | |||||||
Tachografas Mercury TA-002 | 15С3А0078906111 | 000, 2015-04-14 |
12. Visų gautų, panaudotų, saugomų ar perduotų CIPF, jų eksploatacinės ir techninės dokumentacijos, pagrindinių dokumentų kopijų apskaita yra taikoma. Pagrindinių dokumentų kopijų apskaitos vienetu laikomas daugkartinis raktų laikiklis – raktų bloknotas. Jei kriptovaliutų raktams įrašyti pakartotinai naudojama ta pati rakto laikmena, ji turi būti registruojama kiekvieną kartą atskirai.
Egzempliorių apskaitos vienetai gali būti:
eToken (vnt.) – raktų laikiklis;
JKarta (vnt.) - raktų laikiklis;
Tachografas (vnt.) - techninė įranga, kurioje sumontuotas arba prijungtas CIPF;
Blokas NKM (vnt.) - aparatinė CIPF;
CIPF forma (kopija) – eksploatacinė arba techninė dokumentacija.
13. Įrašo padarymo Techninės (techninės įrangos) žurnale pavyzdys pateiktas 4 lentelėje.
4 lentelė
№ | data | CIPF tipas ir registracijos numeris | Techninės priežiūros įrašas | Naudoti kriptovaliutų raktai | Sunaikinimo žyma (išbraukta) | Pastaba | ||||
Pagrindinis dokumento tipas | Serijos numeris ir pagrindinio dokumento kopija | Kripto operatoriaus numeris | Sunaikinimo data | Atsakingas už sunaikinimą | ||||||
USB įrenginys C-Terra "Post" Registracijos numeris 2 | Pakeiskite PIN kodą | USB įrenginys | 8544391000321DFA 1 egzempliorius | |||||||
14. CIPF, EP priemonių, eksploatacinės ir techninės dokumentacijos, pagrindinių dokumentų ir informacijos apskaita turi būti organizuojama popieriuje arba elektronine forma naudojant automatizuotą informacinę sistemą, kuri turi būti nustatyta organizacijos vadovo įsakymu, žr. vienas.
15. Perduoti CIPF, jiems skirtą eksploatacinę ir techninę dokumentaciją, pagrindinius dokumentus leidžiama tik pagal priėmimo ir perdavimo aktą bei įrašą į atitinkamus kopijų apskaitos žurnalus.
16. Rekomenduojama atsakingam kriptografinių priemonių naudotojui organizacijoje paskirti asmenį, atsakingą už asmens duomenų saugumo užtikrinimą asmens duomenų informacinėje sistemoje.
17. Tiesioginių CIPF apskaitos operacijų, operatyvinės ir techninės jų dokumentacijos, pagrindinių dokumentų vykdymas pagal funkcines pareigas ir nurodymus pavedamas informacijos saugos administratoriui arba atitinkamas funkcines pareigas turinčiam asmeniui.
______________________
Priedas
prie Kriptografinės apsaugos priemonių išdavimo ir perdavimo apskaitos tvarkos instrukcijos
informacija, elektroninis parašas, veiklos ir techninė dokumentacija bei pagrindiniai dokumentai
CRYPTOS VARTOTOJO ASMENINĖ PASKYRA
_____________________________________________________________________________________________
(organizacijos pavadinimas arba visas darbuotojo vardas, pavardė ir pareigos)
№p\p | CIPF pavadinimas, jų eksploatacinė ir techninė dokumentacija, pagrindiniai dokumentai | CIPF registracijos numeriai, jų eksploatacinė ir techninė dokumentacija, pagrindinių dokumentų serijų numeriai | Kopijuoja pagrindinių dokumentų numerius (kriptografinius numerius). | Pridedamojo dokumento numeris ir data gavimo metu | Perduodamo dokumento numeris ir data | Atsakingas vykdytojas | Pastaba |
|
___________________________
NUORODŲ SĄRAŠAS