Kriptografik bilgi koruma araçları (CIPF) bugün, karşı taraflarla veri alışverişi yaparken veya müşteri banka programını kullanarak bir bankaya ödeme emirleri gönderirken ve gönderirken hemen hemen tüm şirketlerde kullanılmaktadır.
Ancak herkes yasaya göre şifreleme anahtarlarının dikkate alınması gerektiğini bilmiyor.
Bu yazıda, kriptografik bilgi korumasının muhasebeleştirilmesi hakkında konuşacağım ve Rusya Federasyonu'nun yasal işlemlerine bağlantılar sağlayacağım.
CIPF'yi yöneten ana yasalar şunlardır:
9 Şubat 2005 tarihli Rusya Federasyonu Federal Güvenlik Servisi'nin Emri N 66 "Şifreleme (kriptografik) bilgi güvenliği araçlarının geliştirilmesi, üretimi, satışı ve işletilmesine ilişkin Yönetmeliğin onaylanması üzerine (Yönetmelik PKZ-2005)"
13 Haziran 2001 tarihli FAPSI emri N 152 "Devlet sırrı oluşturan bilgileri içermeyen sınırlı erişime sahip bilgilerin kriptografik korunmasını kullanarak iletişim kanalları aracılığıyla depolama, işleme ve iletim güvenliğinin düzenlenmesi ve sağlanmasına ilişkin Talimatın onaylanması üzerine" ve Ek 13 Haziran 2001 N 152 tarihli FAPSI emri RF'ye
48. paragraftaki ekteki 66 numaralı FSB emrine bakarsanız, aşağıdaki içeriği görebilirsiniz:
48. CIPF ve prototipleri, dizinler veya koşullu adlar ve kayıt numaraları kullanılarak kopya sayımına tabidir. CIPF ve prototiplerinin kopya muhasebesi için dizinlerin listesi (geleneksel isimler) ve kayıt numaraları Rusya FSB'si tarafından belirlenir.
CIPF'nin prototiplerinin örnek olay muhasebesinin organizasyonu, CIPF'nin geliştiricisine atanır.
Üretilen kriptografik bilgi koruma araçlarının kopya muhasebesinin organizasyonu, kriptografik bilgi koruma araçlarının üreticisine verilir.
Kullanılan CIPF'nin eşler arası muhasebesinin organizasyonu, CIPF'nin müşterisine atanır.
Bu, kriptografik bilgi koruma araçlarının oluşturulması ve satışı ile uğraşmayan basit bir şirket, birkaç eToken USB anahtarı satın almaya karar verse bile, bunların yine de hesaba katılması ve son kullanıcıya, yani çalışana atanması gerektiği anlamına gelir. Ayrıca, tamamen yasal gerekçelerle FSB, herhangi bir şirketin ofisine gelerek muhasebeyi kontrol edebilir.
Bilgilerin kriptografik koruma araçlarının bu muhasebesi özel bir dergide ve daha da iyisi elektronik ortamda ve aşağıdaki bilgilerin dikkate alınması gereken yerlerde tutulmalıdır:
1. ne verildi
2. ne yayınladıklarına dair
3. kim aldı
4. kim geçti
5. yıkım işareti
Elektronik anahtarların kendileri, anahtar ortamları, bilgilerin kriptografik dönüşümlerini yapan yazılımlar, CIPF kullanım hakkı için lisanslar dikkate alınmalıdır.
Bu nedenle, muhasebe için CIPF aşağıdakilere bölünmelidir:
anahtar taşıyıcı- üzerine anahtar bilgi yerleştirmek için tasarlanmış belirli bir yapının fiziksel bir taşıyıcısı (başlangıç anahtar bilgisi). Tek tuşlu ortam (tablo, delikli bant, delikli kart vb.) ile yeniden kullanılabilir tuş ortamı (manyetik bant, disket, CD, Veri Anahtarı, Akıllı Kart, Dokunmatik Bellek, vb.) arasında bir ayrım yapılır.
anahtar belge- anahtar bilgileri (ilk anahtar bilgileri) ve gerekirse kontrol, servis ve teknolojik bilgileri içeren belirli bir yapının fiziksel taşıyıcısı; (aslında bu, kaydedilmiş bir gizli anahtara sahip bir ortamdır)
Dağıtım CIPF'si- yazılımın kendisi (örneğin, CryptoPro CSP, burada CIPF'deki formda bulunabilecek dağıtım kiti numarasını dikkate almalısınız)
CIPF lisansı- başlı başına bir şifreleme aracı değildir, ancak bu nedenle şirketlere para cezası verildiği olaylar olduğu için logda da dikkate alınması gerekir ve ayrıca ceza davalarının açıldığını da duydum.
Bu arada, birçoğu önemli bir belge ile bir anahtar taşıyıcı arasındaki farkın ne olduğunu tartışıyor. Birisi, anahtar belgenin kendi içinde bir anahtar kapsayıcı veya anahtar bilgi olduğu görüşündedir ve prensipte bu mantıklıdır, ancak yukarıda verdiğim açıklama 13 Haziran 2001 N 152 tarihli FAPSI Emrinin ekinden alınmıştır. burada bunun fiziksel bir ortam olduğu açıkça belirtilir.
Bu nedenle, kişisel bakış açımdan, bu sadece elektronik formdaki anahtar bilgiler olarak değil, üzerinde kayıtlı anahtar bilgilerin bulunduğu fiziksel bir ortam olarak anlaşılmalıdır. Prensip olarak, bunu dikkate almak zor değildir, çünkü dergide taşıyıcı numarasını ve gizli anahtar tanımlayıcısını bir paragrafta belirtmek mümkündür.
Ekli 13 Haziran 2001 tarihli FAPSI RF Emri N 152, kriptografik bilgi korumasının muhasebeleştirilmesi için tipik dergilerin örneklerini bulabilirsiniz. http://base.garant.ru/183628/#block_1000
Benim ve sadece benim fikrim değil, birkaç günlük tutmak en iyisidir:
CIPF dağıtım kitlerinin örnek bazında muhasebe günlüğü.
CIPF'yi kullanma hakkı için lisansların eş-örnek kaydı günlüğü.
CIPF'nin önemli belgelerinin kopya muhasebesi dergisi.
CIPF'nin donanım anahtar taşıyıcılarının örnek bazında muhasebe günlüğü.
Kriptografik bilgi koruma araçlarının dağıtım kitlerinin örnek olay muhasebesi dergisinde, CIPF, ürün için formda kaydedilen dağıtım kitlerinin sayısı ile hesaplanır.
Kriptografik bilgi koruma araçlarını kullanma hakkı için lisansların örnek kopya kaydında, kriptografik bilgi koruma araçları lisansların seri numaralarına göre muhasebeleştirilir.
Kriptografik bilgi koruma araçlarının kilit belgelerinin örnek olay muhasebesi dergisinde, CIPF, jeton numaraları (ve her jeton üzerine yazdırılır) veya disket / flash sürücü numaraları (DIR komutuyla görülebilen birimlerin seri numaraları), kripto kabının adı veya seri numarası ile sayılır. anahtar da bu günlüğe yazılır.
Kriptografik bilgi korumasının donanım anahtar taşıyıcılarının eşler arası muhasebe günlüğünde, kriptografik bilgi koruma araçları belirteç numaralarına göre hesaplanır (ve her bir belirteç üzerine yazdırılır). Bu günlüğün yalnızca depoya gelen, ancak kimseye verilmeyen ve anahtar bilgileri içermeyen veya aktarılan, ancak anahtar bilgileri olmayan depolanmış jetonlar için kullanılması önerilir.
Muhasebeyi basitleştirmek için, çok sayıda CIPF alırken, bu seri numaralarını manuel olarak yeniden yazdırmamak için tedarikçiden veya kriptografik otoriteden elektronik ortamda muhasebe bilgisi talep etmelisiniz.
CIPF muhasebe günlüklerinin örnekleri, 13 Haziran 2001 N 152 tarihli FAPSI RF siparişinin ekinin sonunda bulunabilir.
Miktar:
Fiyat: 35
İndirim: %?
İndirim sistemimiz var
daha fazla al - daha az öde
50 adetten sipariş verirken. - %5 indirim
100 adetten sipariş verirken. - 10 indirim
300 adetten sipariş verirken. - %15 indirim
500 adetten sipariş verirken. - 20 indirim
1000 adetten sipariş verirken. - %25 indirim
Toplam:
%20 KDV dahil
X
Yine ince bir dergi sipariş ettin.
Belki daha fazla sayfaya ve diğer özelliklere sahip bir dergiye ihtiyacınız var.
Lütfen kullan hesap makinesi
Talimat
kriptografik koruma araçlarının muhasebeleştirilmesi, verilmesi ve devredilmesi prosedürü hakkında
bilgi, elektronik imza, operasyonel ve teknik
belgeler ve önemli belgeler
1. Kriptografik bilgi koruma araçları (CIPF), CIPF için operasyonel ve teknik belgeler, anahtar belgeler ve ES için muhasebe, "Kullanarak iletişim kanalları üzerinden depolama, işleme ve iletimin organize edilmesi ve güvenliğinin sağlanmasına ilişkin talimatlar" gerekliliklerine uygun olarak düzenlenir. Devlet sırrı oluşturan bilgileri içermeyen sınırlı erişime sahip kriptografik bilgi koruma araçları”, 1 Ocak 2001 tarih ve 152 sayılı Rusya Federasyonu Başkanı altında Federal Hükümet İletişim ve Bilgi Ajansı'nın (FAPSI) emriyle onaylanmıştır (bundan böyle anılacaktır). 152 sayılı Talimat olarak anılır), CIPF geliştiricisi tarafından onaylanan CIPF kullanım kuralları.
2. CIPF'nin kuruluşa teslimi, kurye iletişimi (özel iletişim) veya doğrudan kuruluşun kendi çalışanı tarafından gerçekleştirilmelidir, aynı şekilde CIPF, madde uyarınca son kullanıcıya aktarılmalıdır. 000 No'lu Talimatın 32'si.
3. CIPF'yi paketleme prosedürü, 000 No'lu Talimatın 33. maddesi, 34. maddesi gerekliliklerine uygun olmalıdır.
4. CIPF'nin devri, kabul sertifikaları ile resmileştirilir veya beraberindeki nakliye belgeleri ile onaylanır.
5. CIPF'yi yetkili bir kurye ile devrederken, CIPF'nin kabul ve devir belgelerinde kurye imzaları, eylemin tarih ve numarası ilgili sicillere işlenir.
6. CIPF geliştiricilerinden, üreticilerinden ve tedarikçilerinden gelen CIPF'nin eşgörünüm muhasebesi, CIPF'nin örnek muhasebesi Dergisi'nde, onlar için operasyonel ve teknik belgelerde, kilit belgelerde (gizli bilgilerin sahibi için) tutulmalıdır (madde 26, Ek Talimat 000). Muhasebe, kriptografik araçların sorumlu kullanıcısı tarafından sağlanır.
7. CIPF'nin bireysel muhasebesi Dergisi'ne giriş yapma örneği, onlar için operasyonel ve teknik belgeler, önemli belgeler (gizli bilgilerin sahibi için) tablo 1'de sunulmuştur.
Tablo 1.
hayır. p / p | makbuz işareti | Sorun işareti | Bağlantı işareti (kurulum) CIPF | Donanımdan kriptografik bilgi korumasının geri çekilmesi, önemli belgelerin imhası hakkında bir not | Not |
||||||||||
kimden alındı | Ön yazının tarihi ve numarası | CIPF kullanıcısının tam adı | Kriptografik koruma otoritesinin çalışanlarının tam adı, bağlantıyı (kurulum) yapan CIPF kullanıcısı | Bağlantı tarihi (kurulum) ve bağlantıyı (kurulum) yapan kişilerin imzaları | CIPF'nin kurulu veya bağlı olduğu donanım sayısı | Çekilme tarihi (imha) | Geri çekmeyi (imha) yapan kriptografik koruma otoritesinin çalışanlarının tam adı, CIPF kullanıcısı | Not |
|||||||
Takograf Mercury TA-001 | 19С3А00113906524 | LLC "Bilgi Merkezi" | 04/14/15 tarihli 000 | ||||||||||||
USB cihazı C-Terra "Post" | 8544391000321DFA | LLC "Bilgi Merkezi" | 04/14/15 tarihli 000 | Kraftway terminal istasyonu | |||||||||||
Takograf kartı "Elmas" | RUX1234567891234 | LLC "Bilgi Merkezi" | 04/14/15 tarihli 000 | 01/01/2001 tarihli kabul ve devir belgesi |
8. CIPF'nin tüm kopyaları, onlar için operasyonel ve teknik belgeler, üçüncü taraflara aktarılan kilit belgeler, kabul eylemine göre düzenlenmeli ve uygun CIPF'nin eşgörünümlü muhasebesi Dergisi'nde, operasyonel ve teknik belgelerde muhasebeleştirilmelidir. onlar için, anahtar belgeler (kriptografik koruma otoritesi için) (s. 26, Talimat No. 152'ye Ek). Muhasebe, kriptografik araçların sorumlu kullanıcısı tarafından sağlanır.
9. Üçüncü taraf bir kuruluşa devredildikten sonra CIPF'nin muhasebeleştirilmesine ilişkin bir giriş yapma örneği tablo 2'de sunulmuştur.
Tablo 2.
hayır. p / p | CIPF'nin adı, onlar için operasyonel ve teknik belgeler, temel belgeler | CIPF'nin seri numaraları, bunlara ilişkin operasyonel ve teknik belgeler, önemli belgelerin seri numaraları | Anahtar belgelerin numaralarını (kriptografik numaraları) kopyalar | makbuz işareti | iade notu | Yürürlüğe giriş tarihi | Çıkış tarihi | CIPF'nin imhasını işaretleyin, önemli belgeler | Not |
|||||||
Anahtar belgeleri hazırlayan OKZ çalışanının kimden alındığı veya tam adı | Ön yazının tarihi ve numarası veya kilit belgelerin üretim tarihi ve üretimdeki makbuz | kime gönderildi | Ekteki belgenin tarihi ve numarası | Onayın veya makbuzun alındığı tarih ve sayısı | Ekteki belgenin tarihi ve numarası | Tarih ve onay numarası | imha tarihi | Eylemin numarası veya imha makbuzu | Not |
|||||||
Takograf Mercury TA-001 | 19С3А00113906524 | LLC "Bilgi Merkezi" | 04/14/15 tarihli 000 | 01.01.2001 10:04:59 tarihli 000000027 düzenleme / ekipman / yazılım / kart iadesi sertifikası | 01.01.2001 10:04:59 tarihli 000000027 düzenleme / ekipman / yazılım / kart iadesi sertifikası | |||||||||||
Stirch KKM | LLC "Bilgi Merkezi" | 04/14/15 tarihli 000 | ||||||||||||||
Takograf Mercury TA-002 | 15С3А0078906111 | LLC "Bilgi Merkezi" | 04/14/15 tarihli 000 |
10. Şifreleme araçlarının sorumlu kullanıcısı, her CIPF kullanıcısı (CIPF'nin aktarıldığı her kuruluş) için kendisine atanan CIPF'yi, onlar için operasyonel ve teknik belgeleri, önemli belgeleri kaydettiği kişisel bir hesap açar ve tutar. CIPF kullanıcısının kişisel hesabının önerilen standart formu bu Talimatın ekinde sunulmaktadır.
11. Bir CIPF kullanıcısının kişisel hesabının tutulmasına ilişkin bir örnek tablo 3'te sunulmaktadır.
Tablo 3
CIPF'nin adı, onlar için operasyonel ve teknik belgeler, temel belgeler | Anahtar belgelerin numaralarını (kriptografik numaraları) kopyalar | Sorumlu icracı | Not |
|||||
Takograf Mercury TA-001 | 19С3А00113906524 | 04/14/15 tarihli 000 | 01.01.2001 10:04:59 tarihli 000000027 düzenleme / ekipman / yazılım / kart iadesi sertifikası | |||||
Stirch KKM | 04/14/15 tarihli 000 | |||||||
Takograf Mercury TA-002 | 15С3А0078906111 | 04/14/15 tarihli 000 |
12. Alınan, kullanılan, saklanan veya iletilen tüm CIPF, onlar için operasyonel ve teknik belgeler, önemli belgeler kopya muhasebesine tabidir. Anahtar belgelerin kopya muhasebesi birimi, yeniden kullanılabilir bir anahtar taşıyıcı, bir anahtar not defteri olarak kabul edilir. Kripto anahtarlarını kaydetmek için aynı anahtar ortamı tekrar tekrar kullanılıyorsa, her seferinde ayrı olarak kaydedilmelidir.
Örnek muhasebe birimleri şunlar olabilir:
eToken (adet) – anahtar taşıyıcı;
JKarta (adet) - anahtar taşıyıcı;
Takograf (adet) - CIPF'nin kurulu veya bağlı olduğu donanım;
Blok NKM (adet) - donanım CIPF'si;
CIPF formu (kopya) - operasyonel veya teknik belgeler.
13. Teknik (donanım) günlüğüne giriş yapma örneği Tablo 4'te sunulmaktadır.
Tablo 4
№ | tarih | CIPF'nin türü ve kayıt numarası | Bakım kaydı | Kullanılan kripto anahtarları | İmha işareti (silme) | Not | ||||
Anahtar belge türü | Seri numarası ve anahtar belge kopyası | Kripto taşıyıcı numarası | imha tarihi | yıkımdan sorumlu | ||||||
USB cihazı C-Terra "Post" Kayıt numarası 2 | Pin'i değiştir | USB aleti | 8544391000321DFA örneği 1 | |||||||
14. CIPF, EP araçları, operasyonel ve teknik belgeler, temel belgeler ve bilgiler için muhasebe, kuruluş başkanının emriyle belirlenmesi gereken otomatik bir bilgi sistemi kullanılarak kağıt üzerinde veya elektronik biçimde düzenlenmelidir, bkz. şek. 1.
15. CIPF'nin devrine, onlar için operasyonel ve teknik belgelere, kilit belgelere yalnızca kabul ve devir işlemi ve ilgili kopya muhasebesi dergilerine giriş yapılması kapsamında izin verilir.
16. Kuruluştaki kriptografik araçların sorumlu kullanıcısının, kişisel veri bilgi sistemindeki kişisel verilerin güvenliğini sağlamaktan sorumlu bir kişi ataması önerilir.
17. CIPF'nin muhasebeleştirilmesi, bunlara ilişkin operasyonel ve teknik belgeler, kilit belgeler, işlevsel sorumluluklar ve talimatlara uygun olarak doğrudan işlemlerin yürütülmesi, bilgi güvenliği yöneticisine veya ilgili işlevsel sorumluluklara sahip bir kişiye atanır.
______________________
Ek
kriptografik koruma araçlarının verilmesi ve devri için muhasebe prosedürü hakkında talimat
bilgi, elektronik imza, operasyonel ve teknik belgeler ve önemli belgeler
KRİPTOS KULLANICI KİŞİSEL HESAP
_____________________________________________________________________________________________
(kuruluşun adı veya çalışanın tam adı ve konumu)
№p\p | CIPF'nin adı, onlar için operasyonel ve teknik belgeler, temel belgeler | CIPF'nin kayıt numaraları, bunlara ilişkin operasyonel ve teknik belgeler, önemli belgelerin seri numaraları | Anahtar belgelerin numaralarını (kriptografik numaraları) kopyalar | Alındığında beraberindeki belgenin numarası ve tarihi | Aktarma sırasında beraberindeki belgenin numarası ve tarihi | Sorumlu icracı | Not |
|
___________________________
REFERANS LİSTESİ