Что в итоге?
Сложно не согласиться с тем, что все эти требования уже давно морально устарели и Инструкция нуждается в актуальных корректировках, но пока мы вынуждены выполнять требования ее текущей редакции. Обратите внимание, что для ведения журнала поэкземплярного учета СКЗИ в электронном виде требуется подписывать документы только квалифицированной ЭП либо сопровождать каждое действие соответствующими актами. Если же речь идет о физическом документе, то все данные и подписи должны быть внесены в него всеми ответственными лично.
Безусловно, учет СКЗИ – это только один из множества обязательных к исполнению процессов, описанных в документе. В будущем мы постараемся подробно описать процесс опломбирования СКЗИ, технологию их уничтожения и многое другое.
Надеемся, эта памятка была для вас полезной.
Бланк акта вскрытия системного блока
Довольно часто, в организациях системные блоки подлежат опечатыванию.
Случаются ситуации, когда системный блок необходимо вскрыть, например для ремонта.
Для избежания вопросов о вскрытии пломб на системном блоке, можно составить следующий акт:
В данном акте необходимо указать:
1) Дату вскрытия системного блока.
2) Рабочую группу, если таковая имеется (обычно это руководитель отдела, где расположен системный блок, пользователь и сисадмин).
3) Серийный и инвентарный номера, адрес и номер помещения, где расположен системный блок.
4) Причину вскрытия.
5) Номера старых и новых пломб.
Акт необходимо заверить подписями рабочей комиссии.
Пломбы можно изготовить и распечатать по следующему образцу (вы можете использовать свой образец):
Как сделать заказ?
- Пломбы для опечатывания системных блоков в Краснодаре можно купить по адресу: ул. Есаульская, д. 57, офис 8. Также наши офисы есть в городах: Тихорецк, Новороссийск, Армавир, Кропоткин. Обращаем ваше внимание на то, что по городу Краснодару осуществляется доставка. Товар доставят со всей необходимой документацией в заранее согласованное с вами время.
- В Ростове-на-Дону по адресу: ул. Доватора, д. 137, или позвонив нам по тел. 8 (863) 308-24-63;
- В Ставрополе, звоните нам по тел. 8 (865) 220-61-69 или обращайтесь по адресу ул. Ленина, д. 384;
- В Москве и области пломбы для опечатывания системных блоков можно заказать по тел. 8 (495) 133-74-92, оформив онлайн-заявку на сайте
Обращаем внимание, что перед приездом вам обязательно нужно созвониться с нашими менеджерами по предоставленным телефонам.
Кто и как ведет учет
Если организация является обладателем конфиденциальной информации, то ей, скорее всего, требуется обеспечить безопасную передачу, обработку и хранение этой информации с помощью СКЗИ. К слову, к последним инструкция относит как сами программные или аппаратно-программные средства, так и информацию, необходимую для их работы, ключи, техническую документацию.
Организует и контролирует все работы с СКЗИ орган криптографической защиты (ОКЗ). Это может быть как структурное подразделение (или конкретный сотрудник) внутри организации (обладателе конфиденциальной информации), так и внешний подрядчик (например, сервис-провайдер).
В первом случае организация должна издать приказ о создании ОКЗ, определить его структуру и обязанности сотрудников. Например:
Все работники, которые занимаются установкой и настройкой СКЗИ и в принципе имеют к ним доступ, должны быть внесены в приказ и ознакомлены с ним. Для каждой должности нужно разработать должностную инструкцию и ознакомить пользователей с порядком применения СКЗИ.
В итоге перечень необходимых документов состоит из:
Мы помним, что по всем СКЗИ должен вестись поэкземплярный учет, а их движение (формирование, выдача, установка, передача, уничтожение) должно быть документально подтверждено. Для этого и обладатель конфиденциальной информации, и орган криптографической защиты должны вести журналы (каждый свой) поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.
Но если орган криптографической защиты информации – это структурное подразделение организации, на его плечи ложится ведение обоих журналов. Дело в том, что в этом случае организация не только является обладателем конфиденциальной информации, но и выполняет часть функций ОКЗ.
Например, крупные холдинги, как правило, выделяют в своем составе ИТ-компанию, которая в том числе отвечает за информационную безопасность с использованием СКЗИ. Она ведет все журналы и сопутствующую документацию и является для своего холдинга поставщиком услуг.
Если услуги оказывает сервис-провайдер, то он заполняет журнал учета для органа криптографической защиты, а организация – журнал для обладателя конфиденциальной информации.
Вы еще тут? Надеемся, не запутались!
Журналы учета хранятся в течение 5 лет. Сами СКЗИ и документация к ним должны находиться за семью замками в специальном помещении, а доступ туда могут иметь только сотрудники ОКЗ.
Операции с СКЗИ: взятие на учет
Рассмотрим порядок учета на конкретном примере (данные в таблицах ниже вымышленные все совпадения случайны). Организация N – обладатель конфиденциальной информации – хочет использовать СКЗИ компании «КриптоПро». При этом организация N не готова создавать у себя ОКЗ и обращается к сервис-провайдеру, который будет предоставлять ей соответствующие услуги. Итак, для начала вендор ПАК должен предоставить организации N исходные данные для учета. Выглядит это так:
В 1–6 графы журнала поэкземплярного учета должна попасть информация о:
После заполнения всех этих данных СКЗИ выдаются пользователям, то есть тем работникам в организации, для которых они закупались. Это может быть как сотрудник бухгалтерии, который применяет ЭП для подписания и отправки документов, так и другой ответственный специалист, взявший на себя обязательства по сохранности СЗКИ.
На этом этапе заполняются 7 и 8 графы журнала (кому и когда выдается СКЗИ – с обязательной росписью пользователя). Если возможности расписаться в журнале нет, то можно заполнить акт передачи, где в свободной форме указывается, кто (администратор безопасности) и кому (пользователю)
В 9 графу записывается имя сотрудника, производившего установку СКЗИ. Чаще всего это делает специалист технической поддержки, который также является администратором безопасности. Но это может быть и пользователь, если он обладает соответствующими навыками и правами доступа в сеть. В 11 графе указывается серийный номер материнской платы или номер опечатывающей пломбы системного блока.
Если сотрудник, который производил установку, уволился, то СКЗИ нужно изъять и составить акт, в котором указывается предмет и способ изъятия (например, удаление ключевой информации с носителя). Все это фиксируются в 12, 13, 14 графах.
При уничтожении СКЗИ также составляется соответствующий акт. В нем должны быть указаны предмет и способ уничтожения. Программные СКЗИ стирают с носителя ключевой информации (чистка реестра), а ПО деинсталлируют. С аппаратных СКЗИ можно удалить ключевую информацию либо уничтожить их физически.
Ниже пример журнала, заполненного организацией – обладателем конфиденциальной информации. ООО «Компания» – это сервис-провайдер, который выполняет функции органа криптографической защиты для организации.
Заглянуть в журнал учета
Журнал учета СКЗИ для органа криптографической защиты во многих пунктах перекликается с аналогичным документом для организации и заполняется по такому же принципу, поэтому не будем подробно останавливаться на его разборе. В примере ниже ООО «Организация» – это обладатель конфиденциальной информации, который воспользовался услугами сервис-провайдера.
Заглянуть в журнал еще раз
Особенности пломбы для оргтехники
Основная специфика пломбы данного типа заключается в том, что нанесение маркировки не должно испортить внешний вид устройств, и если пломбирование производиться для учета, то и не мешать работе сотрудников. Существует два типа маркировки, что используется для оргтехники:
- опечатать компьютер можно с помощью самоклеящихся элементов с идентификационным номером. Нанеся маркировку, можно предупредить несанкционированную подмену компьютерных блоков и других устройств;
- для опечатывания могут быть использованы ультрафиолетовые маркеры. Надписи на технике видны только под ультрафиолетовым освещением.
Оба способа достаточно эффективны, но чаще используется все же первый вариант, наклейки очень просты в применении, устойчивы к воздействию солнечных лучей-номерной знак не выгорает на солнце, устойчив к нагреванию и воздействию низких температур. Даже малейшие попытки снятия пломбы будут заметны.
При отклеивании, снимается только верхняя пленка, а основной клеящий слой, что выполняет функцию защиты остается не тронутым. Повторно использовать пломбы невозможно. Индикаторные пломбы-наклейки хорошо закрепляются на гладких поверхностях, что выполнены из металлических сплавов и пластика.