Практическая реализация требований ФСБ России при обороте и эксплуатации СКЗИ

Богданов Андрей Петрович Эксперт
Эксперт по защите информации
Выполнение требований ФСБ в области оборота и использования криптосредств, требований технической документации к средствам шифрования — это специфическая и требующая комплексного подхода сторона деятельности, с которой организация, обладающая конфиденциальной информацией или лицензией ФСБ в области оборота и эксплуатации СКЗИ, сталкивается в повседневной работе.

Нельзя упускать из виду и то обстоятельство, что организации, являющиеся лицензиатами ФСБ, берут на себя обязательства по выполнению требований, которые призваны защитить интересы граждан, пользующихся услугами этих организаций.
В тоже время, многие организации, обладающие конфиденциальной информации или лицензией ФСБ в области оборота и эксплуатации СКЗИ, вынужденно соприкасаются в своей профессиональной деятельности с областью, подпадающей под контроль ФСБ, при этом не являясь профессиональными участниками рынка информационной безопасности, и вполне очевидно, что у них могут возникать вопросы, ответы на которые требуют дополнительного разъяснения.
По степени ущерба, который может быть нанесен обладателю конфиденциальной информации, компрометация СКЗИ (а это и кража ЭЦП для доступа к банковской информации где хранятся средства, для доступа к личному кабинету на сайте налоговой инспекции, для доступа к торговым площадкам перед важным аукционом, для доступа к системе электронной переписки где, возможно, хранятся данные строго конфиденциального характера и т.п., злонамеренное искажение информации в системах хранения данных — в серверах медицинских баз данных, в тахографах, в контрольно-кассовой технике и т.п.) сопоставима с ущербом здоровью, который может нанести огнестрельное оружие.
Отсюда вполне очевидна предлагаемая профессионалами в области информационной безопасности аналогия: СКЗИ — это оружие, только не огнестрельное, а информационное. И СКЗИ призвано, как и оружие, защищать своего владельца.
Правильная ассоциация огнестрельного и информационного оружия не даст повода упустить что-то важное при работе с СКЗИ, что позволит избежать негативных последствий возможной проверки или ответственности.
Мы не удивляемся существующим требованиям к хранению и использованию огнестрельного оружия. Значит, нам пора уже свыкнуться с аналогичными требованиям к СКЗИ. Это:
- Лицензия на деятельность в области шифрования — лицензия на изготовление оружия, торговлю им;
- Металлический шкаф для хранения СКЗИ — сейф для огнестрельного оружия;
- Контроль доступа в помещение хранения и использования СКЗИ — охранная сигнализация в оружейной комнате;
- Ограничение и контроль круга лиц, допущенных к работе с СКЗИ — в руках у «чайника» и метла стреляет;
- Контроль знаний эксплуатации СКЗИ — сдача экзамена по знанию условий хранения, ношения и применения огнестрельного оружия;
- Контроль съемных носителей, модулей СКЗИ — контроль магазинов для патронов (обойм);
- Действующие сертификаты СКЗИ, формуляры на СКЗИ, эксплуатационная документация на СКЗИ — разрешение на использование огнестрельного оружия, документы на право владения и т.д.
Сотрудники компетентного органа, контролирующие использование СКЗИ — участковые полицейские, контролирующие владельцев огнестрельного оружия.
Можно сделать первые выводы — оценивая адекватность принятых мер по контролю за эксплуатацией СКЗИ, действуйте с позиций владельцев, продавцов, наладчиков и ремонтников огнестрельного оружия (информационного оружия).
Далее приведем порядок действий, которому должны следовать в организации при обеспечении необходимых условий для эксплуатации СКЗИ, продолжая проводить аналогии с условиями использования и хранения огнестрельного оружия.
Руководитель организации своими приказами:
— назначил ответственного пользователя СКЗИ (ответственное лицо за сохранность оружия и патронов и т.д.);
— допустил к работе после инструктажа пользователей СКЗИ (наводчики, стрелки, заряжающие и т.д.);
— определил помещения, где будут храниться и использоваться СКЗИ, а в самих помещениях выполнены все соответствующие требования («оружейная» с сейфами, тиры, стрельбища);
— определил и утвердил порядок доступа в эти помещения;
— определил все виды и формы журналов учета СКЗИ (учет оружия, боеприпасов, документов на оружие);
— утвердил план проверок (участковый ходит и проверяет, как хранится оружие и боеприпасы);
— закрепил все остальные требования, порядки и мероприятия необходимость проведения которых считается разумной, а все работники ознакомились с ними под роспись.
Основные мероприятия по соблюдению требований ФСБ при эксплуатации и обороте СКЗИ на местах представлен ниже:
- Поиск своей организации в планах проверок регуляторов на 2017 год. Предупрежден — значит, вооружен.
- Инвентаризация имеющихся СКЗИ, лицензий, разрешений, сертификатов и других документов на предмет их наличия и сроков действия.
- Актуализация имеющихся приказов, инструкций, журналов.
- Обучение пользователей и ответственных лиц с последующей выдачей подтверждающих документов установленного образца по следующим программам:
- повышение осведомленности в области оборота и эксплуатации СКЗИ в соответствии с требованиями Приказа ФАПСИ от 13 июня 2001 № 152;
- повышение квалификации в области безопасной обработки персональных данных;
- получение квалификации в области применения конкретных средств СКЗИ;
- получение степени меткий стрелок и рачительный владелец не использованных боеприпасов.
- Поступление СКЗИ (оружия и/или боеприпасов) от поставщика или производителя:
- все СКЗИ, поступающие в организацию, доставляются особым доверенным образом и при наличии сопроводительных документов;
- при получении большого количества СКЗИ разумно запросить учетную информацию в электронном виде у поставщика или криптографического органа, чтобы не перепечатывать эти серийные номера вручную.
- Учет СКЗИ (пересчитай оружие и/или боеприпасы):
- учитывать следует сами электронные ключи, ключевые носители, программное обеспечение которое делает криптографические преобразования информации, лицензии на право использования СКЗИ;
- ответственным пользователем СКЗИ должно быть учтено, и впоследствии учета помещено на хранение или выдано конечным пользователям с отметкой в журнале учета.
- для упрощения учета большого количества СКЗИ, рекомендуется вести учетную информацию в электронном виде, что бы не печатать серийные номера вручную;
- учет СКЗИ можно полностью вести в электронном виде.
- Хранение СКЗИ (огнестрельного оружия всех наименований и калибров, а так же документов и инструкций к ним):
- хранение СКЗИ в рабочее и не рабочее время регламентировано инструкцией;
- ответственный пользователь СКЗИ, в соответствии с ежегодным планом проверяет работоспособность охранно-пожарной сигнализации;
- руководителем организации или доверенным лицом проверяется наличие выданных опечатывающих устройств.
- Выдача и установка СКЗИ пользователям своей организации (под роспись в журнале):
- соблюдаем требования инструкций и формуляров на СКЗИ;
- в журнале учета СКЗИ пишем: что выдали; на чем выдали; кто получил; кто сдал; отметка об уничтожении.
- Передача и установка СКЗИ сторонним организациям:
- оформляем договор или иные подтверждающие документы;
- соблюдаем требования доставки СКЗИ;
- придерживаемся мест осуществления лицензируемой деятельности;
- оформляем акты приемки-передачи или иные документы, в том числе делаем отметки в журналах учета.
- Уничтожение СКЗИ:
- оформляем акт уничтожения по утвержденной форме;
- Отчет в орган криптографической защиты информации:
- оформляем ежегодный отчет по утвержденной форме.
Мы будем рады, если статья помогла вам разобраться с особенностями контроля за использованием СКЗИ и поможет вам в предстоящих проверках контролирующих органов.

Богданов Андрей Петрович Эксперт
Эксперт по защите информации
Комментарии