Практическая реализация требований ФСБ России при обороте и эксплуатации СКЗИ

Богданов Андрей Петрович Эксперт

Эксперт по защите информации

0
2879
Выполнение требований ФСБ в области оборота и использования криптосредств, требований технической документации к средствам шифрования — это специфическая и требующая комплексного подхода сторона деятельности, с которой организация, обладающая конфиденциальной информацией или лицензией ФСБ в области оборота и эксплуатации СКЗИ, сталкивается в повседневной работе.
Практическая реализация требований ФСБ России при обороте и эксплуатации СКЗИ

Нельзя упускать из виду и то обстоятельство, что организации, являющиеся лицензиатами ФСБ, берут на себя обязательства по выполнению требований, которые призваны защитить интересы граждан, пользующихся услугами этих организаций.

В тоже время, многие организации, обладающие конфиденциальной информации или лицензией ФСБ в области оборота и эксплуатации СКЗИ, вынужденно соприкасаются в своей профессиональной деятельности с областью, подпадающей под контроль ФСБ, при этом не являясь профессиональными участниками рынка информационной безопасности, и вполне очевидно, что у них могут возникать вопросы, ответы на которые требуют дополнительного разъяснения.

По степени ущерба, который может быть нанесен обладателю конфиденциальной информации, компрометация СКЗИ (а это и кража ЭЦП для доступа к банковской информации где хранятся средства, для доступа к личному кабинету на сайте налоговой инспекции, для доступа к торговым площадкам перед важным аукционом, для доступа к системе электронной переписки где, возможно, хранятся данные строго конфиденциального характера и т.п., злонамеренное искажение информации в системах хранения данных — в серверах медицинских баз данных, в тахографах, в контрольно-кассовой технике и т.п.) сопоставима с ущербом здоровью, который может нанести огнестрельное оружие.

Отсюда вполне очевидна предлагаемая профессионалами в области информационной безопасности аналогия: СКЗИ — это оружие, только не огнестрельное, а информационное. И СКЗИ призвано, как и оружие, защищать своего владельца.

Правильная ассоциация огнестрельного и информационного оружия не даст повода упустить что-то важное при работе с СКЗИ, что позволит избежать негативных последствий возможной проверки или ответственности.

Мы не удивляемся существующим требованиям к хранению и использованию огнестрельного оружия. Значит, нам пора уже свыкнуться с аналогичными требованиям к СКЗИ. Это:

  • Лицензия на деятельность в области шифрования — лицензия на изготовление оружия, торговлю им;
  • Металлический шкаф для хранения СКЗИ — сейф для огнестрельного оружия;
  • Контроль доступа в помещение хранения и использования СКЗИ — охранная сигнализация в оружейной комнате;
  • Ограничение и контроль круга лиц, допущенных к работе с СКЗИ — в руках у «чайника» и метла стреляет;
  • Контроль знаний эксплуатации СКЗИ — сдача экзамена по знанию условий хранения, ношения и применения огнестрельного оружия;
  • Контроль съемных носителей, модулей СКЗИ — контроль магазинов для патронов (обойм);
  • Действующие сертификаты СКЗИ, формуляры на СКЗИ, эксплуатационная документация на СКЗИ — разрешение на использование огнестрельного оружия, документы на право владения и т.д.

Сотрудники компетентного органа, контролирующие использование СКЗИ — участковые полицейские, контролирующие владельцев огнестрельного оружия.

Можно сделать первые выводы — оценивая адекватность принятых мер по контролю за эксплуатацией СКЗИ, действуйте с позиций владельцев, продавцов, наладчиков и ремонтников огнестрельного оружия (информационного оружия).

Далее приведем порядок действий, которому должны следовать в организации при обеспечении необходимых условий для эксплуатации СКЗИ, продолжая проводить аналогии с условиями использования и хранения огнестрельного оружия.

Руководитель организации своими приказами:

— назначил ответственного пользователя СКЗИ (ответственное лицо за сохранность оружия и патронов и т.д.);

— допустил к работе после инструктажа пользователей СКЗИ (наводчики, стрелки, заряжающие и т.д.);

— определил помещения, где будут храниться и использоваться СКЗИ, а в самих помещениях выполнены все соответствующие требования («оружейная» с сейфами, тиры, стрельбища);

— определил и утвердил порядок доступа в эти помещения;

— определил все виды и формы журналов учета СКЗИ (учет оружия, боеприпасов, документов на оружие);

— утвердил план проверок (участковый ходит и проверяет, как хранится оружие и боеприпасы);

— закрепил все остальные требования, порядки и мероприятия необходимость проведения которых считается разумной, а все работники ознакомились с ними под роспись.

Основные мероприятия по соблюдению требований ФСБ при эксплуатации и обороте СКЗИ на местах представлен ниже:

  1. Поиск своей организации в планах проверок регуляторов на 2017 год. Предупрежден — значит, вооружен.
  2. Инвентаризация имеющихся СКЗИ, лицензий, разрешений, сертификатов и других документов на предмет их наличия и сроков действия.
  3. Актуализация имеющихся приказов, инструкций, журналов.
  4. Обучение пользователей и ответственных лиц с последующей выдачей подтверждающих документов установленного образца по следующим программам:
    • повышение осведомленности в области оборота и эксплуатации СКЗИ в соответствии с требованиями Приказа ФАПСИ от 13 июня 2001 № 152;
    • повышение квалификации в области безопасной обработки персональных данных;
    • получение квалификации в области применения конкретных средств СКЗИ;
    • получение степени меткий стрелок и рачительный владелец не использованных боеприпасов.
  5. Поступление СКЗИ (оружия и/или боеприпасов) от поставщика или производителя:
    • все СКЗИ, поступающие в организацию, доставляются особым доверенным образом и при наличии сопроводительных документов;
    • при получении большого количества СКЗИ разумно запросить учетную информацию в электронном виде у поставщика или криптографического органа, чтобы не перепечатывать эти серийные номера вручную.
  6. Учет СКЗИ (пересчитай оружие и/или боеприпасы):
    • учитывать следует сами электронные ключи, ключевые носители, программное обеспечение которое делает криптографические преобразования информации, лицензии на право использования СКЗИ;
    • ответственным пользователем СКЗИ должно быть учтено, и впоследствии учета помещено на хранение или выдано конечным пользователям с отметкой в журнале учета.
    • для упрощения учета большого количества СКЗИ, рекомендуется вести учетную информацию в электронном виде, что бы не печатать серийные номера вручную;
    • учет СКЗИ можно полностью вести в электронном виде.
  7. Хранение СКЗИ (огнестрельного оружия всех наименований и калибров, а так же документов и инструкций к ним):
    • хранение СКЗИ в рабочее и не рабочее время регламентировано инструкцией;
    • ответственный пользователь СКЗИ, в соответствии с ежегодным планом проверяет работоспособность охранно-пожарной сигнализации;
    • руководителем организации или доверенным лицом проверяется наличие выданных опечатывающих устройств.
  8. Выдача и установка СКЗИ пользователям своей организации (под роспись в журнале):
    • соблюдаем требования инструкций и формуляров на СКЗИ;
    • в журнале учета СКЗИ пишем: что выдали; на чем выдали; кто получил; кто сдал; отметка об уничтожении.
  9. Передача и установка СКЗИ сторонним организациям:
    • оформляем договор или иные подтверждающие документы;
    • соблюдаем требования доставки СКЗИ;
    • придерживаемся мест осуществления лицензируемой деятельности;
    • оформляем акты приемки-передачи или иные документы, в том числе делаем отметки в журналах учета.
  10. Уничтожение СКЗИ:
    • оформляем акт уничтожения по утвержденной форме;
  11. Отчет в орган криптографической защиты информации:
    • оформляем ежегодный отчет по утвержденной форме.

Мы будем рады, если статья помогла вам разобраться с особенностями контроля за использованием СКЗИ и поможет вам в предстоящих проверках контролирующих органов.

Богданов Андрей Петрович Эксперт

Эксперт по защите информации

Комментарии

Самое читаемое

К списку новостей

Записаться на трансляцию

Регистрация на мероприятие

Записаться на обучение