Акт установки скзи что это

Журналы учета электронных подписей: как вести и хранить

Статья будет полезна, если в вашей организации есть хотя бы один ключ электронной подписи — тогда вам, скорее всего, нужно вести журналы учета ключей подписи. Кто обязан это делать и как, расскажем в статье.

Что такое журналы учета ключей ЭП

Журналы учета средств криптографической защиты информации (СКЗИ) или ключей электронной подписи (ЭП или ЭЦП) помогают следить за перемещением средств криптозащиты и ключей подписи в организации. В них отражается кто получил ключ подписи, сдал ли его при переходе на другую должность или увольнении, знаком ли сотрудник с правилами работы со средствами электронной подписи. Журналы нужны предприятиям, которые используют ЭП и СКЗИ, например, КриптоПро CSP или ViPNet CSP.

Кому нужно вести журналы учета ключей ЭП

Лицензиаты ФСБ

Эти компании оказывают платные услуги, связанные с использованием СКЗИ: их разработкой, распространением, установкой, обслуживанием и т.д. Это могут быть удостоверяющие центры, которые выпускают сертификат электронных подписей, или, например, дистрибьюторы СКЗИ.

К лицензиатам предъявляется самый большой список требований по соблюдению инструкции. Они должны создать у себя орган криптографической защиты информации, разработать свой регламент по соблюдению инструкции и вести журналы учета ключей ЭП и СКЗИ. Орган криптозащиты контролирует, как организация соблюдает инструкцию из приказа ФАПСИ №152.

Лицензиаты также могут помогать другим компаниям соблюдать требования регулятора — ФСБ России.

Организации, которые не являются лицензиатами ФСБ

Обязательно соблюдать приказ ФАПСИ №152 и вести журналы учета ключей ЭП должны предприятия, которые используют СКЗИ для защиты конфиденциальной информации, если такая информация по закону подлежит защите — например, для персональных данных или при передаче отчетности. В приказе их называют «обладатели конфиденциальной информации».

Если организации используют СКЗИ для защиты информации, не подлежащей обязательной защите, то требования инструкции ФАПСИ носят рекомендательный характер. Например, это касается компании, которая приобрела сертификат ЭП и средства криптозащиты только для внутреннего пользования — подписания внутренних документов, шифрования результатов своей работы.

Организациям, которые будут соблюдать требования приказа ФАПСИ №152, нужно создать регламент хранения и использования электронных подписей на основе утвержденной приказом инструкции и вести журналы учета. Сделать это можно одним из двух способов:

• Самостоятельно создать регламент, назначить конкретного сотрудника, который будет отвечать за его соблюдение и вести журналы.
• Обратиться к лицензиатам ФСБ и поручить им разработку регламента и журналов, и при необходимости, передать им контроль за тем, как соблюдается инструкция и внутренний регламент.

СКБ Контур — лицензиат ФСБ и поможет организовать учет электронных подписей в компании. Специалисты проекта Контур.Безопасность создадут всю необходимую документацию и проконтролируют соблюдение регламента и инструкции из приказа ФАПСИ № 152.

Какие журналы учета вести

Инструкция устанавливает два типа журналов:

1. Журнал поэкземплярного учета СКЗИ.
   В него вносят сведения о ключах ЭП сотрудников — кто получил носитель с ключом подписи, когда и где, даты уничтожения и другая информация.

Способ заполнения журнала отличается в зависимости от типа СКЗИ, от того кто ведет журнал: обладатель ключей ЭП или орган криптографической защиты. Подробно детали заполнения описаны в приказе ФАПСИ № 152.

Форма журнала поэкземплярного учета для органа криптографической защиты — для лицензиатов ФCБ:

Форма журнала поэкземплярного учета для обладателей конфиденциальной информации:

1. Технический или аппаратный журнал.
   Он помогает следить за аппаратными средствами криптозащиты — например, серверами с установленным ключом ЭП.

Типовая форма технического (аппаратного) журнала:

Чтобы скачать формы для заполнения журналов, перейдите по ссылке.

Получите электронную подпись под свою задачу. В Контуре есть подписи для отчетности, торгов, ведения бизнеса и личных дел. Работаем с руководителями и сотрудниками. Быстро настраиваем компьютер, решаем технические сложности и консультируем в торгах.

Что такое порядок использования и хранения ключей ЭП и СКЗИ

Кроме журналов учета инструкция также рекомендует организациям разработать и соблюдать свой регламент хранения и использования ключей ЭП. Для регламента нет единой типовой формы, поэтому компания может разработать документ самостоятельно. Для этого нужно изучить инструкцию и адаптировать требования именно под свою компанию.

Несмотря на то, что регламент в разных компаниях будет отличаться, есть общие требования — регламент должен указывать правила, по которым в организации:

• назначают сотрудников ответственных за учет ключей ЭП и СКЗИ;
• ведут журналы и поэкземплярный учет;
• устанавливают и настраивают СКЗИ;
• обучают работе с ЭП и СКЗИ, ведут пользователей, допущенных к работе с ними;
• контролируют соблюдение условий использования ЭП и СКЗИ;
• действуют в случае, если ключи и СКЗИ утеряны или есть подозрение, что используются неправомерно;
• контролируют соблюдение регламента внутри организации.

Что будет, если не соблюдать инструкцию и не вести журналы учета

За безопасностью в сфере использования конфиденциальных данных в России следит ФСБ России. Ведомство может проводить, как плановые, так и внеплановые проверки в целях контроля использования шифровальных средств. Если при проверке обнаружат нарушения правил защиты информации, то, согласно ст. 13.12 КоАП РФ, на организацию могут наложить ряд санкций: штрафы для должностных лиц и юрлица, а также конфискацию самих средств криптозащиты. В итоге не сможет отправить электронную отчетность или работать в системе обмена данными.

Отметим, что на практике некоторые организации не соблюдают приказ ФАПСИ №152, считая, что так как документ утвердили почти двадцать лет назад, то и значимость его устарела. Однако приказ все еще юридически действителен, а в 2016 году ФСБ России подтвердило его актуальность.

Поэтому организациям необходимо обеспечить безопасность хранения, использования и передачи конфиденциальной информации. Если для этого используются электронные подписи и СКЗИ, организация должна их учитывать. Основной документ, на который можно опираться — приказ ФАПСИ №152 и утвержденная в нем инструкция. Если ФСБ России решит проверить организацию и обнаружит существенные недостатки, ведомство вправе наложить административный штраф или даже приостановить деятельность организации до устранения недочетов.

Как проверяет ФСБ или правила правильной эксплуатации СКЗИ для защиты персональных данных

Федеральная служба безопасности осуществляет проверку операторов в том случае, если в примененных средствах защиты используется криптография. Федеральный закон № 152-ФЗ «О персональных данных» (далее – ФЗ № 152-ФЗ) обязует оператора персональных данных (далее – ПДн) обеспечивать конфиденциальность ПДн.

Стоит понимать, что обеспечение конфиденциальности не подразумевает обязательное применение средств шифрования. Применение средств криптографической защиты информации (далее – СКЗИ) актуально в том случае, если это установлено в техническом задании, следует из Модели угроз (МУ) и/или Модели нарушителя, а также при передаче персональных данных по линиям связи, выходящим за пределы контролируемой зоны оператора.

Правильный выбор средств криптографической защиты информации позволяет обеспечить не только соблюдение нормативно-правовых актов, но и безопасность персональных данных, передаваемых по каналам связи с использованием таких средств. Подбор СКЗИ должен осуществляться с учетом требований нормативно-правовых актов, особенностей инфраструктуры информационной системы персональных данных, выявленных актуальных угроз персональным данным и необходимых функциональных характеристик СКЗИ.

Классы СКЗИ

Согласно приказу ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (далее – приказ ФСБ №378) в соответствии с уровнем защищенности персональных данных, обрабатываемых в информационных системах персональных данных, должен быть определен класс СКЗИ. В выборе класса СКЗИ важно опираться на Модель нарушителя и его возможности при реализации атак на информационную систему персональных данных.

Классы СКЗИ и соответствующие возможности нарушителей согласно приказу ФСБ № 378 представлены в таблице 1.

СКЗИ определенного класса применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных для предыдущего класса и не менее одной данного класса.

Каждый следующий класс СКЗИ включает в себя возможности нарушителей предыдущего класса.

Таблица 1 – Классы СКЗИ и соответствующие возможности нарушителей

Возможности нарушителей

Создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ

Создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ

Проведение атаки, находясь вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее — контролируемая зона)

Проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак:

• внесение несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программных средств, совместно с которыми штатно функционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ (далее — СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ;
• внесение несанкционированных изменений в документацию на СКЗИ и компоненты СФ.

Проведение атак на этапе эксплуатации СКЗИ на:

• персональные данные;
• ключевую, аутентифицирующую и парольную информацию СКЗИ;
• программные компоненты СКЗИ;
• аппаратные компоненты СКЗИ;
• программные компоненты СФ, включая программное обеспечение BIOS;
• аппаратные компоненты СФ;
• данные, передаваемые по каналам связи;
• иные объекты, которые установлены при формировании совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак с учетом применяемых в информационной системе информационных технологий, аппаратных средств (далее — АС) и программного обеспечения (далее — ПО).

Получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть «Интернет») информации об информационной системе, в которой используется СКЗИ. При этом может быть получена следующая информация:

• общие сведения об информационной системе, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы информационной системы);
• сведения об информационных технологиях, базах данных, АС, ПО, используемых в информационной системе совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в информационной системе совместно с СКЗИ;
• содержание конструкторской документации на СКЗИ;
• содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФ;
• общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ;
• сведения о каналах связи, по которым передаются защищаемые СКЗИ персональные данные (далее — канал связи);
• все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа к информации организационными и техническими мерами;
• сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, нарушениях правил эксплуатации СКЗИ и СФ;
• сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, неисправностях и сбоях аппаратных компонентов СКЗИ и СФ;
• сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФ.

• находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ;
• специально разработанных АС и ПО.

Использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки:

• каналов связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами;
• каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ.

Проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети.

Использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ (далее — штатные средства).

Проведение атаки при нахождении в пределах контролируемой зоны.

Проведение атак на этапе эксплуатации СКЗИ на следующие объекты:

• документацию на СКЗИ и компоненты СФ;
• помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее — СВТ), на которых реализованы СКЗИ и СФ.

Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

• сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы;
• сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы;
• сведений о мерах по разграничению доступа в Помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ.

Использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

Физический доступ к СВТ, на которых реализованы СКЗИ и СФ.

Возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО.

Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.

Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО.

Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ.

Возможность располагать всеми аппаратными компонентами СКЗИ и СФ.

При выборе СКЗИ стоит обратить внимание на наличие сертификата соответствия требованиям ФСБ России и его актуальность. В процессе эксплуатации СКЗИ важно обеспечивать контроль использования СКЗИ и актуальности срока действия сертификата соответствия.

Контроль и проверка использования СКЗИ

Контроль использования СКЗИ, применяемых для обеспечения безопасности ПДн, проводится на основании следующих нормативно-методических документов (в том числе с учетом информационного письма ФСБ России от 21.06.2016 «О нормативно-методических документах, действующих в области обеспечения безопасности персональных данных»):

• федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ №152);
• приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (далее – приказ ФСБ № 378);
• приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» (далее – Положение ПКЗ-2005);
• «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 года № 152 (далее – приказ ФАПСИ №152);
• «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2015).

В подготовке к самой проверке ФСБ особого смысла нет. Построение комплексной системы защиты персональных данных – процесс, требующий времени и определенных компетенций. Наличие документов (например: приказов, инструкций, журналов) необходимо, но для проверки этого недостаточно. Необходимо осуществлять ведение журналов и систематически проводить проверки по исполнению положений локально-нормативных актов, регламентирующих эксплуатацию СКЗИ. В случае отсутствия таких процедур подготовка к проверке приведет к пустой трате времени, а проверяющие все равно выявят все ошибки эксплуатации СКЗИ, способных впоследствии привести к утере, несанкционированному доступу, уничтожению и блокированию ПДн.

Федеральная служба безопасности проверяет условия обработки и защиты персональных данных с использованием средств криптографической защиты информации. Более детальная информация приведена в таблице 2.

Таблица 2 – Соответствие требований и перечня предоставляемых документов

Перечень предоставляемых документов

Организация системы организационных мер защиты персональных данных.

• о назначении ответственного пользователя СКЗИ;
• о перечне лиц, допущенных к работе с СКЗИ;
• об утверждении инструкций;
• иные.

• модель нарушителя ИСПДн, содержащая возможности нарушителей в соответствии с приказом ФСБ №378.

Смысл данного приказа заключается в обосновании выбора класса СКЗИ.

Организация системы криптографических мер защиты информации.

• Модель угроз на каждую ИСПДн.
• Документы по поставке СКЗИ оператору.

Разрешительная и эксплуатационная документация на СКЗИ.

• Лицензии на СКЗИ.
• Сертификаты соответствия на СКЗИ.
• Формуляры на СКЗИ.

Следует предоставлять в печатном виде.

Требования к обслуживающему персоналу (требование к лицам, допущенным к работе).

• Утвержденный список лиц, допущенных к работе с СКЗИ.
• Документы, подтверждающие функциональные обязанности сотрудников.
• Журнал учета пользователей криптосредств.
• Документы, подтверждающие прохождение обучения сотрудников.

• ответственного за эксплуатацию средств криптографической защиты информации;
• по обращению со средствами криптографической защиты информации;
• пользователя и администратора СКЗИ.

• ввода СКЗИ в эксплуатацию;
• приема-передачи средств криптографической защиты;
• установления уровня защищенности ПДн, обрабатываемых в информационных системах персональных данных.

В процессе изучения актов проверяющими будут интервьюироваться сотрудники, работающие с данными информационными системами. Тут уже важно то, насколько уместно и корректно они будут отвечать на задаваемые им вопросы.

• установки средств защиты информации на все рабочие станции.

Следует опечатать рабочие станции

• поэкземплярного учета СКЗИ;
• учета и выдачи носителей с ключевой информацией.

Оценка соответствия применяемых СКЗИ

• Средства СКЗИ.
• Программное обеспечение СКЗИ (дистрибутив).

• Эксплуатационная документация на СКЗИ.
• Помещения, выделенные для установки СКЗИ и хранения ключевых документов к ним.
• Инструкции, регламентирующие правила и процедуры доступа в помещения, выделенные для установки СКЗИ и хранения ключевых документов к ним.
• Инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ.

Необходимо иметь сигнализацию и сейфы во всех помещениях, где установлены средства криптографической защиты.

Перечисленные требования и перечень предоставляемых документов составлены на основании «Типового регламента проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утв. Руководством 8 Центра ФСБ России 08 августа 2009 года № 149/7/2/6-1173.

С целью прохождения проверки ФСБ оператор при эксплуатации СКЗИ в обязательном порядке должен:

1. Обеспечивать контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, согласно эксплуатационной документации производителя.
2. Обеспечивать контроль за актуальностью сертификата соответствия ФСБ России и лицензии на применяемое СКЗИ.
3. Издавать локально-нормативные акты, регламентирующие порядок, правила обращения и обслуживания СКЗИ.
4. Обеспечивать физическую защиту средств вычислительной техники, содержащих СКЗИ или их компоненты, аппаратных СКЗИ и ключевых носителей информации.
5. Ограничивать физический и логический доступ к СКЗИ и ключевым носителям информации.
6. Обеспечивать контроль соответствия положений организационно-распорядительной документации реальным условиям эксплуатации СКЗИ и информационной системы персональных данных в целом.
7. Обеспечивать контроль работоспособности и правильности функционирования СКЗИ.

Мероприятия для обеспечения безопасности ПДн

Мероприятия, необходимые для обеспечения безопасности персональных данных, должны быть реализованы с учетом особенностей инфраструктуры информационной системы персональных данных, актуальных угроз безопасности персональным данным и в соответствии с требованиями нормативно-правовых документов, упомянутых выше. Мы бы рекомендовали провести полное обследование всей информационной инфраструктуры, оттолкнувшись от которого можно грамотно построить план по защите персональных данных организации. Далее сделать акцент на подготовке документов именно к проверке ФСБ, а также провести необходимые работы по монтажу, установке и настройке средств защиты информации. Стоит отметить, что монтаж и установку СКЗИ может производить исключительно организация, осуществляющая работы по лицензируемым видам деятельности согласно Постановлению Правительства Российской Федерации от 16 апреля 2012 г. № 313 «Об утверждении положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».

При нарушении требований по обеспечению персональных данных, предусмотренных нормативно-правовыми актами, предусмотрена административная ответственность. Для физического лица, как правило, в среднем предусмотрены штрафы около тысячи — двух тысяч рублей, для юридического лица – от двадцати тысяч рублей. При невыполнении множества требований нормативно-правовых актов другими регуляторами, например, Роскомнадзором, могут накладываться более серьезные штрафы, суммы которых в совокупности могут привести к значительным финансовым потерям.

Образец заполнения акта установки и ввода в эксплуатацию СКЗИ требования и основание

Электронной цифровой подписью называют средство защиты, которое подтверждает подлинность содержания документа. При этом используется специальное программное обеспечение, установкой которого занимаются сотрудники Удостоверяющего центра – учреждения, созданного для выдачи ЭЦП.

Регламентация

Применение электронной цифровой подписи в РФ регламентируется следующей нормативной документацией:

• ФЗ об ЭЦП № 63, вышедший в апреле 2011 года – основной документ, определяющий условия использования данного средства защиты;
• Приказом ФСБ РФ № 795, изданным в декабре 2011 года – утверждает требования к сертификатам ключей, удостоверяющих подлинность ЭЦП;
• Приказом ФСБ РФ № 796, действующим с той же даты, что и предыдущий документ из указанных – определяет условия применения ЭЦП, регламент работы удостоверяющих центров;
• Приказом ФСБ РФ № 149/6/6-622, принятым в феврале 2008 года и определяющим регламент организационных мероприятий по защите данных в средствах криптографической защиты.

Перечисленная регламентная документация вышла примерно в одно время, создав нормативную базу использования электронных цифровых подписей.

Как выглядит

Цифровую подпись невозможно увидеть физически. Она представляет собой файл, ограничивающий внесение исправлений и открытие документа. ЭЦП применяют на следующих носителях:

• токенах – напоминает обычную флешку, но предусматривает дополнительную защиту записанной информации и ввод пароля для входа;
• смарт-картах – напоминает стандартный банковский пластик;
• флешках – устройство с картой памяти, подключаемое к компьютеру через разъем USB;
• сим-картах – элемент активации номера телефона в сотовой сети с установленным специальным приложением.

Программу с ЭЦП устанавливают на компьютер для удостоверения подлинности документов сертификатом ключа.

Электронные цифровые подписи делят на виды с учетом степени обеспечиваемой защиты, определяющей условия применения.

Простая

Простую цифровую подпись создает информационная система, в которой применяется данное средство защиты. Это пароль, который необходимо ввести для входа на ресурс. Простейшие примеры такой ЭЦП – код для открытия аккаунта электронной почты или ПИН для операций с банковской картой.

Ввод подтверждения известен владельцу или ограниченному кругу лиц, что удостоверяет возможность доступа к ресурсу. Простую ЭЦП не применяют для документов, заверяемых печатями организаций или учреждений, использующих информацию, относящуюся к государственной тайне.

Усиленная неквалифицированная

Усиленной неквалифицированной называют электронную подпись, созданную специальными программными средствами путем криптографического кодирования информации. При получении такой ЭЦП предусмотрена выдача удостоверяющим центром сертификата подписи, закрытого и открытого ключей по предъявлению получателем следующих подтверждений:

• гражданского паспорта;
• учредительной документации (для организаций);
• доверенности – если за подписью обращается полномочный представитель владельца.

Сертификат включает данные, подтверждающие соответствие всех компонентов подписи, принадлежности их владельцу.

Файл закрытого ключа помещают на съемный носитель, доступ к которому защищен ПИН-кодом, или направляют на компьютер собственника. Этот компонент необходим для генерирования подписей, защищающих документ.

Отрытым ключом получатель подписанной документации может проверить действительность электронной подписи.

Усиленная неквалифицированная ЭЦП заменяет традиционную печать на бумажном документе. Этим криптографическим защитным средством подписывают документацию, направляемую контрагентам по электронной почте, подтверждают действия на тендерах при проведении закупочных операций.

Усиленная квалифицированная

Усиленная квалифицированная подпись – наиболее защищенная разновидность ЭЦП, выдачей которых занимаются аккредитованные удостоверяющие центры. От получателя требуется предоставление:

• гражданского паспорта и СНИЛС (гражданам);
• учредительной документации, заверенной выписки из реестра юридических лиц или предпринимателей (организациям и ИП);
• доверенности (доверенным лицам).

Компоненты усиленной КЭП аналогичны неквалифицированной подписи, но характеризуются применением более сложных криптографических алгоритмов.

Этот вид ЭЦП применяют для подтверждения подлинности:

• отчетной документации, направляемой в налоговую службу и прочие инстанции;
• запросов, подаваемых в государственные информационные системы;
• документов поставщиков и заказчиков в торгах, проводимых удаленно, прочей ответственной документации.

Программа генерирует цифровую комбинацию, не поддающуюся запоминанию, которую невозможно воспроизвести с целью подделки.

Необходимость применения

Цифровые подписи используют для удостоверения подлинности в следующих ситуациях:

• для защиты внутреннего и внешнего электронного документооборота;
• подтверждения действий участника электронных тендерных торгов;
• чтобы получить право доступа к информационной системе, в других целях.

Условия применения ЭЦП зависят от вида подписи, определяющего степень обеспечиваемой защиты.

Один из важных компонентов, непосредственно связанных с применением электронной цифровой подписи – СКЗИ.

Что это

СКЗИ (средство криптографической защиты информации) называют программу или службу, обеспечивающую функционирование электронной подписи. Этот компонент может быть программным продуктом, непосредственно хранящимся на ПК или встроенным в съемный носитель.

Назначение

СКЗИ применяют для выполнения следующих задач:

• шифрования документации;
• раскодирования полученных сообщений, переданных контрагентами или представителями государственных органов;
• проверки подлинности сертификатов безопасности при пересылке электронной документации.

Применение СКЗИ требует лицензии, установки дополнительного программного обеспечения.

Какие бывают

Применяют несколько видов СКЗИ, отличающихся используемыми в работе алгоритмами.

КриптоПро CSP

Этот продукт применяют в следующих целях:

• формирования и проверки ЭЦП;
• исключения доступа посторонних к конфиденциальной информации;
• надежной защиты электронных протоколов соединения;
• недопущения вмешательства в работу программного обеспечения.

Ключи Крипто Про хранятся на облачном сервисе, что облегчает их применение для любых приложений.

VipNet CSP

Позволяет пересылать защищенную информацию от граждан и юридических лиц за пределы ТАОС. Это средство нотификации официально зарегистрировано в ФСБ РФ и рассчитано на работу с большинством современных операционных систем.

Signal-COM CSP

Разновидность программного продукта, обеспечивающая быстрый переход от локальных криптографических средств к облачным, исключая внесение изменений в информационные системы. Инсталляция требует применения отдельной программы.

Может использоваться для защиты данных организациями и частными лицами.

LISSI-CSP

Средство электронной защиты от одноименной компании, рассчитанное на использование для обеспечения следующих условий:

• аудита корпоративных ресурсов;
• анализа безопасности информационных сетей;
• защиты электронной документации и пр.

Позволяет аутентифицировать отправителя, подтвердить подлинность информации.

Критерии выбора

Пользователю важно учитывать, что на одном ПК нельзя установить одновременно две и более СКЗИ. Программный продукт не будет работать в таких условиях. Если на предприятии применяют КриптоПро CSP для удостоверения отчетных документов, а VipNet CSP для работы с банковским сервисом, эти средства размещают на разных машинах.

Также нужно учитывать регламенты, установленные государственными органами и контрагентами, возможности разных видов СКЗИ. К примеру, LISSI-CSP, Signal-COM CSP, встроенная система на JaCarta не поддерживают режим раскодирования СВС, поэтому такие средства защиты нельзя использовать для отправки некоторой отчетной документации.

Для подтверждения подлинности форм, направляемых ПФР РФ в Фонд социального страхования, структуры МВД или Росприроднадзор, прочие ведомства, применяют КриптоПро CSP, VipNet CSP или Рутокен ЭЦП 2.0.

В оборонном ведомстве применяют специализированную систему АСТ ГОЗ. Для защиты локальных сетей можно использовать технологическую платформу АПКШ «Континент».

Установка средства электронной подписи

Чтобы стать обладателем ЭЦП, нужно получить данные средства защиты электронной документации, установить соответствующее программное обеспечение.

Где получить

Место выдачи ЭЦП зависит от вида электронной подписи. Простую разновидность выдает система, для которой применяют данное средство защиты. Пароль входа на электронную почту пользователь формирует сам, используя возможности сайта. ПИН-код банковской карты выдает в распечатанном виде получателю финансовая организация.

Квалифицированные электронные подписи можно получить в удостоверяющем центре. Так называют организации, обладающие соответствующей лицензией и получившие разрешение государственных органов на выдачу криптографических средств защиты.

Цены на ЭЦП с учетом вида подписи приведены в таблице.

Вид ЭЦП

Цена, рублей в год

Чаще всего бесплатно в зависимости от условий сервиса

Базовая для граждан

Для работы с государственными органами

Для ведения бизнеса

Для участия в торгах

Оформление лицензии на программное обеспечение

Точные расценки зависят от тарифов удостоверяющего центра.

Порядок получения ЭЦП и сертификата ключа ее проверки

ЭЦП выдают в таком порядке:

1. клиент заключает договор с удостоверяющим центром;
2. подписанные соглашения регистрируют в подразделении Федерального казначейства региона;
3. получатель передает заявление в УЦ о выдаче ЭЦП, сопровождая его документацией, удостоверяющей личность или подтверждающей регистрацию компании; предоставляют носитель для размещения данных;
4. сотрудник УЦ устанавливает программное обеспечение на рабочем месте пользователя;
5. заявителю предоставляют доступ к системе удаленного финансового документооборота, для подтверждения чего направляют письмо в региональный регистрационный центр;
6. формируют электронный ключ непосредственно на рабочем месте получателя или на компьютере, принадлежащем Федеральному казначейству.

ЭЦП устанавливают на машину пользователя. Порядок действий сотрудника УЦ зависит от вида пользователя. Но общий порядок такой:

1. загружают программу для установки электронной подписи на носитель пользователя;
2. устанавливают сертификат электронного ключа;
3. если этого требуют условия инсталляции, данные прописывают в регистре машины.

Оказание услуг удостоверяющим центром подтверждают составленным актом предоставления средств криптографической защиты.

Документы, необходимые для получения сертификата

Чтобы получить ЭЦП, от граждан в статусе ИП требуется предоставление:

• гражданского паспорта или другого документа, удостоверяющего личность;
• СНИЛС;
• подтверждения регистрации в налоговой службе.

Юридическое лицо удостоверяет правомерность получения электронной подписи следующей документацией:

• паспортом и СНИЛС руководителя, представляющего интересы организации;
• учредительными документами компании;
• выписками из государственных реестров.

Подписи получают руководители организаций. Работникам, подписывающим от компании отчетную и прочую документацию, нужно оформить в УЦ ЭЦП для физических лиц. Если вместо заявителя обращается представитель, его полномочия подтверждают электронной доверенностью, оформленной руководителем организации.

Как устанавливается

Электронную подпись устанавливают со съемного носителя. Для инсталляции используют специализированное программное обеспечение с учетом вида ЭЦП. При установке СКЗИ на рабочий компьютер пользователя в организации нужно войти в систему от имени администратора.

Подключают носитель, запускают программу. Последовательно проходят предусмотренные сервисом окна, внося требуемые данные. По завершении установки система вносит необходимые изменения в регистр для сохранения сведений о сертификате ключа.

Акт установки средства криптографической защиты

Акт установки средства криптографической защиты выдает исполнитель, устанавливающий и настраивающий программное обеспечение, необходимое для применения ЭЦП.

В роли установщика может выступать представитель УЦ, предоставившего программу.

Основные требования

Форма акта, подтверждающего установку и ввод СКЗИ в эксплуатацию, приведена в приложении 22 к Регламенту УЦ Федерального казначейства, утвержденного приказом № 279 данного ведомства в декабре 2013 года. Этот норматив используют в качестве образца при составлении шаблона документа.

Состав

Документ состоит из «шапки», основной части и заключения. Как нужно заполнять эти разделы – рассмотрено ниже.

Шапка

В правом верхнем углу размещено утверждение документа руководителем компании, владеющей подписью. Указывают должность ответственного лица, его фамилию и инициалы. Предусмотрено место для подписи руководителя. Ниже отмечена дата утверждения документа.

Основная часть

После названия документа, написанного посередине ниже «шапки», предусмотрено внесение следующих данных:

• номера документа;
• даты и места оказания услуг;
• организации, устанавливающей СКЗИ;
• наименования средства криптографической защиты;
• серийного номера компьютера, адреса расположения машины;
• ФИО пользователя;
• сведений о системном администраторе организации-заказчика;
• регистрационного номера ЭП;
• реквизитов лицензии установщика;
• условий применения цифровой подписи.

В конце перечисляют обязанности пользователя по обеспечению необходимой конфиденциальности и соблюдению правил использования ЭЦП.

Заключение

В завершение отмечают количество экземпляров данного акта. Документ подписывают представитель УЦ, устанавливающий программное обеспечение, и системный администратор заказчика, ставят печать организации на подпись руководителя.

Количество экземпляров

Акт ввода СКЗИ в эксплуатацию (установки средств защиты) оформляют в двух экземплярах – по одному для заказчика и исполнителя.

Образец заполнения

Образец акта установки СКЗИ можно найти здесь.

Хранение

Акты по установке и вводу в эксплуатацию СКЗИ хранят на предприятии в соответствии с условиями ведения документооборота, установленного в организации. Срок хранения – в течение действия сертификатов ключей.

Применение криптографических средств защиты информации – надежный способ подтвердить подлинность электронных документов. Главное – соблюдать требования по использованию СКЗИ и ЭЦП, регламентированные действующим законодательством.

В современных условиях важные документы не всегда используют в традиционном, бумажном виде, отправляя их, например, по электронной почте. Для защиты документации применяют разные средства.

В предлагаемом материале рассматривается акт установки СКЗИ с учетом содержания и порядка составления данного документа, прочие вопросы, связанные с использованием криптографических защитных средств.

Шаблоны документов для работы с СКЗИ

Комплект документов по СКЗИ предназначен для компаний, обладающих конфиденциальной информацией, которые приняли решение о необходимости криптографической защиты такой информации.

Все шаблоны

Акт уничтожения СКЗИ

Форма журналов

Приказ

о назначении администратора ИБ

Приказ

о порядке хранения и эксплуатации СКЗИ

Положение

о допуске к СКЗИ

Необходимость таких документов установлена:

Инструкцией, являющейся приложением к приказу ФАПСИ РФ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;

Приказом ФСБ РФ от от 09.02.2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».

Почерпнуть полезную информацию по учету можно в приказе ФАС РФ от 16.07.2020 № 658/20. В компании может быть один или несколько журналов СКЗИ. Все зависит от ее организационно-штатной структуры и того, в каких статусах по отношению к средствам криптографической защиты информации она выступает.

Некоторые специалисты высказывают мнение о том, что приказ ФАПСИ № 152 неактуален в настоящее время, объясняя это тем, что документ издан более 20 лет назад и не соответствует современным реалиям, а также тем, что ФАПСИ упразднено. Но это неверно. В 2016 году ФСБ в информационном письме подтвердила актуальность приказа и утвержденной им инструкции.

Обеспечиваем кибербезопасность по подписке

на подключение сервиса – и можно его использовать

сервисов и решений подключаются без вмешательства в инфраструктуру

сервисов основаны на клиентском опыте

в среднем ниже вложения в сравнении с интеграцией on-premise продуктов

нподготовки экспертов по кибербезопасности

в рамках договорных обязательств, соответствие строгим SLA

Получить консультацию эксперта

Для получения бесплатной консультации, подбора нужного решения и расчета стоимости заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.