Документация по СКЗИ: журналы учета, правила ее оформления и эксплуатации

Для обеспечения конфиденциальности информационных ресурсов ограниченного доступа многие организации используют средства криптографической защиты (СКЗИ) — инструменты для шифрования и расшифрования. Они позволяют предотвратить несогласованное использование чувствительных сведений, которые передаются по открытым каналам связи или просто хранятся на различных устройствах.

Чтобы надлежащим образом обеспечивать безопасность данных и соответствовать требованиям регуляторов, необходимо заполнять документацию по используемым СКЗИ. Этот нюанс оговорен в приказе ФАПСИ № 152 от 13.06.2001. Рассказываем, как правильно вести учет и как избежать типичных ошибок в «бумажной» работе.

Правила эксплуатации и учета СКЗИ, основная эксплуатационно-техническая документация

Начнем с того, кто обязан вести учет и контролировать обращение со средствами защиты данных. Работу с СКЗИ организовывает орган криптографической защиты (ОКЗ). Им могут являться: отдельное подразделение внутри компании, конкретные сотрудники, сервис-провайдеры или другие внешние подрядчики. Если работу со средствами криптографической защиты будет регулировать сама компания, то следует выпустить приказ о создании ОКЗ, в котором обозначается структура органа и перечисляются обязанности ответственных лиц. Для всех введенных должностей следует создать отдельные должностные инструкции с описанием порядка применения СКЗИ.

Отдельные журналы должны вести и обладатели конфиденциальной информации, то есть сами компании, если органом криптографической защиты для них является внешний подрядчик. Если ОКЗ — отдел внутри организации, то это подразделение ведет как журнал учета СКЗИ, так и журнал для обладателя конфиденциальной информации.

Также следовать приказу ФАПСИ № 152 и вести эксплуатационно-техническую документацию СКЗИ обязаны лицензиаты ФСБ России. Это организации, которые разрабатывают, внедряют, настраивают и обслуживают средства криптографической защиты.

Перейдем к основной документации по СКЗИ, которую обязаны вести все перечисленные организации и подразделения. К ней относятся:

Приказ о создании ОКЗ.
Положение о допуске к СКЗИ.
Должностные инструкции для персонала.
Утвержденные приказом формы журналов учета СКЗИ.
Шаблоны заявлений и акты.
Правила эксплуатации СКЗИ.

Готовые шаблоны основной документации по СКЗИ можно скачать тут. При возникновении сложностей закажите консультацию экспертов Solar MSS. Специалисты расскажут, как корректно вести учет инструментов криптографической защиты с опорой на законодательство и специфику компании.

Правила ведения журнала учета СКЗИ и ключевой документации

Организации должны вести два типа журналов:

Журнал поэкземплярного учета СКЗИ. В него должны быть включены сведения обо всех используемых организацией СКЗИ и ключах электронных подписей сотрудников, то есть в документе должно быть отражено каждое применяемое компанией решение. Также в журнале учета СКЗИ обязательно фиксируется движение этих инструментов: установка, формирование, выдача, передача, ликвидация и др. Эти данные должны отражаться как в документах ОКЗ, так и в журналах обладателей конфиденциальной информации.
Аппаратный (технический журнал). Он нужен для учета аппаратных средств криптозащиты, например, серверов, где установлены ключи электронных подписей. В такой документации по СКЗИ присутствуют серийные номера используемых средств защиты, записи по обслуживанию, типы и серийные номера ключевых документов, номера всех экземпляров, номера ключевых носителей, отметки о ликвидации инструментов и другие сведения.

Также компании должны вести перечень ключевой документации (документов, содержащих ключевую информацию — совокупность криптоключей для шифрования и расшифрования чувствительных данных). В такой документации по СКЗИ указывается ключевая информация, используемые носители и ФИО лиц, ответственных за сохранность ключевой информации. Перечень ключевых документов упростит процесс перевыпуска ключевой информации в случае увольнения сотрудников, компрометации ключей и при инвентаризации носителей.

Типичные ошибки при работе с эксплуатационно-технической документацией по СКЗИ, как их избежать

Какие недочеты, связанные с документацией, чаще всего встречаются в организациях:

Отсутствие некоторых документов, которые по регламенту должны обязательно быть. Чтобы избежать этой ошибки, необходимо перед внедрением СКЗИ уточнить, какая эксплуатационная документация нужна и заранее подготовить ее.
Неправильное оформление журналов учета СКЗИ, например, несоблюдение формы ведения документации, несвоевременное внесение информации и др. Чтобы вести СКЗИ документацию строго по регламенту, можно использовать готовые шаблоны журналов и актов для ОКЗ, лицензиатов ФСБ России, обладателей конфиденциальной информации.
Отсутствие актов об уничтожении неиспользуемых средств криптографической защиты, что затрудняет учет СКЗИ и повышает риски компрометации ключевой информации. Обязательно нужно составлять соответствующие акты, в которых указываются уничтожаемые решения и способы ликвидации. Например, программные средства сначала стирают с носителей ключевой информации, после чего осуществляют деинсталляцию программного обеспечения. Аппаратные СКЗИ физически уничтожают либо удаляют с них ключевую информацию.
Нарушение правил хранения документации по СКЗИ. Журналы, акты, эксплуатационная, техническая, ключевая документация на электронных или бумажных носителях должны храниться в специальных охраняемых помещениях, доступ в которые предоставляется только сотрудникам ОКЗ.

Как ГК «Солар» поможет упростить учет СКЗИ: возьмем на себя ведение документации по использованию средств криптографической защиты информации

Предлагаем построить криптозащиту путем подключения сервиса ГОСТ VPN, предназначенного для шифрования каналов связи и защиты чувствительных информационных активов, передаваемых по этим каналам связи. Решение работает на базе российских криптоалгоритмов и на высоком уровне обеспечивает целостность и конфиденциальность информации.

Преимущества сервисной модели использования криптографической защиты:

Операционные затраты вместо капитальных. Клиенту не нужно покупать оборудование и нанимать в штат специалистов для обслуживания решений — все расходы будут на стороне сервис-провайдера.
Отсутствие необходимости вести эксплуатационную и техническую документацию по СКЗИ и учет средств защиты. Этим займутся опытные эксперты ГК «Солар», осведомленные обо всех нюансах законодательства.
Соответствие законодательству и отраслевым регламентам. Сервис ГОСТ VPN функционирует на базе оборудования, сертифицированного ФСБ России.

Сервис ГОСТ VPN подключается по подписке в рамках комплексной услуги по обеспечению криптозащиты. Тариф будет зависеть от сферы деятельности компании, технического задания и необходимого уровня криптографической защиты.

ЗАКЛЮЧЕНИЕ

Ведение эксплуатационной и технической документации по СКЗИ — это не формальность, а необходимость. Такая мера позволяет обеспечить контроль применения средств криптографической защиты информации и соблюсти регламенты отраслевых регуляторов. Чтобы избежать лишней бумажной работы и высвободить ресурсы штатных специалистов, можно доверить учет СКЗИ надежному провайдеру, такому, как «Солар». Подключите подписку на сервис криптозащиты ГОСТ VPN. Услуга включает установку и настройку необходимого оборудования, мониторинг в режиме 24/7, регулярные проверки системы, контроль хранения СКЗИ, ведение документации. Чтобы больше узнать о сервисе и тарифах, оставьте заявку на консультацию.