Понятие журналов учета ключей электронной подписи
Журналом учета ключей электронной (цифровой) подписи (далее – ЭП, ЭЦП) или средств криптографический защиты (далее – СКЗИ) называют документ, который позволяет отслеживать использование ЭЦП и СКЗИ внутри организации.
Такие журналы содержат информацию о том, кто и в какое время получал ключи электронных подписей, кто сдал их назад в случае перехода сотрудника на другую должность или же в случае его увольнения, было ли совершено уничтожение средства, а также позволяют определить, какие работники были ознакомлены с порядком работы со средствами криптографической защиты.
Кому необходимо вести журналы учета ключей электронной подписи?
Ведение журналов учета ЭЦП обязательно для следующих организаций:
- Лицензиаты Федеральной службы безопасности (далее – ФСБ) – различные субъекты, деятельность которых направлена на оказание платных услуг, связанных с использованием СКЗИ. К числу таковых относятся разработка, распространение, установка программного обеспечения, средств СКЗИ и другое. Для того, чтобы быть лицензиатом ФСБ, необходимо выполнить все требования, предусмотренные законом, к документации, а также ее ведению и соблюдению. Помимо этого, требуется создать орган криптографической защиты, который следит за соблюдением организацией Инструкции о безопасности хранения, обработки и передачи информации с использованием криптографических средств, принятой в соответствии с приказом Федерального агентства правительственной связи и информации (далее – ФАПСИ) № 152 от 13.06.2001 г. Несмотря на то, что приказ был принят более 20 лет назад, а агентство распущено еще в 2003 году, документ является действующим, что неоднократно подтверждалось ФСБ РФ;
- Иные организации, которые не являются лицензиатами ФСБ, но использующие ЭЦП в документообороте или СКЗИ для защиты конфиденциальной информации в случае необходимости защиты таковой по закону. Если законом не установлен обязательный характер защиты определенной информации, то правила инструкции из приказа ФАПСИ лишь рекомендуется учитывать.
Журналы учета СКЗИ и ЭЦП
В Инструкции о безопасности хранения, обработки и передачи информации с использованием криптографических средств обозначены формы определенных видов журналов учета СКЗИ и ЭЦП и представлены в приложениях документа.
Первым является журнал поэкземплярного учета средств криптографической защиты информации. Чтобы его заполнить, необходимо внести сведения о выданных ЭЦП сотрудникам: какие средства используются, кто их получил, когда и в каком месте, когда начато было использование и завершено, когда уничтожены и другая необходимая информация.
В зависимости от того, кто ведет журнал учета, приказ ФАПСИ №152 разделяет формы типовых документов.
1. Форма журнала поэкземплярного учета для органа криптографической защиты, т.е. для лицензиатов ФCБ
2. Форма журнала поэкземплярного учета для обладателей конфиденциальной информации
Вторым необходимым журналом является технический или аппаратный журнал. С его помощью можно отслеживать операции по работе с СКЗИ, которые установлены на серверах.
В него вносится информация о том, с помощью какого СКЗИ и какая проводится операция, когда и какие используются криптоключи, когда и кем была уничтожена подпись и так далее.
Приказ ФАПСИ №152 устанавливает форму технического или аппаратного журнала:
Регламент использования и хранения ключей СКЗИ и ЭЦП
Компаниям необходимо не только подготовить журналы учета ЭП и СКЗИ, но еще и регламент действий, которые позволят держать информацию конфиденциальной. Различными нормативно-правовыми актами не предусмотрена для таких документов специальная форма, поэтому организации могут самостоятельно сформулировать удобный для себя регламент, проанализировав инструкцию из Приказа.
Создание регламента должно учитывать общие требования, которые должны быть обязательно отражены в документах:
- Установление правил надзора за соблюдением требований регламента в компании;
- Определение сотрудников, которые будут заниматься заполнением журналов, вести учет СКЗИ и ЭЦП;
- Формирование правил обучения работе с СКЗИ и ЭЦП, а также определения допуска к работе с таковыми средствами;
- Контроль за правильностью использования СКЗИ и ЭП;
- Правила установки и настройки СКЗИ;
- Порядок действий в случае неправомерного использования ключей и СКЗИ, а также в ситуациях их потери.
Ответственность за несоблюдение требований инструкций и ведения журналов учета
Организации, которые работают с СКЗИ, должны соблюдать требования по регламенту, а также правильно заполнять журналы. Все мероприятия осуществляются с учетом Приказа ФАПСИ №152.
ФСБ России как ведомство, контролирующее исполнение норм в сфере использования конфиденциальных данных с использованием СКЗИ, проводит проверки (плановые/внеплановые) для того, чтобы отследить, применяют ли компании в своей деятельности сформированные документы, правильно ли они делают, как используют средства защиты.
В случае несоблюдения требований нормативов, а также нахождения иных недостатков при проверке, организация несет ответственность в соответствии со статьей 13.12 КоАП РФ.
Предусмотренными санкциями являются:
- Штрафы для физических лиц. В указанной статье суммы варьируются от 500 до 2500 рублей. Штраф может быть как с конфискацией несертифицированных средств защиты информации, так и без таковой;
- Штрафы для индивидуальных предпринимателей. В указанной статье суммы варьируются от 2000 до 3000 рублей. Также предусмотрена санкция в виде административного приостановления деятельности на срок до 90 суток;
- Штрафы для должностных лиц. В указанной статье суммы варьируются от 1000 до 4000 рублей;
- Штрафы для юридических лиц. В указанной статье суммы варьируются от 10000 до 30000 рублей. Штраф может быть как с конфискацией несертифицированных средств защиты информации, так и без таковой. Также предусмотрена санкция в виде административного приостановления деятельности на срок до 90 суток.
После проведения проверки организации от ФСБ будет предоставлено предписание об устранении выявленных недостатков, которое необходимо исполнить в обозначенный срок.
Чтобы избежать наложения штрафов и приостановления деятельности организации, необходимо соблюдать приказ ФАПСИ №152, принятый регламент, работать с сертифицированными СКЗИ.