Вопрос №291 от 24.04.2013

Вопрос: Добрый день! Скажите пожалуйста, какие документы должны быть разработаны в организации, если используются программные СКЗИ, в том числе VipNet. Какие документы нужно оформить? Чем регламентируется обязательное опломбирование (опечатывание) системных блоков? (Аноним)

Ответ: Добрый день!

Ответ на Ваш вопрос зависит от того, какиую информацию Вы защищаете средствами криптографической защиты информации.

Если речь идет о защите государственной тайны, то Вам необходимо рукводствоваться Приказом ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну".

К сожалению, в данном документе нет конкретно структурированного перечня необходимых организации документов. Но тем не менее, эта информация там присутствует.

Так, например, в п.7 указано следующее:

"7. Орган криптографической защиты осуществляет:

проверку готовности обладателей конфиденциальной информации к самостоятельному использованию СКЗИ и составление заключений о возможности эксплуатации СКЗИ (с указанием типа и номеров используемых СКЗИ, номеров аппаратных, программных и аппаратно-программных средств, где установлены или к которым подключены СКЗИ, с указанием также номеров печатей (пломбиров), которыми опечатаны (опломбированы) технические средства, включая СКЗИ, и результатов проверки функционирования СКЗИ) (здесь имеется ввиду Приказ о вводе СКЗИ в эксплуатацию, а так же Заключение о готовности СКЗИ к эксплуатации);
разработку мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, а также в соответствии с эксплуатационной и технической документацией к этим средствам (в данному подпунке говорится о Регламенте реагирования в лучае компрометации закрытого ключа шифрования);
обучение лиц, использующих СКЗИ, правилам работы с ними (Инструкция пользователя СКЗИ);
поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним (в данном подпункте говорится о журнале учета);
учет обслуживаемых обладателей конфиденциальной информации, а также физических лиц, непосредственно допущенных к работе с СКЗИ (список лиц допущенных к работе с СКЗИ);
подачу заявок в ФАПСИ или лицензиату, имеющему лицензию ФАПСИ на деятельность по изготовлению ключевых документов для СКЗИ, на изготовление ключевых документов или исходной ключевой информации. Изготовление из исходной ключевой информации ключевых документов, их распределение, рассылку и учет (Журнал учета изготовленных носителей с ключевой информацией);
контроль за соблюдением условий использования СКЗИ, установленных эксплуатационной и технической документацией к СКЗИ, сертификатом ФАПСИ и настоящей Инструкцией;
расследование и составление заключений по фактам нарушения условий использования СКЗИ, которые могут привести к снижению уровня защиты конфиденциальной информации;
разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
разработку схемы организации криптографической защиты конфиденциальной информации (с указанием наименования и размещения нижестоящих органов криптографической защиты, если таковые имеются, обладателей конфиденциальной информации, реквизитов договоров на оказание услуг по криптографической защите конфиденциальной информации, а также с указанием типов применяемых СКЗИ и ключевых документов к ним, видов защищаемой информации, используемых совместно с СКЗИ технических средств связи, прикладного и общесистемного программного обеспечения и средств вычислительной техники). Указанную схему утверждает лицензиат ФАПСИ."

Если речь идет о защите персональных данных средствами СКЗИ, Вам необходимо руководствоваться "Типовыми требованиями по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСБ РФ 21 февраля 2008 г. N 149/6/6-622), п.2.3. И "Методическими рекомендацииями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" (утв. ФСБ РФ 21 февраля 2008 г. N 149/54-144), п.2.3. О последнем добавлю, что требования в части наличия документов похожи с тем, что написано в п.7 "Приказа ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну".

Касательно обязательного опломбирования. В п.3.9 "Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных" говорится:

"Аппаратные средства, с которыми осуществляется штатное функционирование криптосредств, а также аппаратные и аппаратно-программные криптосредства должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) криптосредств, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать. При наличии технической возможности на время отсутствия пользователей криптосредств указанные средства необходимо отключать от линии связи и убирать в опечатываемые хранилища."