Технический аппаратный журнал для чего
Перейти к содержимому

Технический аппаратный журнал для чего

  • автор:

ИБ03 Журнал технический (аппаратный)

Журнал технический (аппаратный) предназначен для фиксации операций по обращению и допуску к работе со средствами криптозащиты, установленными на серверном компьютерном оборудовании.

Форма журнала утверждена Приказом ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

Внутренний блок журнала

Журнал содержит следующие колонки:

  1. N п/п
  2. Дата
  3. Тип и серийные номера используемых СКЗИ
  4. Записи по обслуживанию СКЗИ
    Используемые криптоключи
  5. Тип ключевого документа
  6. Серийный криптографи-ческий номер и номер экземпляра ключевого документа
  7. Номер разового ключевого носителя или зоны СКЗИ, в которую введены криптоключи
    Отметка об уничтожении (стирании)
  8. Дата
  9. Подпись пользователя СКЗИ
  10. Примечание

Контрольная пломба

Согласно ГОСТ 31282-2004 контрольная пломба — уникальное индикаторное устройство одноразового применения, предназначенное для обнаружения факта несанкционированного доступа.

Контрольная пломба

Перед началом работы с Журналом необходимо заполнить титульный лист и заверительную надпись. Обязательно вписать номер пломбы в соответствующую строку, без этого Журнал не считается опломбированным.

Нормативные материалы:

  1. Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»

Полезная информация:

Статьи по информационной безопасности:

  • Журналы учета электронных подписей: как вести и хранить, СКБ Контур

Вебинары по информационной безопасности:

  • Жижерина Ю. Ю. «Персональные данные работников»
  • «Как организовать идеальный процесс защиты информации и научиться работать со СКЗИ»
  • Сорокин А. В. «Криптографические методы защиты информации»
  • «Организация работы с СКЗИ»
  • Выходцев А. С. «Персональные данные работника: минимизируем риски»

Какие требования предъявляются к журналам учета и как должен быть оформлен журнал в соответствии с этими требованиями, смотрите в нашем видеоролике.

Характеристики товара

  • Бренд: Кадры в порядке
  • Артикул: ИБ-03
  • Тип: журнал
  • Область применения: информационная безопасность
  • Комплект: N
  • Количество в упаковке: 1
  • Формат: А4
  • Количество листов: 32
  • Ориентация: вертикальная
  • Тип обложки: мягкая
  • Материал обложки: золотистый картон
  • Съёмная обложка: Есть
  • Количество страниц: 64
  • Нумерация страниц: да
  • Тип бумаги: офсетная
  • Плотность бумаги: 80 г/м2
  • Печать: цифровая
  • Рабочая поверхность листа: двусторонняя
  • Тип крепления: скрепки
  • Прошнурован: Да
  • Тип шнуровки: Лента
  • Опломбирован: Да
  • Тип пломбы: Номерная голографическая
  • Вес (грамм): 200
  • Длина (мм): 288
  • Ширина (мм): 210
  • Высота (мм): 6
  • Толщина (мм): 6
  • Цвет : золотистый
  • Соответствует требованиям (наименование документа): Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»
  • Страна изготовитель: Россия

Аппаратный журнал СКЗИ — Форум по вопросам информационной безопасности

Аппаратный журнал СКЗИ — Форум по вопросам информационной безопасности

Я понимаю тема заезженная и сто раз разжеванная, но блин не могу я понять в каком случае заводится технический (аппаратный) журнал, а в каких нет? Грубо говоря в 152 инструкции написано если в эксплуатационной документации не говориться его заводить то и не надо. Так ли это, или все же в каких то случаях надо?

И еще по поводу лицевого счета, в каких случаях он заводится

to Штрудень
Согласно п. 24 — 28, если у вас нет обязаловки по ЭД на СКЗИ + не используются «разовые ключевые носители» + ключи не хранятся в СКЗИ непосредственно = можете не заводить аппаратный журнал, а отделаться журналом экземплярного учета. Определяйтесь со всем этим и действуйте.
Лицевой счет — согласно п. 27 — заводится всегда специалистами ОКЗ и на каждого пользователя СКЗИ. Определяйтесь с ОКЗ (та еще задачка, ага) и действуйте.

Пример разового носителя: смарт-карта с записанной ключевкой (вряд ли ваш случай) или любой носитель с перезаписываемой памятью, для которого регламентом предусмотрена замена самого носителя в случае изменения ключевки.
Пример хранения ключа в СКЗИ непосредственно: DST-файл сети ViPNet в типовом случае, если не применяются отчуждаемые носители типа Rutoken, eToken и т.д.
Пример ключевого носителя многократного использования: любой отчуждаемый носитель с перезаписываемой памятью при условии, что ключевая информация на нем периодически меняется согласно регламенту (например, ежегодная перезапись криптоключей сотрудниками ОКЗ).

ИБ02 Журнал поэкземплярного учета СКЗИ (для обладателя конфиденциальной информации)

Журнал поэкземплярного учета СКЗИ (для обладателя конфиденциальной информации) предназначен для внесения сведений о ключах электронной цифровой подписи — кто получил носитель с ключом подписи, когда и где, даты уничтожения и другая информация.

Форма журнала утверждена Приказом ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

Внутренний блок журнала

Журнал содержит следующие колонки:

  1. № п/п
  2. Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
  3. Серийные номера СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
  4. Номера экземпляров (криптографические номера) ключевых документов Отметка о получении
  5. От кого получены
  6. Дата и номер сопроводительного письма
    Отметка о выдаче
  7. ФИО пользователя СКЗИ
  8. Дата и расписка в получении
    Отметка о получении (установке) СКЗИ
  9. ФИО сотрудников органа криптографической защиты, пользователя СКЗИ, произведших подключение (установку)
  10. Дата подключения (установки) и подписи лиц, произведших подключение (установку)
  11. Номера аппаратных средств, в которые установлены или к которым подключены СКЗИ
    Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов
  12. Дата изъятия (уничтожения)
  13. ФИО сотрудников органа криптографической защиты, пользователя СКЗИ, произведших изъятие (уничтожение)
  14. Номер акта или расписка об уничтожении
  15. Примечание

Контрольная пломба

Согласно ГОСТ 31282-2004 контрольная пломба — уникальное индикаторное устройство одноразового применения, предназначенное для обнаружения факта несанкционированного доступа.

Контрольная пломба

Перед началом работы с Журналом необходимо заполнить титульный лист и заверительную надпись. Обязательно вписать номер пломбы в соответствующую строку, без этого Журнал не считается опломбированным.

Нормативные материалы:

  1. Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»

Полезная информация:

Статьи по информационной безопасности:

  • Журналы учета электронных подписей: как вести и хранить, СКБ Контур

Вебинары по информационной безопасности:

  • Жижерина Ю. Ю. «Персональные данные работников»
  • «Как организовать идеальный процесс защиты информации и научиться работать со СКЗИ»
  • Сорокин А. В. «Криптографические методы защиты информации»
  • «Организация работы с СКЗИ»
  • Выходцев А. С. «Персональные данные работника: минимизируем риски»

Какие требования предъявляются к журналам учета и как должен быть оформлен журнал в соответствии с этими требованиями, смотрите в нашем видеоролике.

Характеристики товара

  • Бренд: Кадры в порядке
  • Артикул: ИБ-02
  • Тип: журнал
  • Область применения: информационная безопасность
  • Комплект: N
  • Количество в упаковке: 1
  • Формат: А4
  • Количество листов: 32
  • Ориентация: вертикальная
  • Тип обложки: мягкая
  • Материал обложки: золотистый картон
  • Съёмная обложка: Есть
  • Количество страниц: 64
  • Нумерация страниц: да
  • Тип бумаги: офсетная
  • Плотность бумаги: 80 г/м2
  • Печать: цифровая
  • Рабочая поверхность листа: двусторонняя
  • Тип крепления: скрепки
  • Прошнурован: Да
  • Тип шнуровки: Лента
  • Опломбирован: Да
  • Тип пломбы: Номерная голографическая
  • Вес (грамм): 200
  • Длина (мм): 288
  • Ширина (мм): 210
  • Высота (мм): 6
  • Толщина (мм): 6
  • Цвет : золотистый
  • Соответствует требованиям (наименование документа): Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»
  • Страна изготовитель: Россия

Журналы учета электронных подписей: как вести и хранить

Статья будет полезна, если в вашей организации есть хотя бы один ключ электронной подписи — тогда вам, скорее всего, нужно вести журналы учета ключей подписи. Кто обязан это делать и как, расскажем в статье.

Что такое журналы учета ключей ЭП

Журналы учета средств криптографической защиты информации (СКЗИ) или ключей электронной подписи (ЭП или ЭЦП) помогают следить за перемещением средств криптозащиты и ключей подписи в организации. В них отражается кто получил ключ подписи, сдал ли его при переходе на другую должность или увольнении, знаком ли сотрудник с правилами работы со средствами электронной подписи. Журналы нужны предприятиям, которые используют ЭП и СКЗИ, например, КриптоПро CSP или ViPNet CSP. Как вести такие журналы, описано в Инструкции о безопасности хранения, обработки и передачи информации с использованием криптографических средств (приказ ФАПСИ № 152 от 13.06.2001). Разберемся, кому обязательно нужно вести их, а кому только рекомендуется это делать.

Кому нужно вести журналы учета ключей ЭП

Лицензиаты ФСБ

Эти компании оказывают платные услуги, связанные с использованием СКЗИ: их разработкой, распространением, установкой, обслуживанием и т.д. Это могут быть удостоверяющие центры, которые выпускают сертификат электронных подписей, или, например, дистрибьюторы СКЗИ. К лицензиатам предъявляется самый большой список требований по соблюдению инструкции. Они должны создать у себя орган криптографической защиты информации, разработать свой регламент по соблюдению инструкции и вести журналы учета ключей ЭП и СКЗИ. Орган криптозащиты контролирует, как организация соблюдает инструкцию из приказа ФАПСИ №152. Лицензиаты также могут помогать другим компаниям соблюдать требования регулятора — ФСБ России.

Организации, которые не являются лицензиатами ФСБ

  • Самостоятельно создать регламент, назначить конкретного сотрудника, который будет отвечать за его соблюдение и вести журналы.
  • Обратиться к лицензиатам ФСБ и поручить им разработку регламента и журналов, и при необходимости, передать им контроль за тем, как соблюдается инструкция и внутренний регламент.

СКБ Контур — лицензиат ФСБ и поможет организовать учет электронных подписей в компании. Специалисты проекта Контур.Безопасность создадут всю необходимую документацию и проконтролируют соблюдение регламента и инструкции из приказа ФАПСИ № 152.

Какие журналы учета вести

Инструкция устанавливает два типа журналов:

Журнал поэкземплярного учета СКЗИ. В него вносят сведения о ключах ЭП сотрудников — кто получил носитель с ключом подписи, когда и где, даты уничтожения и другая информация.

Способ заполнения журнала отличается в зависимости от типа СКЗИ, от того кто ведет журнал: обладатель ключей ЭП или орган криптографической защиты. Подробно детали заполнения описаны в приказе ФАПСИ № 152.

Форма журнала поэкземплярного учета для органа криптографической защиты — для лицензиатов ФCБ:

Образец журнала поэкземплярного учета ЭЦП для организаций — органов криптографической защиты

Форма журнала поэкземплярного учета для обладателей конфиденциальной информации:

Образец журнала учета электронной подписи для организаций — обладателей конфиденциальной информации. Позволяет вести учет выдачи ЭЦП, ставит на учет рутокены и другие носители, фиксирует владельцев средств ЭП.

Технический или аппаратный журнал. Он помогает следить за аппаратными средствами криптозащиты — например, серверами с установленным ключом ЭП.

Типовая форма технического (аппаратного) журнала:

Аппаратный журнал учета средств ЭП пример для заполнения

Чтобы скачать формы для заполнения журналов, перейдите по ссылке.

Если вы еще не получили сертификат электронной подписи, оформите его в удостоверяющем центре, который прошел аккредитацию. В УЦ Контура есть подписи для сотрудников, торгов, отчетности и личных дел. Поможем оформить сертификат ФНС для руководителя.

Что такое порядок использования и хранения ключей ЭП и СКЗИ

Кроме журналов учета инструкция также рекомендует организациям разработать и соблюдать свой регламент хранения и использования ключей ЭП. Для регламента нет единой типовой формы, поэтому компания может разработать документ самостоятельно. Для этого нужно изучить инструкцию и адаптировать требования именно под свою компанию.

Несмотря на то, что регламент в разных компаниях будет отличаться, есть общие требования — регламент должен указывать правила, по которым в организации:

  • назначают сотрудников ответственных за учет ключей ЭП и СКЗИ;
  • ведут журналы и поэкземплярный учет;
  • устанавливают и настраивают СКЗИ;
  • обучают работе с ЭП и СКЗИ, ведут пользователей, допущенных к работе с ними;
  • контролируют соблюдение условий использования ЭП и СКЗИ;
  • действуют в случае, если ключи и СКЗИ утеряны или есть подозрение, что используются неправомерно;
  • контролируют соблюдение регламента внутри организации.

Что будет, если не соблюдать инструкцию и не вести журналы учета

За безопасностью в сфере использования конфиденциальных данных в России следит ФСБ России. Ведомство может проводить, как плановые, так и внеплановые проверки в целях контроля использования шифровальных средств. Если при проверке обнаружат нарушения правил защиты информации, то, согласно ст. 13.12 КоАП РФ, на организацию могут наложить ряд санкций: штрафы для должностных лиц и юрлица, а также конфискацию самих средств криптозащиты. В итоге не сможет отправить электронную отчетность или работать в системе обмена данными.

Отметим, что на практике некоторые организации не соблюдают приказ ФАПСИ №152, считая, что так как документ утвердили почти двадцать лет назад, то и значимость его устарела. Однако приказ все еще юридически действителен, а в 2016 году ФСБ России подтвердило его актуальность.

Поэтому организациям необходимо обеспечить безопасность хранения, использования и передачи конфиденциальной информации. Если для этого используются электронные подписи и СКЗИ, организация должна их учитывать. Основной документ, на который можно опираться — приказ ФАПСИ №152 и утвержденная в нем инструкция. Если ФСБ России решит проверить организацию и обнаружит существенные недостатки, ведомство вправе наложить административный штраф или даже приостановить деятельность организации до устранения недочетов.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *