Журналы, Акты СКЗИ - Форум по вопросам информационной безопасности

to Евгений,
В 152 Приказе кроме журнал поэкземплярного учета средств криптографической защиты информации, акта уничтожения прямо ничего вести не требуется.
Если высасывать из пальца то добавляется: заключений о возможности эксплуатации СКЗИ,учет обслуживаемых обладателей конфиденциальной информации,заключение, составленное комиссией по допуску пользователей к работе.
УЦ ничего не требует кроме журнала поэкземплярного учета, актов установки и удаления.Также читал эксплуатационную документацию на КриптоПро ничего нового не нашел.
В теме поднятой ранее на этом форуме http://www.itsec.ru/forum.php?sub=12110 предлагается вести еще кучу журналов,зачем это для организации не являющейся ОКЗ и чем регламентировано тоже не понятно.
Не хочется вести лишние документы и усложнять себе и пользователям жизнь

Почему это высосано из пальца? Эти требования придуманы не просто так.
Можно разобрать пример: Допустим у Вас происходит компрометация закрытого ключа ЭП. При помощи этого ключа подписывают документ, по которому Ваша организация обязуется, допустим выплатить некому контрагенту n-ую сумму денег. Вы это обнаруживаете, немедленно обращаетесь в УЦ и сообщаете о компрометации, Вам аннулируют сертификат, но документ то уже подписан. Начинаются разбирательства, смотрят а правильно ли Вы настроили СКЗИ, ПЭВМ и т.п.? Вы говорите да, а чем докажете что что все правильно было сделано, документального подтверждения нет. Хорошо идем дальше, а кто Вообще допущен до ЭП? Петя, Вася ..., чем докажете? Нету списка пользователей и соответствующих документов о закреплении ЭП. А умеет ли Вася правильно и безопасно пользоваться СКЗИ? и так далее. В итоге Ваша организация вынуждена будет выполнить требования выплаты n-ой суммы денег, так как Вы не обеспечили достаточный уровень безопасности и даже некого будет привлечь к ответственности и вернуть эти деньги. Конечно это очень грубый пример, но все таки то, что Вы не выполняете данные рекомендации, это трактуется не в Вашу пользу.
Да и Вы сами не разберетесь кто же на самом деле подписал этот документ, может вирус какой нибудь, может побезалаберности какой сотрудник скомпроментировал ключ, а может и даже специально и Вы его не привлечете к ответственности, могут привлечь Вас за не обеспечение безопаности, раз Вы за это отвечаете.
По поводу ОКЗ, функции ОКЗ практически не чем не отличаются от функций ответственного за СКЗИ.

Спасибо,Евгений!Надо значит,надо........получается ведение всех журналов перечисленных в посте http://www.itsec.ru/forum.php?sub=12110 не является излишним?Просто до внедрения документов,надо еще пройти бюрократический аппарат и доказать откуда берутся требования для внедрения каждого документа.

ФСБ, во исполнение «Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Требования), утвержденных руководством 8 Центра ФСБ России 21 февраля 2008 года №149/6/6-622, информирует о необходимости:
1. Обеспечить наличие в Организации следующих документов:
1.1. документы по поставке средств криптографической защиты информации (далее – СКЗИ) – КриптоПро, VipNet и пр.;
1.2. копии лицензий и сертификатов на используемые СКЗИ;
1.3. эксплуатационная и техническая документация на используемые СКЗИ (формуляр, руководства администратора, руководства пользователя и пр.);
1.4. акта ввода в эксплуатацию и заключение о возможности эксплуатации на каждое СКЗИ (п.2.3 Требований);
1.5. программное обеспечение СКЗИ (дистрибутив);
2. Разработать и утвердить следующие организационно-распорядительные документы (в случае их отсутствия):
2.1. модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (п. 2.3 Требований);
2.2. приказ о назначении ответственного пользователя криптосредств (п.2.6 Требований);
2.3. документ, определяющий функциональные обязанности ответственного пользователя криптосредств (п.2.7 Требований);
2.4. приказ о назначении лиц (пользователей криптосредств), допущенных к работе с криптосредствами (п.2.4 Требований);
2.5. документ, определяющий порядок использования и организации работы с криптосредствами (Инструкция);
2.6. журнал учета лиц, допущенных к работе с криптосредствами (п.2.3 Требований);
2.7. журнал поэкземплярного учета используемых криптосредств (п.2.3, 3.4 Требований);
2.8. лицевые счета на пользователей криптосредств (п.3.5 Требований);
2.9. инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ (3.23-3.25 Требований);
2.10. журнал учета и выдачи носителей с ключевой информацией;
2.11. документ, устанавливающий порядок обеспечения безопасности персональных данных при помощи СКЗИ и организации контроля за соблюдением условий использования СКЗИ (например: Инструкция о порядке обращения с СКЗИ);
2.12. документ, определяющий перечень защищаемых помещений, используемых для размещения СКЗИ;
2.13. документ, устанавливающий внутриобъектовый и пропускной режим в контролируемую зону Организации (например: Инструкция о соблюдении внутриобъектового и пропускного режимов).
3. В соответствии с нормативными и распорядительными документами внести в должностные регламенты ответственного пользователя криптосредств и лиц (пользователей криптосредств), допущенных к работе с криптосредствами соответствующие изменения.



из руководства 8 Центра ФСБ России 21 февраля 2008 года №149/6/6-622 пришли к выводу, что необходимо:

Журнал поэкземплярного учёта СКЗИ; Инструкция по заполнению журнала ( :\ ); Журнал учёта пользователей СКЗИ из пункта 2.3 ТТ ФСБ 149/6/6-622

Технический (аппаратный) журнал из п.3.6 ТТ ФСБ 149/6/6-622 (в случае использования одноразовых ключей или если криптоключи вводят и хранят (на весь срок их действия) непосредственно в криптосредствах)

Инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ п.3 ТТ ФСБ 149/6/6-622

"лицевой счет, в котором регистрирует числящиеся за ними криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы" п 3.5 ТТ ФСБ 149/6/6-622

список лиц допущенных к работе с СКЗИ п.2.3 ТТ ФСБ 149/6/6-622 (журнал или приказ)

Акт ввода СКЗИ в эксплуатацию п.2.3 ТТ ФСБ 149/6/6-622

и это скорей всего не всё...

to Автор поста.
Спасибо Вам огромное,очень помог Ваш ответ. Не простая тема учет СКЗИ,без совета коллег тяжело разбираться.

Консультант говорит что документ фактически утратил силу в связи с выходом ПП РФ 01.11.2012 № 1119. Инф сообщение ФСБ от 21.06.2016 или это регуляторов не сильно беспокоит?

Наше Министерство ссылается именно на этот документ и рекомендует организовывать защиту так. Я такая же жертва, как и Вы. Я могу лишь посоветовать делать все по максимуму, чтобы у ФСБ были довольны.

Да реальность наверное такова,нашел предписание регулятора устранить замечания по ТТ ФСБ 149/6/6-622, уже после выхода информационного сообщения ФСБ от 21.06.2016.

to Автор поста | 72540
«Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»
Да этот документ утратил силу, в замен вышел приказ ФСБ № 378, но список документов остался тот же.

Вопрос по документу, определяющему перечень защищаемых помещений, используемых для размещения СКЗИ.
Если все сотрудники на своих рабочих местах используют ЭП, все помещения считать защищаемыми?требуется ли разбиение: какой сотрудник имеет доступ в какой кабинет или написать все помещения являются защищаемыми,только сотрудники организации имеют право посещать данные помещения?Ну и двери кабинетов в рабочее время держать закрытыми это не перебор?