Aktyvus Leidimas iš 13.06.2001
| Pavadinkite dokumentą | 2001 06 13 UŽSAKYMAS FAPSI N 152 „DĖL ORGANIZACIJOS INSTRUKCIJŲ PATVIRTINIMO IR SAUGOJIMO, APDOROJIMO IR PERDAVIMO APIE KOMUNIKACIJOS KANALUS, NAUDOJANTIS KRIPTOGRAFINĖS INFORMACIJOS APSAUGOS INSTRUKCIJOS“ |
| Dokumento tipas | nurodymas, nurodymas |
| Priimančioji įstaiga | fapsi |
| Dokumento numeris | 152 |
| Įvaikinimo data | 01.01.1970 |
| Peržiūros data | 13.06.2001 |
| Registracijos numeris Teisingumo ministerijoje | 2848 |
| Registracijos Teisingumo ministerijoje data | 06.08.2001 |
| Būsena | aktus |
| Leidinys |
|
| Navigatorius | Pastabos (redaguoti) |
2001 06 13 UŽSAKYMAS FAPSI N 152 „DĖL ORGANIZACIJOS INSTRUKCIJŲ PATVIRTINIMO IR SAUGOJIMO, APDOROJIMO IR PERDAVIMO APIE KOMUNIKACIJOS KANALUS, NAUDOJANTIS KRIPTOGRAFINĖS INFORMACIJOS APSAUGOS INSTRUKCIJOS“
Patvirtinti saugojimo, apdorojimo ir perdavimo komunikacijos kanalais, naudojant kriptografinę apsaugą ribotos prieigos informaciją, kurioje nėra informacijos, sudarymo ir organizavimo instrukciją valstybės paslaptis(pridedama).
Agentūros generalinis direktorius
V.MATYUKHINAS
1. Ši instrukcija apibrėžia uniformą teritorijoje Rusijos Federacija saugojimo, apdorojimo ir perdavimo komunikaciniais kanalais, naudojant FAPSI sertifikuotas kriptografinės apsaugos priemones (šifravimo priemones), organizavimo ir saugumo užtikrinimo tvarka, laikantis privalomos informacijos, ribotos prieigos, apsaugos pagal Rusijos Federacijos įstatymus , kuriame nėra valstybės paslaptį sudarančios informacijos<*>.
<*>Ribotos prieigos informacija, kurioje nėra valstybės paslaptį sudarančios informacijos, šioje instrukcijoje vadinama konfidencialia informacija.
Šios procedūros taip pat rekomenduojama laikytis organizuojant ir užtikrinant saugojimą, apdorojimą ir perdavimą ryšio kanalais naudojant sertifikuotas FAPSI kriptografines apsaugos priemones<*>kuriems netaikoma privaloma konfidencialios informacijos apsauga, prieiga prie jos yra ribojama pagal Rusijos Federacijos įstatymus arba konfidencialios informacijos savininko sprendimu<**>(išskyrus informaciją, kurioje yra informacijos, kuriai pagal Rusijos Federacijos teisės aktus prieiga negali būti ribojama).
<*>FAPSI patvirtintos konfidencialios informacijos kriptografinės apsaugos priemonės šioje instrukcijoje vadinamos CIPF. CIPF apima:
Techninė, programinė ir techninė įranga - programinės įrangos įrankiai, sistemos ir kompleksai, įgyvendinantys kriptografinės informacijos transformavimo algoritmus, sistemos ir kompleksai, užtikrinantys informacijos saugumą ją apdorojant, saugojant ir perduodant ryšio kanalais, įskaitant CIPF;
Įdiegti kriptografinius algoritmus, skirtus konvertuoti informacijos aparatinę, programinę ir techninę įrangą - programinę įrangą, sistemas ir kompleksus, apsaugančius nuo neteisėtos prieigos prie informacijos ją apdorojant ir saugojant;
Aparatinės, programinės ir aparatinės-programinės įrangos įrankiai, apsaugos sistemos ir kompleksai, apsaugantys nuo melagingos informacijos įvedimo, įgyvendinantys kriptografinius informacijos konvertavimo algoritmus, įskaitant apsaugos imitacijos priemones ir „elektroninį parašą“;
Techninė, programinė ir techninė įranga - programinės įrangos įrankiai, sistemos ir kompleksai, skirti gaminti ir platinti pagrindinius kriptografinės informacijos apsaugos priemonių dokumentus, nepriklausomai nuo pagrindinės informacijos laikmenos tipo.
<**>Konfidencialios informacijos savininkai gali būti valstybinės įstaigos, valstybinės organizacijos ir kitos organizacijos, nepriklausomai nuo jų organizacinės struktūros - teisinė forma ir nuosavybės formos, individualūs verslininkai ir asmenys.
2. Ši instrukcija nereglamentuoja konfidencialios informacijos saugojimo, apdorojimo ir perdavimo komunikacijos kanalais, naudojant kriptografinės informacijos apsaugos sistemą, organizavimo ir užtikrinimo tvarkos Rusijos Federacijos institucijose užsienyje.
II. Saugojimo, apdorojimo ir perdavimo komunikacijos kanalais organizavimas ir saugumas naudojant konfidencialios informacijos kriptografinės informacijos apsaugos priemones3. Saugojimo, apdorojimo ir perdavimo ryšių kanalais saugumas naudojant konfidencialios informacijos tinkluose kriptografinės informacijos apsaugos priemones konfidencialus bendravimas <*>organizuoja ir teikia konfidencialios komunikacijos operatoriai<**>.
<*>Konfidencialūs ryšių tinklai - ryšių tinklai, skirti konfidencialiai informacijai perduoti.
<**>Konfidencialūs ryšio operatoriai - ryšio operatoriai, teikiantys konfidencialias ryšio paslaugas naudojant kriptografinės informacijos apsaugos įrenginius pagal FAPSI licenciją.
Konfidencialios informacijos, perduotos už konfidencialių ryšių tinklų, naudojant kriptografinės informacijos apsaugos sistemas, saugojimo ir apdorojimo saugumą organizuoja ir užtikrina FAPSI licencijuoti asmenys<*>.
<*>Konfidencialių ryšių operatoriai ir asmenys, turintys FAPSI licenciją ir kurie nėra konfidencialių ryšių operatoriai, šioje instrukcijoje vadinami FAPSI licencijos turėtojais.
Asmenys, teikiantys mokamos paslaugos organizuoti ir užtikrinti konfidencialios informacijos, perduotos už konfidencialių ryšių tinklų, saugojimo ir apdorojimo saugumą naudojant kriptografinės informacijos apsaugos priemones, turi turėti Federalinės informacijos ir komunikacijos agentūros (FAPSI) licenciją teikti paslaugas informacijos šifravimo srityje.
4. Konfidencialios informacijos saugojimo, apdorojimo ir perdavimo komunikacijos kanalais saugumas naudojant kriptografinius duomenų apsaugos įrenginius, kurių savininkai neturi FAPSI licencijų, FAPSI licencijos turėtojai organizuoja ir užtikrina aukštesnės organizacijos nurodymu arba remdamiesi paslaugų, skirtų konfidencialios informacijos kriptografinei apsaugai, teikimo sutartys.
5. FAPSI licencijos turėtojai yra atsakingi už tai, kad būtų laikomasi priemonių, kurių jos ėmėsi, siekdamos organizuoti ir užtikrinti konfidencialios informacijos saugojimo, apdorojimo ir perdavimo komunikacijos kanalais saugumą, naudojant kriptografinės informacijos apsaugos priemones, licencijavimo reikalavimus ir sąlygas, veiklos ir techninę dokumentacijąį CIPF, taip pat šios instrukcijos nuostatas.
Tuo pačiu metu FAPSI licencijos turėtojai privalo užtikrinti visapusišką konfidencialios informacijos apsaugą, įskaitant ne kriptografines apsaugos priemones.
6. Norėdami sukurti ir įgyvendinti priemones, skirtas organizuoti ir užtikrinti konfidencialios informacijos saugojimo, apdorojimo ir perdavimo saugumą naudojant CIPF, FAPSI licencijos turėtojas sukuria vieną ar daugiau kriptografinės apsaugos įstaigų.<*>, apie kurį FAPSI raštu praneša.
<*>Kriptografinės apsaugos organas gali būti organizacija, struktūrinis organizacijos padalinys - FAPSI licencijos turėtojas, konfidencialios informacijos savininkas. Kriptografinės apsaugos institucijos funkcijos gali būti priskirtos asmeniui.
Kriptografinės apsaugos įstaigos funkcijas leidžiama priskirti specialiam valstybės paslapčių apsaugos struktūriniam padaliniui, tam naudojant šifravimo priemones.
Kriptografinių apsaugos įstaigų skaičių ir jų skaičių nustato FAPSI licencijos turėtojas.
7. Kriptografinės apsaugos korpusas atlieka:
patikrinti konfidencialios informacijos savininkų pasirengimą savarankiškai naudotis kriptografinės informacijos apsaugos sistema ir padaryti išvadas dėl galimybės valdyti kriptografinės informacijos apsaugos sistemą (nurodant naudojamų kriptografinės informacijos apsaugos įrenginių tipą ir numerius, aparatinė, programinė ir techninė įranga - programinės įrangos įrankiai, kuriuose yra sumontuoti arba prijungti kriptografinės informacijos apsaugos įrankiai, taip pat nurodant plombų (plombų) numerius, kurie užplombavo (užplombavo) technines priemones, įskaitant CIPF, ir patikrinimo rezultatus CIPF veikimas);
priemonių, skirtų užtikrinti taikomų kriptografinės apsaugos įtaisų veikimą ir saugumą, kūrimas pagal jiems išduotų sertifikatų sąlygas, taip pat pagal šių priemonių eksploatacinę ir techninę dokumentaciją;
asmenų, besinaudojančių kriptografinėmis duomenų apsaugos priemonėmis, mokymas, darbo su jais taisyklės;
po vieną panaudotos kriptografinės informacinės sistemos apskaita, jų eksploatacinė ir techninė dokumentacija;
aptarnaujamų konfidencialios informacijos savininkų, taip pat asmenų, tiesiogiai priimtų dirbti su kriptografinės informacijos apsaugos priemonėmis, registracija<*>;
<*> Asmenys tiesiogiai pripažinti dirbti su kriptografinės informacijos apsaugos priemonėmis, šioje instrukcijoje vadinami - kriptografinės informacijos apsaugos priemonių naudotojais.
paraiškų pateikimas FAPSI arba licencijos turėtojui, turinčiam FAPSI licenciją pagrindiniams dokumentams gaminti<*>CIPF - pagrindiniams dokumentams arba pradinei pagrindinei informacijai parengti. Pagrindinių dokumentų parengimas iš pirminės pagrindinės informacijos, jų platinimas, platinimas ir apskaita;
<*>Šiame vadove naudojamos šios sąvokos ir apibrėžimai:
Kriptografinis raktas (kriptografinis raktas) - duomenų rinkinys, leidžiantis pasirinkti vieną konkrečią kriptografinę transformaciją iš visų galimų tam tikroje kriptografinėje sistemoje;
Pagrindinė informacija - specialiai organizuotas šifravimo raktų rinkinys, skirtas tam tikram laikotarpiui įgyvendinti informacijos kriptografinę apsaugą;
Pradinė pagrindinė informacija - duomenų rinkinys, skirtas pagal tam tikras taisykles sugeneruoti kripto raktus;
Pagrindinis dokumentas - tam tikros struktūros fizinė laikmena, kurioje yra pagrindinė informacija (pradinė pagrindinė informacija) ir, jei reikia, kontrolės, paslaugų ir technologinė informacija;
Raktų laikiklis - fizinis tam tikros struktūros nešiklis, skirtas pagrindinei informacijai (pradinei pagrindinei informacijai) talpinti. Skiriamas vienkartinis raktų laikiklis (stalas, perforuota juosta, perforuota kortelė ir kt.) Ir daugkartinio naudojimo raktų dėklas (magnetinė juosta, diskelis, kompaktinis diskas, „Data Kty“, „Smart Card“, jutiklinė atmintis ir kt.);
Raktų užrašų knygelė - to paties tipo popierinių raktų dokumentų rinkinys (lentelės, perforuotos juostos, perforuotos kortelės ir kt.), Įrištas ir supakuotas pagal nustatytas taisykles.
kontroliuoti, kaip laikomasi kriptografinės informacijos apsaugos priemonių naudojimo sąlygų, nustatytų kriptografinės informacijos apsaugos sistemos operatyvinėje ir techninėje dokumentacijoje, FAPSI sertifikate ir šioje instrukcijoje;
ištirti ir padaryti išvadas dėl kriptografinės informacijos apsaugos priemonių naudojimo sąlygų pažeidimų, dėl kurių gali sumažėti konfidencialios informacijos apsaugos lygis; priemonių, skirtų užkirsti kelią galimoms pavojingoms tokių pažeidimų pasekmėms, kūrimas ir priėmimas;
konfidencialios informacijos kriptografinės apsaugos organizavimo schemos sukūrimas (nurodant žemesnio lygio kriptografinės apsaugos įstaigų, jei tokių yra, konfidencialios informacijos savininkų pavadinimą ir vietą, taip pat išsamią informaciją apie sutartis dėl paslaugų, skirtų konfidencialiai informacijai apsaugoti, teikimą, taip pat kaip nurodomos naudojamų kriptografinės apsaugos priemonių rūšys ir pagrindiniai joms skirti dokumentai, saugomos informacijos, naudojamos kartu su CIPF, rūšys technines priemones komunikacija, taikoma ir visos sistemos mastu programinė įranga ir kompiuteris). Nurodytą schemą patvirtina FAPSI licencijos turėtojas.
8. Konfidencialios informacijos savininkai, jei jie nusprendė dėl tokios informacijos kriptografinės apsaugos poreikio arba jei buvo priimtas sprendimas dėl jos kriptografinės apsaugos poreikio pagal Reglamentą PKZ-99 valdžios organai arba vyriausybinės organizacijos, privalo laikytis atitinkamų kriptografinės apsaugos institucijų nurodymų visais konfidencialios informacijos saugojimo, apdorojimo ir perdavimo komunikacijos kanalais, naudojant kriptografinių duomenų apsaugos priemonę, organizavimo ir saugumo užtikrinimo klausimais.
9. Organizuoti konfidencialios informacijos savininkų sąveiką, kurios saugojimo, apdorojimo ir perdavimo komunikacijos kanalais saugumą, naudojant kriptografines informacines sistemas, organizuoja ir teikia įvairūs FAPSI, koordinuojančios kriptografinės apsaugos institucijos, licencijos turėtojai. yra skiriamas iš šių FAPSI licencijos turėtojų sukurtų kriptografinės apsaugos įstaigų. Visos šių FAPSI licencijos turėtojų sudarytos kriptografinės saugos įstaigos privalo laikytis kriptografinės saugos koordinavimo institucijos nurodymų, kad užtikrintų tokią sąveiką.
10. Nurodymai, reglamentuojantys konfidencialios informacijos, apsaugotos naudojant kriptografinės informacijos apsaugos priemones, rengimo, įvedimo, apdorojimo, saugojimo ir perdavimo procesus, turi būti suderinti su FAPSI licencijos turėtoju. Tokios instrukcijos yra parengtos pagal atitinkamų ryšių tinklų, automatinių ir informacinių sistemų, kuriose perduodama, apdorojama ar saugoma konfidenciali informacija, operatyvinę ir techninę dokumentaciją, atsižvelgiant į naudojamą CIPF ir šios instrukcijos nuostatas.
11. FAPSI licencijos turėtojai, atsižvelgdami į savo veiklos specifiką, gali tobulėti Gairės apie šios instrukcijos naudojimą, kuri neprieštarauja jos reikalavimams.
12. Pagrindinius CIPF dokumentus arba pirminę pagrindinę informaciją, skirtą pagrindiniams dokumentams rengti, FAPSI parengia pagal sutartį arba asmenys, kuriems FAPSI yra suteiktas leidimas vykdyti veiklą, susijusią su pagrindinių CIPF dokumentų rengimu.
Koordinuojantis kriptografinės apsaugos organas (jei toks yra), kriptografinės apsaugos įstaigos arba konfidencialios informacijos savininkai tiesiogiai, naudodamiesi įprastomis kriptografinės informacijos apsaugos priemonėmis, gali parengti pagrindinius dokumentus iš pradinės pagrindinės informacijos, jei tokia galimybė numatyta operacinė ir techninė kriptografinės apsaugos priemonės dokumentacija.
13. FAPSI licencijos turėtojams leidžiama atlikti kriptografinės apsaugos įstaigų darbuotojų pareigas asmenims, turintiems reikiamą kvalifikacijos lygį, kad būtų užtikrinta konfidencialios informacijos apsauga, naudojant tam tikro tipo (tipo) kriptografinės informacijos apsaugos priemones.
14. Asmenys, kurie kreipiasi dėl darbo kriptografinės apsaugos institucijose, turėtų būti supažindinti su šia instrukcija gavus.
15. Kriptografinės apsaugos institucijos darbuotojams pavestas pareigas gali atlikti visą darbo dieną dirbantys darbuotojai arba kitų struktūrinių padalinių darbuotojai, dalyvaujantys tokiame darbe kartu.
16. Apibrėždami kriptografinės apsaugos įstaigų darbuotojų pareigas, FAPSI licencijos turėtojai turėtų atsižvelgti į tai, kad konfidencialios informacijos saugojimo, apdorojimo ir perdavimo ryšių kanalais, naudojant kriptografinės informacijos apsaugos sistemą, saugumą užtikrina:
kriptografinės apsaugos įstaigų darbuotojų laikomasi konfidencialumo režimo tvarkant jiems patikėtą ar iš darbo sužinotą informaciją, įskaitant informaciją apie taikomos kriptografinės informacijos apsaugos sistemos ir pagrindinių jos dokumentų veikimą ir užtikrinimo tvarką. ;
kriptografinės apsaugos institucijų darbuotojų tikslus konfidencialios informacijos saugumo užtikrinimo reikalavimų įvykdymas;
patikimas kriptografinės apsaugos įstaigų darbuotojų saugomas kriptografinės informacijos apsaugos įtaisas, jų eksploatacinė ir techninė dokumentacija, pagrindiniai dokumentai, konfidencialios informacijos laikytojai;
kriptografinės apsaugos institucijų darbuotojai laiku aptiko pašalinių asmenų bandymus gauti informacijos apie saugomą konfidencialią informaciją, apie naudojamą kriptografinės informacijos apsaugos sistemą arba pagrindinius jiems pateiktus dokumentus;
kriptografinės apsaugos institucijų darbuotojai nedelsdami priima priemones, kuriomis siekiama užkirsti kelią konfidencialaus pobūdžio saugomos informacijos atskleidimui, taip pat galimą tokios informacijos nutekėjimą atskleidžiant kriptografinės informacijos apsaugos priemonių, pagrindinių dokumentų praradimo ar trūkumo faktus. juos, sertifikatus, leidimus, raktus iš patalpų, saugyklą, seifus (metalines spinteles), asmenines plombas ir kt.
17. Kriptografinės apsaugos įstaigų darbuotojų mokymus ir kvalifikacijos kėlimą vykdo organizacijos, turinčios licenciją vykdyti edukacinę veiklą pagal atitinkamas programas.
18. Kriptografinės apsaugos įstaigos darbuotojai turi būti sukurti pagal šią instrukciją ir patvirtinti FAPSI licencijos turėtojo funkcinės pareigos... Kriptografinės apsaugos institucijų darbuotojų supažindinimo su konfidencialia informacija apimtį ir tvarką nustato konfidencialios informacijos savininkas.
Atsakomybė tarp kriptografinės apsaugos įstaigos darbuotojų turėtų būti paskirstyta atsižvelgiant į asmeninę atsakomybę už kriptografinės apsaugos sistemos saugumą, pagrindiniai dokumentai dokumentai, taip pat priskirtos darbo sritys.
19. Asmenims leidžiama dirbti su kriptografinės informacijos apsaugos priemonėmis pagal atitinkamo konfidencialios informacijos savininko patvirtintą kriptografinės informacijos apsaugos priemonių sąrašą. Prieš suteikiant tokį patvirtinimą, su FAPSI licencijos turėtoju turi būti suderinta techninė galimybė naudoti CIPF asmenis, įtrauktus į šį sąrašą.
FAPSI licencijos turėtojai, turėdami teisę susipažinti su konfidencialia informacija, dėl kurios susitarta su konfidencialios informacijos savininkais, turi teisę patvirtinti tokį sąrašą savo pavaldžių pareigūnų atžvilgiu.
20. CIPF naudotojai privalo:
neatskleisti konfidencialios informacijos, kuriai jie yra leidžiami, jos apsaugos ribų, įskaitant informaciją apie šifravimo raktus;
laikytis konfidencialios informacijos saugumo užtikrinimo reikalavimų, naudojant kriptografinės informacijos apsaugos priemones;
informuoti kriptografinės apsaugos instituciją apie jiems žinomus pašalinių asmenų bandymus gauti informacijos apie naudojamą kriptografinės apsaugos informaciją arba pagrindinius jiems dokumentus;
atleisdamas ar atleisdamas iš pareigų, susijusių su CIPF naudojimu, pateikia jiems CIPF, eksploatacinę ir techninę dokumentaciją, pagrindinius dokumentus šios instrukcijos nustatyta tvarka;
nedelsiant pranešti kriptografinės apsaugos įstaigai apie kriptografinės informacijos apsaugos priemonių, jų pagrindinių dokumentų, raktų iš patalpų, saugyklų, asmeninių antspaudų praradimą ar trūkumą ir kitus faktus, dėl kurių gali būti atskleista saugoma konfidenciali informacija, taip pat galimo tokios informacijos nutekėjimo priežastys ir sąlygos ...
21. Vartotojams leidžiama tiesiogiai dirbti su CIPF tik po atitinkamo mokymo.
Darbo su kriptografinės apsaugos priemonėmis taisyklių naudotojus moko atitinkamos kriptografinės apsaugos įstaigos darbuotojai. Dokumentas, patvirtinantis tinkamą specialų vartotojų mokymą ir galimybę jiems savarankiškai dirbti su kriptografinės informacijos apsaugos priemonėmis, yra atitinkamos kriptografinės apsaugos įstaigos komisijos išvada, pagrįsta kreditais, paimtais iš šių asmenų pagal mokymo programą .
III. Kriptografinės informacijos apsaugos įrankių ir jų šifravimo raktų tvarkymo tvarka. Kriptografinių raktų pažeidimo priemonės<*><*>Šioje instrukcijoje šifravimo raktų kompromisas reiškia vagystę, praradimą, atskleidimą, neteisėtą kopijavimą ir kitus incidentus, dėl kurių kriptografiniai raktai gali tapti prieinami pašaliniams asmenims ir (ar) procesams.
22. Paskirtos užtikrinti konfidencialios informacijos saugojimo, apdorojimo ir perdavimo komunikacijos kanalais saugumą, kriptografinės informacijos apsaugos priemonės, taip pat pagrindiniai joms skirti dokumentai neturėtų turėti valstybės paslaptį sudarančios informacijos.
23. Federalinėse vykdomosiose institucijose pagrindiniai dokumentai, kriptografinės informacijos apsaugos priemonės su įvestais šifravimo raktais yra priskiriami prie materialių laikmenų, kuriuose yra ribotos platinimo nuosavybės teisės turinti informacija. Šiuo atveju šios instrukcijos ir kitų dokumentų, reglamentuojančių tvarkymo tvarką, reikalavimai paslaugos informacija ribotas paskirstymas federalinėse vykdomosiose institucijose.
Kiti konfidencialios informacijos savininkai, tvarkydami pagrindinius dokumentus, kriptografinės informacijos apsaugos priemonės su įvestais šifravimo raktais, turi vadovautis šia instrukcija.
24. Siekiant organizuoti ir užtikrinti konfidencialios informacijos saugojimo, apdorojimo ir perdavimo ryšių kanalais saugumą, turėtų būti naudojamos kriptografinės informacijos apsaugos priemonės, leidžiančios įgyvendinti abonento šifravimo principą ir numatyti užšifruotų raktų įrašymą į elektroninių raktų laikiklius pakartotinis (ilgalaikis) naudojimas (diskeliai, kompaktiniai diskai), duomenų raktas, išmanioji kortelė, jutiklinė atmintis ir kt.).
25. Jei būtina techninėmis komunikacijos priemonėmis perduoti tarnybinius pranešimus, susijusius su konfidencialios informacijos saugojimo, apdorojimo ir perdavimo organizavimu ir saugumu ryšių kanalais, naudojant kriptografinių duomenų apsaugos priemonę, atitinkamos instrukcijos turi būti perduodamos tik naudojant kriptografinę duomenų apsaugos priemonė. Neleidžiama perduoti šifravimo raktų techninėmis ryšio priemonėmis, išskyrus specialiai organizuotas sistemas su decentralizuotu šifravimo raktų tiekimu.
26. Naudota ar saugoma CIPF, jiems skirta eksploatacinė ir techninė dokumentacija, pagrindiniai dokumentai turi būti apskaitomi po vieną pagal nustatytas formas pagal PKZ-99 reglamento reikalavimus. Tuo pačiu metu reikia atsižvelgti į programinės įrangos kriptografinės informacijos apsaugos priemones kartu su aparatūra, su kuria atliekamas įprastas jų veikimas. Jei prie sistemos magistralės arba prie vienos iš vidinių aparatinės įrangos sąsajų prijungti aparatinės ar aparatinės įrangos programinės įrangos kriptografinės informacijos apsaugos įrankiai, į tokius kriptografinės informacijos apsaugos įrankius taip pat atsižvelgiama kartu su atitinkama aparatine įranga.
Pagrindinių dokumentų po vieną apskaitos vienetas laikomas pagrindine daugkartinio naudojimo priemone, raktažodžiu. Jei vienas ir tas pats raktų laikiklis pakartotinai naudojamas kriptografiniams raktams įrašyti, tai kiekvieną kartą jis turėtų būti registruojamas atskirai.
CIPF po vieną apskaitos, operatyvinės ir techninės dokumentacijos žurnalus, pagrindinius dokumentus (Instrukcijos 1, 2 priedai) saugo kriptografinės apsaugos įstaigos ir konfidencialios informacijos savininkai.
27. Visos jiems skirtos kriptografinės informacijos apsaugos sistemos, operatyvinės ir techninės dokumentacijos kopijos, pagrindiniai dokumentai, kuriuos gavo konfidencialios informacijos savininkas, turi būti išduodami prieš gavus atitinkamame atskirų įrašų registre kriptografinės informacijos apsaugos sistemos naudotojams, kurie yra asmeniškai atsakingi už savo saugumą.
Kriptografinės apsaugos institucijos kiekvienam kriptografinės apsaugos sistemos vartotojui sukuria ir tvarko asmeninę paskyrą, kurioje registruoja kriptografinės apsaugos informacinę sistemą, jų veiklos ir techninę dokumentaciją, pagrindinius dokumentus.
28. Jei CIPF operatyvinėje ir techninėje dokumentacijoje numatyta naudoti vienkartinius raktų laikiklius arba šifravimo raktus, jie įvedami ir saugomi (visą jų galiojimo laiką) tiesiogiai CIPF, tada toks vienkartinis raktų laikiklis arba elektroninis atitinkamo šifravimo rakto įrašas turi būti užregistruotas techniniame (aparatinės įrangos) žurnale (instrukcijos 3 priedas), kurį tiesiogiai tvarko CIPF vartotojas. Techninis (aparatinės įrangos) žurnalas taip pat atspindi CIPF veikimo duomenis ir kitą informaciją, numatytą eksploatacinėje ir techninėje dokumentacijoje. Kitais atvejais CIPF techninis (aparatinės įrangos) žurnalas nepradedamas (jei CIPF operatyvinėje ar techninėje dokumentacijoje nėra tiesioginių jo priežiūros instrukcijų).
29. Kriptografinių duomenų apsaugos priemonių, operatyvinės ir techninės dokumentacijos, pagrindinių dokumentų perdavimas joms, pagrindiniams dokumentams leidžiamas tik tarp kriptografinių duomenų apsaugos priemonių naudotojų ir (arba) kriptografinės apsaugos įstaigos darbuotojų prieš gavimą atitinkamuose atskirų įrašų žurnaluose. Tokiam perdavimui tarp CIPF naudotojų turi suteikti atitinkamos kriptografinės apsaugos institucijos leidimą.
Konfidencialios informacijos savininkas, gavęs kriptografinės apsaugos institucijos sutikimą, gali leisti perduoti kriptografinės apsaugos priemones, dokumentus, pagrindinius dokumentus tarp asmenų, įleistų į kriptografinės informacijos apsaugos sistemą pagal veiksmus be privalomo žymos registre. individualūs rekordai.
30. CIPF vartotojai saugo CIPF diegimo laikmenas, CIPF eksploatacinę ir techninę dokumentaciją, pagrindinius dokumentus spintelėse (dėžėse, saugyklose), skirtus individualiam naudojimui, tokiomis sąlygomis, kurios neleidžia nekontroliuojamai prieiti prie jų, taip pat netyčia jų sunaikinti.
CIPF vartotojai taip pat numato atskirą saugų galiojančių ir atsarginių raktų dokumentų, skirtų naudoti galimų šifravimo raktų pažeidimo atveju, saugojimą.
31. Techninėje įrangoje, kuria vykdomas įprastas CIPF veikimas, taip pat techninėje ir techninėje įrangoje - programinėje įrangoje CIPF, turi būti įrengtos jų atidarymo kontrolės priemonės (sandariai uždarytos). CIPF, aparatūros sandarinimo (sandarinimo) vieta turi būti tokia, kad ją būtų galima vizualiai valdyti. Jei yra techninių galimybių, kol nėra CIPF vartotojų, šios priemonės turi būti atjungtos nuo ryšio linijos ir dedamos į sandarias saugyklas.
32. Kriptografinės apsaugos priemonės ir pagrindiniai dokumentai gali būti pristatomi per kurjerių (įskaitant departamentų) ryšius arba specialiai paskirtus pasiuntinius iš kriptografinės apsaugos įstaigos darbuotojų ar jiems skirtų kriptografinės apsaugos priemonės naudotojų, taikant priemones, kurios netaikomos nekontroliuojama prieiga prie jų pristatymo metu.
Operatyvinė ir techninė CIPF dokumentacija gali būti siunčiama registruotu arba vertingu paštu.
33. Norint išsiųsti CIPF, pagrindiniai dokumentai turi būti sudėti į tvirtą pakuotę, neįskaitant fizinės žalos ir išorinio poveikio, ypač įrašytos pagrindinės informacijos, galimybės. CIPF jiems siunčiamas atskirai nuo pagrindinių dokumentų. Paketuose nurodoma kriptografinės apsaugos institucija arba CIPF vartotojas, kuriam šie paketai yra skirti. Ant pakuotės, skirtos kriptografinės informacijos apsaugos sistemos vartotojui, yra užrašas „Asmeniškai“. Pakuotės yra užplombuotos taip, kad neįmanoma iš jų ištraukti turinio nepažeidžiant pakuočių ir antspaudų.
Pakuotė sukurta tokiu būdu, pateikus feldsvyaz papildomi reikalavimaiįdėtas į išorinė pakuotė, suprojektuota pagal reikalavimus. Prieš pradinį išsiuntimą (ar grąžinimą) adresatas atskiru laišku informuojamas apie jam atsiųstų pakuočių aprašymą ir antspaudus, kuriais jie gali būti užplombuoti.
34. Norint jiems nusiųsti CIPF, operatyvinę ir techninę dokumentaciją, pagrindinius dokumentus, turėtų būti parengtas lydraštis, kuriame būtina nurodyti, kas siunčiama ir kokiu kiekiu, produktų ar dokumentų sąskaitos numeriai, taip pat jei reikia, išsiųstos prekės naudojimo tikslas ir tvarka ... Motyvacinis laiškas pridedamas prie vienos iš pakuočių.
35. Gautas pakuotes atidaro tik kriptografinės apsaugos institucija arba asmeniškai kriptografinės informacijos apsaugos sistemos vartotojai, kuriems jos yra skirtos. Jei gautos pakuotės turinys neatitinka nurodytos lydraštyje arba pakuotėje ir pats antspaudas neatitinka jų aprašymo (įspaudo), taip pat jei pakuotė yra sugadinta, dėl to nemokama prieiga suformuotas jo turinys, tada gavėjas surašo aktą, kuris siunčiamas siuntėjui, ir prireikus apie tai praneša atitinkamai kriptografinės apsaugos institucijai. Su tokiais daiktais gautais CIPF ir pagrindiniais dokumentais neleidžiama naudotis, kol negaunami siuntėjo ir kriptografinės apsaugos institucijos nurodymai.
36. Jei aptinkami sugedę raktiniai dokumentai arba šifravimo raktai, viena sugedusio produkto kopija turi būti grąžinta gamintojui per atitinkamą kriptografinės apsaugos instituciją, kad būtų galima nustatyti incidento priežastis ir jas pašalinti ateityje, o likusios kopijos turėtų būti saugomi tol, kol bus gauti papildomi kriptografinės apsaugos institucijos arba gamintojo nurodymai.
37. FAPSI licencijos turėtojas, padaręs pagrindinių dokumentų gamybos trūkumą, siekdamas nustatyti incidento priežastis, gali kreiptis į FAPSI, kad šis sutikimo pagrindu išnagrinėtų sugadintus pagrindinius dokumentus.
38. CIPF gavimas, jų eksploatacinė ir techninė dokumentacija, pagrindiniai dokumentai turi būti patvirtinti siuntėjo lydimajame laiške nurodyta tvarka. Siuntėjas privalo kontroliuoti savo daiktų pristatymą adresatams. Jei iš adresato laiku nebuvo gautas atitinkamas patvirtinimas, siuntėjas turi nusiųsti jam prašymą ir imtis priemonių, kad išaiškintų daiktų buvimo vietą.
39. Užsakymas pateikti kitus svarbiausius dokumentus, juos pagaminti ir išplatinti į naudojimo vietas, kad laiku būtų pakeisti esami pagrindiniai dokumentai, turėtų būti pateiktas iš anksto. Nurodymas dėl kitų pagrindinių dokumentų įsigaliojimo gali būti pateiktas tik po to, kai kriptografinės apsaugos įstaiga iš visų suinteresuotų kriptografinės informacijos apsaugos priemonės naudotojų gauna patvirtinimus apie kitų pagrindinių dokumentų gavimą.
40. Pagrindinius dokumentus ar pirminę pagrindinę informaciją, kurią parengė FAPSI, gali platinti naudojimo vietos federalinės vyriausybės ryšių ir informacijos įstaigos. Toks platinimas vykdomas kriptografinės apsaugos institucijos arba koordinuojančios kriptografinės apsaugos institucijos (jei yra) prašymu pagal sutartį.
41. Nepanaudoti arba nebenaudojami pagrindiniai dokumentai turi būti grąžinami kriptografinės apsaugos institucijai arba, jos nurodymu, turi būti sunaikinti vietoje.
42. Kripto raktus (pradinę raktinę informaciją) galima sunaikinti fiziškai sunaikinant raktų laikiklį, kuriame jie yra, arba ištrinant (sunaikinant) šifravimo raktus (pradinę raktinę informaciją), nepažeidžiant rakto laikiklio (siekiant užtikrinti daugkartinio naudojimo).
Kriptoraktai (pradinė pagrindinė informacija) ištrinami pagal technologiją, pritaikytą atitinkamiems daugkartinio naudojimo raktų laikmenoms (diskeliams, kompaktiniams diskams (CD-ROM), duomenų raktui, išmaniajai kortelei, jutiklinei atminčiai ir kt.). Neatidėliotinus veiksmus, skirtus ištrinti šifravimo raktus (pradinė pagrindinė informacija), taip pat galimus tolesnio atitinkamų daugkartinio naudojimo raktų laikiklių naudojimo apribojimus reglamentuoja atitinkamos kriptografinės informacijos apsaugos sistemos operatyvinė ir techninė dokumentacija, taip pat organizacija, kuri įrašė šifravimo raktus (pradinė pagrindinė informacija).
Pagrindiniai nešikliai sunaikinami padarius jiems nepataisomą fizinę žalą, atmetant galimybę juos naudoti, taip pat atkuriant pagrindinę informaciją. Tiesioginius veiksmus, skirtus sunaikinti tam tikro tipo raktų laikmeną, reglamentuoja atitinkamos kriptografinės informacijos apsaugos sistemos operatyvinė ir techninė dokumentacija, taip pat organizacijos, užfiksavusios šifravimo raktus, nurodymai (pradinė rakto informacija).
Popierius ir kiti degūs raktų laikikliai, taip pat CIPF eksploatacinė ir techninė dokumentacija sunaikinami deginant arba naudojant bet kokias popieriaus pjaustymo mašinas.
43. CIPF sunaikinamas (pašalinamas) pagal PKZ-99 reglamento reikalavimus konfidencialios informacijos savininko, kuriam priklauso CIP, sprendimu ir sutikus su FAPSI licencijos turėtoju.
CIPF, kuriuos planuojama sunaikinti (šalinti), reikia pašalinti iš aparatūros, su kuria jie veikė. Šiuo atveju kriptografinės informacijos apsaugos priemonės laikomos pašalintomis iš aparatūros, jei atliekama kriptografinių duomenų apsaugos priemonės pašalinimo procedūra, numatyta kriptografinės informacijos apsaugos priemonės eksploatacinėje ir techninėje dokumentacijoje, ir jos yra visiškai atjungtos nuo aparatinės įrangos. .
44. Tinka tolesniam naudojimui mazgai ir techninės įrangos dalys Pagrindinis tikslas kurie nėra specialiai sukurti aparatinei kriptografinių algoritmų įgyvendinimui ar kitoms kriptografinės informacijos apsaugos priemonės funkcijoms, taip pat įrangai, veikiančiai su kriptografinių duomenų apsaugos priemone (monitoriai, spausdintuvai, skaitytuvai, klaviatūros ir kt.), leidžiama naudoti naudojamas be apribojimų sunaikinus kriptografinių duomenų apsaugos įrankį. Tokiu atveju informacija, kuri gali likti įrangos atminties įrenginiuose (pavyzdžiui, spausdintuvuose, skaitytuvuose), turi būti patikimai ištrinta (ištrinta).
45. Pagrindiniai dokumentai turi būti sunaikinti per atitinkamo KIP operatyvinėje ir techninėje dokumentacijoje nurodytą laiką. Jei nenustatytas sunaikinimo terminas eksploataciniais ir techniniais dokumentais, pagrindiniai dokumentai turi būti sunaikinti ne vėliau kaip per 10 dienų nuo jų panaikinimo (galiojimo laikas). Sunaikinimo faktas užfiksuotas atitinkamuose individualiuose registracijos žurnaluose. Per tą patį laikotarpį su techninės (aparatinės įrangos) žurnale esančia pastaba turi būti sunaikinti vienkartiniai raktų laikikliai ir pagrindinė informacija, anksčiau įvesta ir saugoma CIPF ar kituose papildomuose įrenginiuose, atitinkančiuose pašalintus šifravimo raktus; duomenys, saugomi kriptografiškai apsaugota forma, turėtų būti iš naujo užšifruoti naudojant naujus šifravimo raktus.
46. Vienkartiniai pagrindiniai nešėjai, taip pat elektroniniai įrašai pagrindinę informaciją, atitinkančią išjungtus kriptografinius raktus tiesiai kriptografinės informacijos apsaugos sistemoje ar kituose papildomuose įrenginiuose, šių kriptografinių duomenų apsaugos priemonių naudotojai sunaikina patys, gavę techninį (aparatinės įrangos) žurnalą.
Pagrindinius dokumentus sunaikina arba kriptografinės informacijos saugumo priemonių naudotojai, arba kriptografinės apsaugos institucijos darbuotojai, gavę kvitą atitinkamuose atskirų įrašų žurnaluose, o didelės apimties pagrindinių dokumentų sunaikinimas gali būti įformintas aktu. Tuo pačiu metu CIPF vartotojams leidžiama sunaikinti tik jų tiesiogiai naudojamus (jiems skirtus) šifravimo raktus. Po sunaikinimo kriptografinės apsaugos įrankių naudotojai turi apie tai pranešti (telefonu, žodžiu telefonu ir pan.) Atitinkamai kriptografinės apsaugos įstaigai, kad nurašytų sunaikintus dokumentus iš savo asmenines sąskaitas... Bent kartą per metus CIPF vartotojai turi nusiųsti raštiškas ataskaitas apie sunaikintus pagrindinius dokumentus kriptografinės apsaugos institucijai. Kriptografinės apsaugos institucija turi teisę nustatyti šių ataskaitų teikimo dažnumą dažniau nei kartą per metus.
Sunaikinimą pagal aktą atlieka komisija, kurią sudaro ne mažiau kaip du žmonės iš kriptografinės apsaugos įstaigos darbuotojų. Akte nurodoma, kas sunaikinama ir kokiu kiekiu. Akto pabaigoje padaromas galutinis įrašas (skaičiais ir žodžiais) apie sunaikintų pagrindinių dokumentų vardų ir kopijų skaičių, įdiegiant CIPF laikmenas, eksploatacinę ir techninę dokumentaciją. Akto teksto pataisos turi būti suderintos ir patvirtintos visų naikinime dalyvavusių komisijos narių parašais. Sunaikinimas turi būti pažymėtas atitinkamuose individualiuose registracijos žurnaluose.
47. Kriptoraktai, dėl kurių kyla įtarimas dėl kompromiso, taip pat kiti kartu su jais veikiantys kriptografiniai raktai turi būti nedelsiant pašalinti, nebent CIPF operatyvinėje ir techninėje dokumentacijoje būtų nurodyta kita procedūra. Apie šifravimo raktų panaikinimą pranešama atitinkamai kriptografinės apsaugos institucijai. Avariniais atvejais, kai nėra kriptografinių raktų, kurie pakeistų pažeistus raktus, FAPSI licencijos turėtojo sprendimu leidžiama naudoti pažeistus šifravimo raktus. Tokiu atveju pažeistų šifravimo raktų naudojimo laikotarpis turėtų būti kuo trumpesnis, o perduodama informacija turėtų būti kuo mažiau vertinga.
48. Kriptografinės apsaugos naudotojai privalo pranešti apie visus pažeidimus, dėl kurių gali būti pažeisti kriptografiniai raktai, jų sudedamosios dalys ar konfidenciali informacija, perduota (saugoma) naudojant. Neįgaliotų asmenų atliktas pakartotinai naudojamų raktų laikiklių tikrinimas neturėtų būti laikomas įtarimu dėl kriptografinių raktų pažeidimo, jei tuo pačiu metu buvo atmesta galimybė jų nukopijuoti (skaityti, kopijuoti). Esant trūkumui, nepateikus pagrindinių dokumentų, taip pat nežinant dėl jų buvimo vietos, imamasi skubių priemonių jų ieškoti.
49. Priemonės, skirtos ieškoti ir lokalizuoti konfidencialios informacijos, perduotos (saugomos) naudojant CIPF, kompromiso padarinius, organizuoja ir vykdo pažeistos konfidencialios informacijos savininkas.
50. Tvarka, skirta pranešti kriptografinės informacijos apsaugos priemonių naudotojams apie tariamą šifravimo raktų pažeidimą ir jų pakeitimą, nustato atitinkama kriptografinės apsaugos įstaiga arba FAPSI.
IV. Apgyvendinimas, speciali įranga, saugumas ir režimo organizavimas patalpose, kuriose sumontuota CIPF arba saugomi pagrindiniai jiems skirti dokumentai51. Apgyvendinimas, speciali įranga, saugumas ir režimo organizavimas patalpose, kuriose įdiegta kriptografinės informacijos apsaugos sistema arba saugomi pagrindiniai joms skirti dokumentai<*>privalo užtikrinti konfidencialios informacijos saugumą<**>, SKZI, pagrindiniai dokumentai.
<*>Patalpos, kuriose yra sumontuotas CIPF, arba saugomi jiems skirti pagrindiniai dokumentai, nurodytos šioje instrukcijoje - specialios patalpos.
<**>Konfidencialios informacijos saugumo specialiose patalpose užtikrinimo reikalavimai yra panašūs į reikalavimus, keliamus patalpoms, kuriose atliekami darbai, susiję su tokios informacijos saugojimu (apdorojimu), ir juos nustato konfidencialios informacijos savininkas.
Įrengiant specialias patalpas, turi būti laikomasi kriptografinių apsaugos įtaisų, taip pat kitos su kriptografiniais apsaugos įtaisais veikiančios įrangos, išdėstymo, įrengimo reikalavimų.
Šioje instrukcijoje išvardytų specialių patalpų reikalavimai negali būti keliami, jei tai numato kriptografinės informacijos apsaugos priemonės naudojimo taisyklės, suderintos su FAPSI.
52. Specialios patalpos skiriamos atsižvelgiant į kontroliuojamų zonų dydį, reglamentuojamą SKZI veiklos ir techninės dokumentacijos. Specialiose patalpose turi būti tvirtos įėjimo durys su spynomis, kurios garantuoja patikimą specialių patalpų uždarymą ne darbo metu. Specialių patalpų langai, esantys pirmame ar paskutiniame pastato aukšte, taip pat langai, esantys šalia gaisrinių išėjimų ir kitų vietų, iš kurių neįgalioti asmenys gali patekti į specialias patalpas, turi būti su metaliniais strypais, langinėmis ar įsilaužimu signalizacijos ar kitos priemonės, neleidžiančios nekontroliuojamai patekti į specialias patalpas.
53. Apgyvendinimas, speciali įranga, saugumas ir režimo organizavimas specialiose kriptografinės apsaugos įstaigų patalpose neturėtų užkirsti kelio nekontroliuojamam pašalinių asmenų įsiskverbimui ar buvimui, taip pat neįgaliotiems asmenims peržiūrėti ten atliekamą darbą.
54. Kriptografinės apsaugos įstaigų specialių patalpų apsaugos režimą, įskaitant darbuotojų ir lankytojų priėmimo darbo ir ne darbo metu taisykles, nustato FAPSI licencijos turėtojas, prireikus susitaręs su konfidencialios informacijos savininku. kurių patalpose yra atitinkamas kriptografinės apsaugos korpusas. Nustatytas saugumo režimas turėtų numatyti periodinį techninės apsaugos įrangos, jei jos yra, būklės stebėjimą, taip pat atsižvelgti į šios instrukcijos nuostatas.
55. Kriptografinės apsaugos institucijų specialių patalpų durys turi būti visam laikui užrakintos ir jas galima atidaryti tik įgaliotam darbuotojų ir lankytojų praėjimui. Įėjimo durų raktai yra sunumeruoti, įrašomi ir išduodami kriptografinės apsaugos institucijų darbuotojams prieš gavimą saugojimo žurnalo knygoje. Pasikartojantys raktai nuo tokių specialių patalpų įėjimo durų turėtų būti laikomi kriptografinės apsaugos institucijos vadovo seife. Negalima laikyti pasikartojančių raktų už kriptografinės apsaugos institucijos patalpų ribų.
56. Kad specialiosios kriptografinės apsaugos įstaigų patalpos nebūtų matomos iš išorės, jų langai turi būti apsaugoti.
57. Specialiose kriptografinės apsaugos institucijų patalpose paprastai turėtų būti įrengta signalizacija, susijusi su pastato apsaugos tarnyba ar organizacijoje budinčiu asmeniu. Signalizacijos tinkamumą turėtų periodiškai tikrinti kriptografinės apsaugos įstaigos vadovas arba, jo vardu, kitam šios įstaigos darbuotojui, kartu su saugos tarnybos atstovu ar organizacijoje budinčiu asmeniu su užrašu atitinkamus žurnalus.
58. Kiekvienas kriptografinės apsaugos elementas, skirtas pagrindiniams dokumentams, eksploatacinei ir techninei dokumentacijai saugoti, CIPF laikmenoms įdiegti, turi turėti reikiamą skaičių patikimų metalinių saugyklų su vidinėmis spynomis su dviem raktų kopijomis ir kombinuotomis spynomis arba rakto skylių sandarinimo įtaisais. Vieną raktų kopiją iš saugyklos turi saugoti už skliautą atsakingas darbuotojas. Darbuotojai saugo raktų dublikatus iš skliautų kriptografinės apsaugos įstaigos vadovo seife.
Rakto dublikatas iš kriptografinės apsaugos institucijos vadovo sandėliavimo pakuotėje turi būti perkeltas į saugyklą pareigūnas, paskirtas FAPSI licencijos turėtojo, gavus atitinkamame žurnale.
59. Darbo dienos pabaigoje specialios kriptografinės apsaugos įstaigos patalpos ir jose įrengtos saugyklos turi būti uždarytos, saugyklos sandariai uždarytos. Naudojamų skliautų raktai turi būti perduoti atitinkamame žurnale esančiam kvitui kriptografinės apsaugos įstaigos vadovui arba jo įgaliotam asmeniui (budėtojui), kuris šiuos raktus laiko asmeniniame ar specialiai tam skirtame skliaute.
Raktus iš specialių patalpų, taip pat raktą iš saugyklos, kuriame yra visų kitų kriptografinės apsaugos institucijos saugyklų raktai, užplombuota forma reikia perduoti apsaugos tarnybai arba organizacijoje budintis asmuo tuo pačiu metu perduodamas saugomas specialias patalpas. Sandėliai, skirti sandėliavimui, turi būti saugomi už šias saugyklas atsakingų kriptografinės apsaugos institucijos darbuotojų.
60. Praradus raktą nuo skliauto ar nuo lauko durų į specialią kriptografinės apsaugos korpuso patalpą, spyna turi būti pakeista arba jos paslaptis perdaroma gaminant naujus raktus nuo jos. dokumentavimas... Jei spynos iš skliauto negalima pakeisti, tokį skliautą reikia pakeisti. Raktų ir kitų dokumentų saugojimo saugykloje, iš kurios buvo pamestas raktas, tvarką, kol nebus pakeista spynos paslaptis, nustato kriptografinės apsaugos įstaigos vadovas.
61. Įprastomis kriptografinės apsaugos institucijos specialių patalpų sąlygomis jose esančias sandarias saugyklas gali atidaryti tik kriptografinės apsaugos institucijos darbuotojai.
Nustačius ženklus, rodančius, kad neįgalioti asmenys gali neteisėtai patekti į šias specialias patalpas ar saugyklas, apie incidentą reikia nedelsiant pranešti kriptografinės apsaugos institucijos vadovui. Atvykę kriptografinės apsaugos institucijos darbuotojai turėtų įvertinti galimybę pakenkti saugomam raktui ir kitiems dokumentams, surašyti aktą ir prireikus imtis priemonių lokaliai konfidencialios informacijos pažeidimo pasekmėms lokalizuoti ir pažeistiems šifravimo raktams pakeisti.
62. Kriptografinės informacijos apsaugos įtaisų, taip pat kitos įrangos, veikiančios su kriptografinės informacijos apsaugos įtaisais, patalpinimas ir įrengimas specialiose kriptografinės informacijos apsaugos įtaisų patalpose turėtų sumažinti nekontroliuojamo pašalinių asmenų prieigą prie nurodytų priemonių. Tokios įrangos priežiūra ir kriptografinių raktų keitimas atliekamas nesant asmenų, kuriems neleidžiama dirbti su kriptografinių duomenų apsaugos sistema.
Jei nėra CIPF naudotojų, nurodytą įrangą, jei tai techniškai įmanoma, reikia išjungti, atjungti nuo ryšio linijos ir sudėti į sandarias saugyklas. Priešingu atveju kriptografinių duomenų apsaugos sistemos naudotojai, susitarę su kriptografinės apsaugos institucija, privalo pasirūpinti organizacinėmis ir techninėmis priemonėmis, kurios pašalina galimybę nesankcionuotiems asmenims naudotis kriptografinių duomenų apsaugos priemone jų nesant.
63. Specialių kriptografinės informacijos apsaugos įrenginių patalpų apsaugos būdą, įskaitant darbuotojų ir lankytojų priėmimo darbo ir ne darbo metu taisykles, nustato konfidencialios informacijos savininkas, susitaręs su atitinkama kriptografinės apsaugos institucija. Nustatytas saugumo režimas turėtų numatyti periodinį techninės apsaugos įrangos, jei tokios yra, būklės stebėjimą, taip pat į šios instrukcijos nuostatas, konkrečių CIPF naudotojų specifiką ir darbo sąlygas.
64. Specialiose CIPF vartotojų patalpose, kuriose saugomi jiems išduoti pagrindiniai dokumentai, eksploatacinė ir techninė dokumentacija bei CIPF įrengimo laikmenos, būtina turėti pakankamą skaičių patikimai užrakinamų spintelių (dėžių, saugyklų), skirtų individualiam naudojimui. , įrengti rakto skylių sandarinimo įtaisai. Šių saugyklų raktus turi saugoti atitinkami CIPF vartotojai.
65. Praradus raktą nuo skliauto ar nuo priekinių durų į specialią SKZI vartotojo patalpą, spyną reikia pakeisti arba pakeisti jos paslaptį, pagaminus naujus raktus su dokumentine registracija. . Jei spynos iš skliauto negalima pakeisti, tokį skliautą reikia pakeisti. Raktų ir kitų dokumentų saugojimo saugykloje, iš kurios buvo pamestas raktas, tvarką, kol nebus pakeista užrakto paslaptis, nustato kriptografinės apsaugos institucija.
66. Įprastomis sąlygomis uždarytas CIPF naudotojų saugyklas gali atidaryti tik patys vartotojai.
Nustačius ženklus, rodančius, kad neįgalioti asmenys gali neteisėtai patekti į šias specialias patalpas ar saugyklas, apie incidentą reikia nedelsiant pranešti konfidencialios informacijos savininko vadovybei ir kriptografinės apsaugos įstaigos vadovui. Atvykę kriptografinės apsaugos institucijos darbuotojai turėtų įvertinti galimybę pakenkti saugomam raktui ir kitiems dokumentams, surašyti aktą ir prireikus imtis priemonių lokaliai konfidencialios informacijos pažeidimo pasekmėms lokalizuoti ir pažeistiems šifravimo raktams pakeisti.
V. Konfidencialios informacijos saugojimo, apdorojimo ir perdavimo komunikacijos kanalais organizavimo ir saugumo kontrolė naudojant kriptografinės informacijos apsaugos priemones67. Konfidencialios informacijos saugojimo, apdorojimo ir perdavimo komunikacijos kanalais organizavimo ir saugumo kontrolė naudojant kriptografinės informacijos apsaugos priemones - vykdoma valstybės kontrolė federaliniai organai vyriausybės ryšiai ir informacija<*>... Per valstybės kontrolė studijavo ir įvertino:
<*>Šioje instrukcijoje federalinės vyriausybės ryšių ir informacijos įstaigos reiškia pagrindinius FAPSI skyrius, FAPSI skyrius federaliniai rajonai, regioniniai biurai vyriausybės ryšiai ir informacija, vyriausybės ryšių centrai.
konfidencialios informacijos saugojimo, apdorojimo ir perdavimo komunikacijos kanalais saugumo organizavimas naudojant kriptografinės informacijos apsaugos priemones;
pasiektas konfidencialios informacijos kriptografinės apsaugos lygis;
kriptografinės informacijos apsaugos sistemos naudojimo sąlygos.
68. Organizuojant saugojimo, apdorojimo ir perdavimo komunikaciniais kanalais saugumą naudojant kriptografinės informacijos apsaugos priemones, kurioms taikoma privaloma konfidencialios informacijos apsauga pagal Rusijos Federacijos teisės aktus, FAPSI licencijos turėtojų veikla, taip pat konfidencialių duomenų savininkai informacija yra valstybės kontroliuojama, jei tokios informacijos kriptografinės apsaugos poreikį pagal PKZ-99 nuostatus nustato vyriausybinės agentūros ar vyriausybinės organizacijos.
Organizuojant saugojimo, apdorojimo ir perdavimo ryšių kanalais saugumą naudojant kriptografinės informacijos apsaugos įtaisus, kuriems netaikoma privaloma konfidencialios informacijos apsauga, FAPSI licencijos turėtojų veikla yra kontroliuojama valstybės. Konfidencialios informacijos savininkus federalinės vyriausybės ryšių ir informacijos įstaigos gali patikrinti tik jiems paprašius arba gavus jų sutikimą.
Visuomenės prieigos galimybė ir forma kontrolės organai konfidencialios informacijos turinį nustato tikrinamos organizacijos vadovas.
Valstybės kontrolės sąlygas ir dažnumą nustato FAPSI.
69. FAPSI licencijos turėtojai privalo kontroliuoti, kaip savininkai įgyvendina konfidencialios informacijos duomenis, pateiktus jiems pagal instrukcijas, kaip organizuoti ir užtikrinti saugojimo, apdorojimo ir perdavimo komunikacijos kanalais, naudojant konfidencialios informacijos CIP, saugumą. kaip tokių savininkų laikymasis CIP naudojimo sąlygų, nustatytų CIP veiklos ir techninėje dokumentacijoje, FAPSI sertifikate ir šioje instrukcijoje.
70. Siekdamos koordinuoti FAPSI licencijos turėtojų atliekamą valstybės kontrolę ir kontrolę, federalinės vyriausybės ryšių ir informacijos įstaigos gali planuoti ir atlikti patikrinimus kartu su suinteresuotomis kriptografinės apsaugos įstaigomis ir rekomenduoti patikrinimų objektus FAPSI licencijos turėtojams.
71. Tiesioginį priėmimą į komisijos ar įgaliotų federalinių vyriausybės ryšių ir informacijos įstaigų patikrinimą vykdo tikrinamų asmenų vadovybė, inspektoriams pateikus pažymėjimus (instrukcijas) dėl teisės į patikrinimą, patvirtintų antspaudu. ir asmens tapatybės dokumentai.
Pasirašomi teisės patikrinti pažymėjimai (instrukcijos) generalinis vadybininkas FAPSI, jo pavaduotojai, taip pat jų nurodymu federalinių vyriausybės ryšių ir informacijos įstaigų vadovai. Įeiti į patikrinimą galima remiantis šių asmenų nurodymais, perduodamais techniniais ryšių kanalais.
72. Remiantis valstybės kontrolės rezultatais, surašomas išsamus arba trumpas aktas, pažyma. Tikrinamų asmenų vadovybė turi būti supažindinta su patikrinimo ataskaita (pažyma). Aktas (sertifikatas) siunčiamas atitinkamai kriptografinės apsaugos institucijai, koordinuojančiai kriptografinės apsaugos institucijai (jei yra) ir federalinės vyriausybės ryšių ir informacijos institucijai. Jei patikrinimo metu paaiškėja FAPSI licencijų ir sertifikatų reikalavimų ir sąlygų pažeidimai, federalinės vyriausybės ryšių ir informacijos įstaigos apie šiuos pažeidimus ir priemones, kurių buvo imtasi, informuoja FAPSI licencijavimo ir sertifikavimo centrą.
Jei nustatomi CIPF naudojimo trūkumai, FAPSI licencijos turėtojai, konfidencialios informacijos savininkai privalo nedelsdami imtis priemonių, kad pašalintų patikrinimo metu nustatytus trūkumus ir įgyvendintų patikrinimo ataskaitoje pateiktas rekomendacijas. Pranešimai apie priemones, kurių buvo imtasi, turi būti pateikti per inspektorių nustatytą laiką. Jei reikia, galima parengti veiksmų planą, kuriame numatytas aktualių klausimų sprendimas.
73. Kriptografinės apsaugos įstaigos (koordinuojančios kriptografinės apsaugos įstaigos) turėtų apibendrinti visų rūšių kontrolės rezultatus, išanalizuoti nustatytų trūkumų priežastis, parengti priemones joms išvengti, stebėti, kaip įgyvendinami patikrinimų aktuose pateiktos rekomendacijos.
74. Jei atskleidžiami rimti pažeidimai naudojant kriptografinės informacijos apsaugos priemones, dėl kurių tampa konfidencialios informacijos nutekėjimas, kurio saugumas užtikrinamas naudojant kriptografinės informacijos apsaugos įrenginius, tada federalinės vyriausybės ryšių ir informacijos įstaigos, FAPSI licencijos turėtojai turi teisę nurodyti nedelsiant nutraukti kriptografinės informacijos apsaugos priemonių naudojimą, kol bus pašalintos nustatytų pažeidimų priežastys ... Tokiu atveju federalinės vyriausybės ryšių ir informacijos įstaigos gali nusiųsti FAPSI licencijavimo ir sertifikavimo centrui pasiūlymą panaikinti (sustabdyti) FAPSI licencijas.
75. Konfidencialios informacijos savininkas turi teisę kreiptis į federalines vyriausybės ryšių ir informacijos institucijas su prašymu atlikti valstybinę kontrolę sutartiniais pagrindais, kad įvertintų priemonių, kurių ėmėsi FAPSI licencijos turėtojas, pakankamumą ir pagrįstumą. apsaugoti jo konfidencialią informaciją.
1 priedas
2 priedėlis
prie Instrukcijos (26 punktas), patvirtinta
Federalinės agentūros nurodymu
vyriausybės ryšiai ir informacija
vadovaujant Rusijos Federacijos prezidentui
2001 m. birželio 13 d. N 152
Svetainėje „Zakonbase“ pristatytas 2001-06-13 užsakymas FAGCI N 152 „Dėl organizacijos instrukcijos patvirtinimo ir saugaus saugojimo, apdorojimo ir perdavimo ryšio kanalu, naudojant kriptografinę informaciją su ribotos prieigos apsauga“, nėra. informacija, sudaranti valstybės paslaptį “ naujausias leidimas... Nesunku laikytis visų teisinių reikalavimų, jei perskaitysite atitinkamus šio dokumento skyrius, skyrius ir straipsnius, skirtus 2014 m. Norėdami ieškoti reikiamų teisės aktų dominančia tema, turėtumėte naudoti patogią naršymą arba išplėstinę paiešką.
Svetainėje „Zakonbase“ rasite UŽSAKYTI FAGCI nuo 2001-06-13 N 152 „Dėl organizacijos instrukcijos patvirtinimo ir užtikrinti saugų saugojimą, apdorojimą ir perdavimą ryšio kanalu, naudojant ribotos prieigos informacijos kriptografinę apsaugą. negali būti valstybės paslaptį sudarančios informacijos “nauja ir išsami versija, kurioje buvo padaryti visi pakeitimai ir pakeitimai. Tai garantuoja informacijos aktualumą ir patikimumą.
Tokiu atveju atsisiųskite ORDER FAGCI iš 2001-06-13 N 152 „Dėl organizacijos instrukcijos patvirtinimo ir užtikrinti saugų saugojimą, apdorojimą ir perdavimą ryšio kanalu, naudojant ribotos prieigos informacijos kriptografinę apsaugą. informacija, sudaranti valstybės paslaptį “yra visiškai nemokama tiek visiškai, tiek atskiruose skyriuose.
Pagal Federalinis įstatymas vasario 20 d. N 24-FZ „Dėl informacijos, informatizavimo ir informacijos apsaugos“, Rusijos Federacija 1993 m. vasario 19 d. ribotos prieigos informacijos, kurioje nėra valstybės paslaptį sudarančios informacijos, kriptografinės apsaugos priemonių gamyba, pardavimas ir naudojimas, patvirtinta FAPSI 1999 m. rugsėjo 23 d. N 158, įregistruota Teisingumo ministerijos Rusijos Federacija 1999 m. gruodžio 28 d., registracija Nr. 2029, p., siekiant nustatyti saugojimo, apdorojimo ir perdavimo komunikaciniais kanalais, naudojant kriptografinę informacijos, turinčios ribotą prieigą, apsaugą, organizavimo ir saugumo tvarką. Aš užsisakau:
Taip pat rekomenduojama vadovautis šia tvarka organizuojant ir užtikrinant saugojimo, apdorojimo ir perdavimo ryšių kanalais saugumą naudojant kriptografinės apsaugos priemones, kurias FAPSI patvirtino neprivalomai apsaugoti konfidencialią informaciją, kurios prieiga yra ribota. pagal Rusijos Federacijos teisės aktus arba konfidencialios informacijos savininko sprendimu (išskyrus informaciją, kurioje yra informacijos, prie kurios prieiga negali būti apribota pagal Rusijos Federacijos teisės aktus).
2. Ši instrukcija nereglamentuoja konfidencialios informacijos saugojimo, apdorojimo ir perdavimo komunikacijos kanalais, naudojant kriptografinės informacijos apsaugos sistemą, organizavimo ir užtikrinimo tvarkos Rusijos Federacijos institucijose užsienyje.
Asmenys, teikiantys kompensuojamas paslaugas, skirtas organizuoti ir užtikrinti konfidencialios informacijos, perduotos už konfidencialių ryšių tinklų, saugojimo ir apdorojimo saugumą naudojant kriptografinės informacijos apsaugos sistemas, turi turėti FAPSI licenciją teikti paslaugas informacijos šifravimo srityje.
4. Konfidencialios informacijos saugojimo, apdorojimo ir perdavimo komunikacijos kanalais saugumas naudojant kriptografinius duomenų apsaugos įrenginius, kurių savininkai neturi FAPSI licencijų, FAPSI licencijos turėtojai organizuoja ir užtikrina aukštesnės organizacijos nurodymu arba remdamiesi paslaugų, skirtų konfidencialios informacijos kriptografinei apsaugai, teikimo sutartys.
5. FAPSI licencijos turėtojai yra atsakingi už tai, kad būtų laikomasi priemonių, kurių jos ėmėsi, siekdamos organizuoti ir užtikrinti konfidencialios informacijos saugojimo, apdorojimo ir perdavimo komunikacijos kanalais, naudojant kriptografinės informacijos apsaugos sistemą, saugą, licencijavimo reikalavimus ir sąlygas, eksploatacines ir technines. kriptografinės informacijos apsaugos priemonės dokumentaciją, taip pat šios instrukcijos nuostatas.
6. Norėdami sukurti ir įgyvendinti priemones, skirtas organizuoti ir užtikrinti konfidencialios informacijos saugojimo, apdorojimo ir perdavimo saugumą naudojant CIPF, FAPSI licencijos turėtojas sukuria vieną ar daugiau kriptografinės apsaugos įstaigų, apie kurias FAPSI praneša raštu.
patikrinti konfidencialios informacijos savininkų pasirengimą savarankiškai naudoti kriptografinės informacijos apsaugos sistemą ir padaryti išvadas dėl galimybės valdyti kriptografinės informacijos apsaugos sistemą (nurodant naudojamų kriptografinės informacijos apsaugos įrenginių tipą ir numerius, aparatūros numerius) , programinė ir techninė įranga bei programinės įrangos įrankiai, kuriuose yra įdiegtos ar prijungtos kriptografinės informacijos apsaugos priemonės, taip pat nurodant plombų (plombų) numerius), kurios užplombavo (užplombavo) technines priemones, įskaitant CIPF, ir veikimo tikrinimo rezultatus CIPF);
priemonių, skirtų užtikrinti taikomų kriptografinės apsaugos įtaisų veikimą ir saugumą, kūrimas pagal jiems išduotų sertifikatų sąlygas, taip pat pagal šių priemonių eksploatacinę ir techninę dokumentaciją;
paraiškų pateikimas FAPSI arba licencijos turėtojui, turinčiam FAPSI licenciją pagrindiniams CIPF dokumentams, pagrindiniams dokumentams arba inicialams gaminti. Pagrindinių dokumentų parengimas iš pirminės pagrindinės informacijos, jų platinimas, platinimas ir apskaita;
ištirti ir padaryti išvadas dėl kriptografinės informacijos apsaugos priemonių naudojimo sąlygų pažeidimų, dėl kurių gali sumažėti konfidencialios informacijos apsaugos lygis; priemonių, skirtų užkirsti kelią galimoms pavojingoms tokių pažeidimų pasekmėms, kūrimas ir priėmimas;
konfidencialios informacijos kriptografinės apsaugos organizavimo schemos sukūrimas (nurodant žemesnio lygio kriptografinės apsaugos įstaigų, jei tokių yra, konfidencialios informacijos savininkų pavadinimą ir vietą, taip pat išsamią informaciją apie sutartis dėl paslaugų teikimo dėl konfidencialios informacijos apsaugos, taip pat kaip nurodomos naudojamų kriptografinės apsaugos priemonių rūšys ir joms, saugomos informacijos, naudojamos kartu su techninių ryšio priemonių, taikomosios ir visos sistemos programinės įrangos ir kompiuterinių technologijų CIPF, rūšys. Nurodytą schemą patvirtina FAPSI licencijos turėtojas.
8. Konfidencialios informacijos savininkai, jei jie nusprendė dėl tokios informacijos kriptografinės apsaugos būtinybės arba jei sprendimas dėl jos kriptografinės apsaugos būtinybės pagal vyriausybines įstaigas ar vyriausybines organizacijas, privalo vadovautis atitinkamos kriptografinės apsaugos institucijos visais klausimais, susijusiais su saugojimo organizavimu ir užtikrinimu, konfidencialios informacijos apdorojimu ir perdavimu ryšio kanalais, naudojant kriptografinės informacijos apsaugos sistemą.
9. Organizuoti konfidencialios informacijos savininkų sąveiką, kurios saugojimo, apdorojimo ir perdavimo komunikacijos kanalais saugumą, naudojant kriptografines informacines sistemas, organizuoja ir teikia įvairūs FAPSI, koordinuojančios kriptografinės apsaugos institucijos, licencijos turėtojai. yra skiriamas iš šių FAPSI licencijos turėtojų sukurtų kriptografinės apsaugos įstaigų. Visos šių FAPSI licencijos turėtojų sudarytos kriptografinės saugos įstaigos privalo laikytis kriptografinės saugos koordinavimo institucijos nurodymų, kad užtikrintų tokią sąveiką.
Kaip rodo praktika, nedaugelis organizacijų prisimena ir jomis vadovaujasi 2001 m. Birželio 13 d. FAPSI (kurio įpėdinis yra Rusijos FSB) įsakymas N 152 „ribota prieiga, kurioje nėra valstybės paslaptį sudarančios informacijos“.
Tačiau instrukcija yra privaloma naudojant sertifikuotas kriptografinės informacijos apsaugos priemones, siekiant užtikrinti ribotos prieigos informacijos saugumą (taikoma apsauga pagal Rusijos Federacijos įstatymus).Ir tai yra PD, visų rūšių paslaptys, GIS, NPC, būsimas CII.
Nuo 2008 iki 2012 m. „Tipiniai šifravimo (šifravimo) organizavimo ir veikimo reikalavimai“ reiškia priemonę, skirtą apsaugoti informaciją, kurioje nėra valstybės paslaptį sudarančios informacijos, jei ji naudojama asmens duomenų saugumui užtikrinti. jų apdorojimas Informacinės sistemos ah asmens duomenys “, patvirtintas Rusijos FSB 8-ojo centro vadovybės 2008 m. vasario 21 d. Nr. 149/6 / 6-622. Tačiau išleidus RF PP Nr. 1119, šį dokumentą prarado savo aktualumą, o Rusijos FSB pranešė, kad būtina vadovautis instrukcija.
Valstybės viduje. šios instrukcijos nuostatų įgyvendinimo kontrolė yra daug pažeidimų.
Kyla daug klausimų dėl Instrukcijos taikymo, nes ji buvo parašyta tais laikais, kai sertifikuotos kriptografinės informacijos apsaugos priemonės buvo naudojamos retose organizacijose pavieniais egzemplioriais. Dabar, kai sert. kriptografija tampa visur paplitusi, todėl sunku vykdyti nurodymus pažodžiui.
Iš karto noriu atkreipti jūsų dėmesį į tai, kad instrukcijoje kartu su 99-FZ pateikiami nedviprasmiški rezultatai apie būtinybę gauti licenciją iš Rusijos FSB arba sudaryti susitarimą su licencijos turėtoju:
99-FZ 12 straipsnis: "1. Remiantis šiuo federaliniu įstatymu, licencijuojama ši veikla:
1) ... darbų atlikimas ... informacijos šifravimo, šifravimo (kriptografinių) priemonių, informacinių sistemų ir telekomunikacijų sistemų, apsaugotų naudojant šifravimo (kriptografines) priemones, srityje (nebent šifravimo (kriptografinės) priemonės, informacinės sistemos ir telekomunikacijų sistemos, apsaugotos naudojant šifravimo (kriptografines) priemones, vykdomos jų poreikiams tenkinti juridinis asmuo arba individualus verslininkas); "
Rusijos Federacijos Vyriausybės nutarimas Nr. 313. Reglamento priedas: „ATLIKTŲ DARBŲ IR PASLAUGŲ SĄRAŠAS, SUDARYDAMAS SUTEIKIANT LICENCIJĄ VEIKLĄ, SUSIJUSIOS SU Šifravimo (KRIPTOGRAFINĖS) PRIEMONĖMIS
12. Įdiegimas, diegimas (diegimas), šifravimo (kriptografinių) priemonių, išskyrus šifravimo (kriptografines) priemones, skirtas apsaugoti fiskalinius duomenis, įrengimas, skirtas naudoti kasos aparatuose, sertifikavimas Federalinė tarnyba Rusijos Federacijos saugumas.
13. Informacinių sistemų, apsaugotų naudojant šifravimo (kriptografines) priemones, diegimas, diegimas (diegimas), derinimas.
14. Telekomunikacijų sistemų, apsaugotų naudojant šifravimo (kriptografines) priemones, įrengimas, įrengimas (įrengimas), derinimas.
15. Pagrindinių dokumentų parengimo priemonių surinkimas, montavimas (montavimas), derinimas.
20. Šifravimo (kriptografinių) priemonių priežiūros darbai, numatyti šių priemonių techninėje ir eksploatacinėje dokumentacijoje ( išskyrus atvejį, jei nurodytas darbas atliekamas siekiant užtikrinti savo poreikius juridinis asmuo arba individualus verslininkas).
28. Pagrindinių dokumentų ir (arba) pradinės pagrindinės informacijos, skirtos pagrindinių dokumentų kūrimui, gamyba ir platinimas naudojant aparatinę, programinę ir programinę įrangą bei aparatinę įrangą, sistemas ir kompleksus, skirtus šifravimo (kriptografinėms) priemonėms gaminti ir platinti. “
Tačiau instrukcijoje yra griežtesnių reikalavimų.
FAPSI instrukcija Nr. 152: “ 4. Konfidencialios informacijos saugojimo, apdorojimo ir perdavimo saugumas ryšių kanalais, naudojant CIPF, kurio savininkai neturi FAPSI licencijų, FAPSI licencijos turėtojai, remdamiesi sutartimis dėl paslaugų, skirtų apsaugoti kriptografinę apsaugą, organizuoja ir užtikrina ... konfidencialios informacijos.
6. Kurdamas ir įgyvendindamas priemones, skirtas organizuoti ir užtikrinti konfidencialios informacijos saugojimo, apdorojimo ir perdavimo saugumą naudojant CIPF, FAPSI licencijos turėtojas sukuria vieną ar daugiau kriptografinės apsaugos įstaigų ... "
Pagrindinė išvada toliau: organizacija, neturinti FSB licencijos, negali savarankiškai organizuoti teisingo kriptografinės informacijos apsaugos sistemos veikimo. Norėdami tai padaryti, organizacija būtinai turi susisiekti su licencijos turėtoju, sudaryti su juo paslaugų sutartį. FSB licencijos turėtojas turi OKZI struktūrą, kuri organizuoja saugos darbą klientų organizacijoje ir stebi jų įgyvendinimą (o kartais tai daro pats).
PS: Aš taip pat turėjau daug klausimų dėl atskirų instrukcijos punktų taikymo, įdomiausio uždaviau reguliuotojui, o kitame straipsnyje pasidalinsiu įdomiausia informacija ...
Taip pat įdomu pamatyti, kokių sunkumų jūs, kolegos, turėjote arba, priešingai, naudojote instrukcija.
9 komentarai:
Nežinomi komentarai ...
Iš esmės sunkumų kyla tik supratus 99-FZ nurodytą „asmeninių poreikių“ nuorodą ir nedviprasmišką FAPSI instrukcijos supratimą, kad visa tai susiję su tuo, kad įmonėje organizuojami visi būtinų priemonių, susijusių su kriptografinių apsaugos įtaisų saugojimo ir eksploatavimo organizavimu (personalo mokymas, kriptografinių apsaugos priemonių apskaitos nustatymas ir kt.), būtina sukurti kriptografinės apsaugos įstaigą. Kuris, atitinkamai, negali būti sukurtas be atitinkamos FSB licencijos.
Pavyzdžiui, viena įmonė valdo „ViPNet“ tinklą (jam priklausantį), remdamasi HW koordinatoriais. Ši bendrovė, siekdama organizuoti saugų elektroninį dokumentų valdymą, įdiegia HW koordinatorius iš savo tinklo keliose kitose įmonėse. Tačiau jis už tai nemoka, bet visa tai naudoja „savo reikmėms“, siekdamas užtikrinti PD perdavimo tarp šių bendrovių saugumą. Ar tokiu atveju įmonės „ViPNet“ tinklo savininkas turi gauti FSB licenciją, kad galėtų veikti šifravimo apsaugos srityje?
Aš konkrečiai citavau PP 313 priedą, iš kurio matyti, kad tik einamoji priežiūra patenka į išimtį (savo poreikius). Raktų diegimas, konfigūravimas ir atleidimas yra atskiri elementai ir išimtis jiems netaikoma.
Administruodami „VipNet“ tinklą, turėsite bent iš naujo paleisti klavišus ir pakeisti nustatymus. Dažniausiai taip pat iš naujo įdiegti. Taigi jūs negalite apsieiti be licencijos.
Negaliu tiksliai atsakyti į frazę „savi poreikiai“.
Pavyzdyje su „VipNet“, jei kiekviena organizacija turėtų savo „vipnet“ tinklą, tarp kurio yra sukurtas sąveika, ir kiekviena išnaudotų tik savo dalį, tai atitiktų „jos poreikius“. Jei viename tinkle yra daug organizacijų, tai jau nebe jūsų, bet reikalingi keli asmenys.
Žodžiu uždavę FSB klausimą, jie sakė, kad net jei neatlygintinai, bet kitų organizacijų poreikiams - tam reikia licencijos. 99-FZ atsisakė raštu komentuoti, sakė, kad federalinis įstatymas nėra jų dokumentas.
Nežinomi komentarai ...Dabar bet kuri organizacija perduoda duomenis Federalinei mokesčių tarnybai, pensijų fondui, FSS.
Jis taip pat dirba su pirkimo svetaine, naudodamas kriptografiją (CryptoPRO CSP, ViPNet CSP).
Vyriausybinės organizacijos dirba su savo regiono iždu.
Ir visa tai jums reikia FSB licencijos?
Pasirodo, arba jums reikia Rusijos FSB licencijos, arba jums reikia pritraukti licencijos turėtoją, kuris pristatys, įdiegs, sukonfigūruos kriptografinės informacijos apsaugos įrankius ir nuolat prižiūrės kaip OKZI.
Tai suprantama naujiems įrenginiams ir pristatymams.
Tačiau su įvairiais kriptografinės informacijos ištekliais, gautais iš kitų organizacijų - nelaimė. Būtina kažkaip kreiptis į šias organizacijas (jos taip pat turi turėti Rusijos FSB licencijas, kitaip jos negalėtų platinti), paprašyti, kad jos veiktų kaip OKZI. Jei tai nepadeda, perduokite šias kriptografinės informacijos apsaugos priemones licencijos turėtojui.
Nežinomi komentarai ...Atsiprašau, gavau daug teksto ...
Sergejus, pirmiausia noriu pasakyti, kad sutinku su jumis dėl bendro supratimo apie norminių dokumentų reikalavimus. Tačiau ši frazė „jų pačių reikmėms“ įveda labai didelį nesusipratimą. Nėra vienareikšmio aiškinimo. Būtent ginče su kolega sakau, kad „savo reikmėms“ yra tada, kai viena, kokia nors konkreti įmonė / įmonė / įmonė / organizacija naudoja kriptografinės informacijos apsaugos priemonę tik savo viduje. Dažniausias pavyzdys - įmonė (net ir turėdama filialus) sukūrė „ViPNet“ tinklą su „Business Mail“, kad perduotų konfidencialią informaciją tarp tos pačios įmonės darbuotojų. Specialiai apmokytas specialistas išduoda raktus tik šios įmonės darbuotojams, o ne kitiems. Kolega teigia, kad net jei įmonė į savo „ViPNet“ tinklą įsileidžia visiškai kitą įmonę (išleidžia raktus visiškai kito juridinio asmens darbuotojams, įdiegia „ViPNet“ kliento programinę įrangą, prižiūri šią darbo vietą), kad organizuotų saugų konfidencialų dokumentų srautą (pvz. perduoti asmens duomenis), tada viskas vienoda „jų pačių poreikiams“, nes „ViPNet“ tinklo savininkas teikia darbo vieta„ViPNet“ klientas kitam juridiniam asmeniui asmuo yra nemokamas ir šiai įmonei būtiniems poreikiams tenkinti. Pavyzdžiui, bendrovės „ViPNet“ tinklo savininkas inicijuoja būtent tokį asmens duomenų perdavimo ir jų saugumo užtikrinimo metodą, ir šiuo požiūriu nemokamai teikia paslaugas, skirtas išleisti ir įdiegti kriptografinės informacijos apsaugos priemones. Ir šis įstatymo neaiškumas tiesiog neduoda aiškaus supratimo. Nei federaliniame įstatyme „Dėl licencijuotų veiklos rūšių“, nei kituose norminius dokumentus FAPSI / FSB neturi vienareikšmio aiškinimo: "jei išleisi CIPO išimtinai sau - gali. Jei davei kitam nors nemokamai - negali, tai sulaužai!" Kaip visa tai įrodyti?
Žodiniame pokalbyje reguliuotojo atstovai sako, kad licencija dirbti su kriptografinės informacijos apsaugos priemonėmis reikalinga bet kuriuo atveju - nesvarbu, ar jų, ar ne jų poreikiams. Iš dalies tikriausiai didesnė tikimybė, nes pagal FAPSI nurodymus OKZI gali sukurti tik licencijos turėtojas. Kitas dalykas yra tai, kad galite jį perduoti iš išorės. Tačiau, kita vertus, 99-FZ sako, kad „ji nėra licencijuota savo reikmėms“ ...
Būtina kažkaip kreiptis į šias organizacijas (jos taip pat turi turėti Rusijos FSB licencijas, kitaip jos negalėtų platinti), paprašyti, kad jos veiktų kaip OKZI.
Tai neveikia - kitos organizacijos kategoriškai atsisako veikti kaip CIPF. Pasakysiu daugiau - „CryptoPro“ saugumo administratoriaus instrukcijose yra tokia skiltis, kurioje teigiama, kad registracijos centro administratorius kiekvienam savo vartotojui turi išduoti „rakto kompromiso kortelę“, kurioje yra atitinkamai CA kontaktiniai asmenys, skirti skubios pagalbos atveju. kompromisas. Tiek daug mūsų miesto švietimo centrų to nematė. Ir kai FSB atliekamo patikrinimo metu inspektoriai tai nurodė ir šiuo klausimu buvo parašyti atitinkami laiškai, šios CA ėmė atsakydamos rašyti tokias nesąmones, kad tik kažkaip paneigtų tai, ko iš jų reikalaujama. Taigi, beje, kyla natūralus klausimas: kaip šios CA gavo licenciją dirbti su kriptografinės informacijos apsaugos įrenginiais, jei jos neatitinka šių kriptografinės informacijos apsaugos sistemų kūrėjo eksploatavimo reikalavimų? Ir šie reikalavimai, savo ruožtu, yra reglamentuoti PKZ-2005 46 punkte ...
FEDERALINĖ Agentūra
Remiantis 1995 m. Vasario 20 d. Federaliniu įstatymu N 24-FZ „Dėl informacijos, informavimo ir apsaugos“ *, 1993 m. Vasario 19 d. Rusijos Federacijos įstatymu N 4524-1 „Dėl federalinių valdžios institucijų komunikacijos ir Informacija "** ir taisyklės dėl ribotos prieigos informacijos, kurioje nėra valstybės paslaptį sudarančios informacijos, šifravimo apsaugos priemonių kūrimo, gamybos, pardavimo ir naudojimo tvarkos (taisyklė PKZ-99), patvirtintos FAPSI įsakymu 1999 m. rugsėjo 23 d. N 158, 1999 m. gruodžio 28 d. Rusijos Federacijos teisingumo ministerijos įregistruota, registracija N 2029 ***, siekiant nustatyti saugojimo, apdorojimo ir perdavimo saugumo organizavimo ir užtikrinimo tvarką ryšio kanalais, naudojant ribotos prieigos informacijos, kurioje nėra valstybės paslaptį sudarančios informacijos, kriptografinę apsaugą
_______________
* Surinkti Rusijos Federacijos teisės aktai, 1995, N 8, 609 straipsnis.
** Rusijos Federacijos liaudies deputatų kongreso biuletenis ir Aukščiausioji Taryba Rusijos Federacija, 1993, Nr. 12, 423 straipsnis.
*** "Rusiškas laikraštis“, 2000, sausio 26 d.
Aš užsisakau:
Patvirtinti Saugojimo, apdorojimo ir perdavimo komunikacijos kanalais, naudojant kriptografinę apsaugą ribotos prieigos informaciją, kurioje nėra valstybės paslaptį sudarančios informacijos, organizavimo ir saugumo instrukciją (pridedama).
Generalinis vadybininkas
Agentūros
V. Matjuhinas
Registruotas
prie Teisingumo ministerijos
Rusijos Federacija
2001 m. Rugpjūčio 6 d
registracija Nr. 2848
Taikymas. Saugojimo, apdorojimo ir perdavimo ryšio kanalais, naudojant kriptografinės informacijos, turinčios ribotą prieigą, neturinčios informacijos, sudarančios valstybės informaciją, organizavimo ir saugumo instrukcijos
Taikymas
Federalinės agentūros nurodymu
vyriausybės komunikacijos
ir informacija skirta
Rusijos Federacijos prezidentui
2001 m. birželio 13 d. N 152
INSTRUKCIJA
apie saugojimo, apdorojimo ir perdavimo kanalais organizavimą ir saugumą
bendravimas naudojant kriptografinės informacijos apsaugą
su ribota prieiga, be jokios informacijos,
sudaranti valstybės paslaptį
I. Bendrosios nuostatos
1. Šioje instrukcijoje Rusijos Federacijoje apibrėžiama vienoda saugojimo, apdorojimo ir perdavimo ryšių kanalais saugumo organizavimo ir užtikrinimo procedūra, naudojant FAPSI sertifikuotas kriptografinės apsaugos priemones (šifravimo priemones), laikantis privalomos ribotos informacijos apsaugos. prieiga pagal Rusijos Federacijos įstatymus, kuriuose nėra valstybės paslaptį sudarančios informacijos *.
_______________
* Ribotos prieigos informacija, kurioje nėra valstybės paslaptį sudarančios informacijos, šiame vadove vadinama konfidencialia informacija.
Taip pat rekomenduojama vadovautis šia tvarka organizuojant ir užtikrinant saugojimo, apdorojimo ir perdavimo ryšių kanalais saugumą, naudojant neprivalomos konfidencialios informacijos apsaugos prieigą prie kriptografinės apsaugos priemonių, patvirtintų FAPSI *. pagal Rusijos Federacijos teisės aktus arba konfidencialios informacijos savininko sprendimu * * (išskyrus informaciją, kurioje yra informacijos, kurios prieiga pagal Rusijos Federacijos teisės aktus negali būti ribojama).
_______________
* FAPSI patvirtintos konfidencialios informacijos kriptografinės apsaugos priemonės šiame vadove vadinamos CIPF. CIPF apima:
- diegti kriptografinius algoritmus, skirtus informacijai, aparatinei įrangai, programinei įrangai ir programinės įrangos įrankiams, sistemoms ir kompleksams konvertuoti, kurie užtikrina informacijos saugumą ją apdorojant, saugojant ir perduodant ryšių kanalais, įskaitant CIPF;
- diegti kriptografinius algoritmus, skirtus informacijos aparatinei, programinei ir programinei įrangai, sistemoms ir kompleksams konvertuoti, siekiant apsaugoti nuo neteisėtos prieigos prie informacijos ją apdorojant ir saugojant;
- kriptografinių algoritmų, skirtų informacijos aparatinei įrangai, programinei ir aparatinei programinei įrangai, sistemoms ir kompleksams, skirtiems apsaugoti nuo melagingos informacijos, įskaitant apsaugos imitaciją ir „elektroninį parašą“, konvertavimui;
- aparatinė, programinė ir aparatinė programinė įranga, sistemos ir kompleksai, skirti gaminti ir platinti pagrindinius kriptografinės informacijos apsaugos priemonių dokumentus, neatsižvelgiant į pagrindinės informacijos laikmenos tipą.
** Konfidencialios informacijos savininkai gali būti valstybės įstaigos, valstybinės organizacijos ir kitos organizacijos, nepriklausomai nuo jų organizacinės ir teisinės formos bei nuosavybės formos, individualūs verslininkai ir pavieniai asmenys.
2. Ši instrukcija nereglamentuoja konfidencialios informacijos saugojimo, apdorojimo ir perdavimo komunikacijos kanalais, naudojant kriptografinės informacijos apsaugos sistemą, organizavimo ir užtikrinimo tvarkos Rusijos Federacijos institucijose užsienyje.
II. Saugojimo, apdorojimo ir perdavimo komunikacijos kanalais organizavimas ir saugumas naudojant konfidencialios informacijos kriptografinės informacijos apsaugos priemones
3. Konfidencialios informacijos saugojimo, apdorojimo ir perdavimo komunikacijos kanalais saugumą naudojant CIPF konfidencialiuose ryšio tinkluose *organizuoja ir teikia konfidencialios komunikacijos operatoriai **.
_______________
* Konfidencialūs komunikacijos tinklai - komunikacijos tinklai, skirti konfidencialiai informacijai perduoti.
.
** Konfidencialių ryšių operatoriai - ryšių operatoriai, teikiantys konfidencialių ryšių paslaugas naudojant kriptografinės informacijos apsaugos įrenginius pagal FAPSI licenciją.
Konfidencialios informacijos, perduotos už konfidencialių ryšių tinklų, naudojant kriptografinės informacijos apsaugos sistemas, saugojimo ir apdorojimo saugumą organizuoja ir užtikrina FAPSI *licencijuoti asmenys.
_______________
* Konfidencialių ryšių operatoriai ir asmenys, kuriems yra suteiktas FAPSI leidimas ir kurie nėra konfidencialių ryšių operatoriai, šioje instrukcijoje vadinami FAPSI licencijos turėtojais.
Asmenys, teikiantys kompensuojamas paslaugas, skirtas organizuoti ir užtikrinti konfidencialios informacijos, perduotos už konfidencialių ryšių tinklų, saugojimo ir apdorojimo saugumą naudojant kriptografinės informacijos apsaugos sistemas, turi turėti FAPSI licenciją teikti paslaugas informacijos šifravimo srityje.
4. Konfidencialios informacijos saugojimo, apdorojimo ir perdavimo komunikacijos kanalais saugumas naudojant kriptografinius duomenų apsaugos įrenginius, kurių savininkai neturi FAPSI licencijų, FAPSI licencijos turėtojai organizuoja ir užtikrina aukštesnės organizacijos nurodymu arba remdamiesi paslaugų, skirtų konfidencialios informacijos kriptografinei apsaugai, teikimo sutartys.
5. FAPSI licencijos turėtojai yra atsakingi už tai, kad būtų laikomasi priemonių, kurių jos ėmėsi, siekdamos organizuoti ir užtikrinti konfidencialios informacijos saugojimo, apdorojimo ir perdavimo komunikacijos kanalais, naudojant kriptografinės informacijos apsaugos sistemą, saugą, licencijavimo reikalavimus ir sąlygas, eksploatacines ir technines. kriptografinės informacijos apsaugos priemonės dokumentaciją, taip pat šios instrukcijos nuostatas.
Tuo pačiu metu FAPSI licencijos turėtojai privalo užtikrinti visapusišką konfidencialios informacijos apsaugą, įskaitant ne kriptografines apsaugos priemones.
6. Norėdami sukurti ir įgyvendinti priemones, skirtas organizuoti ir užtikrinti konfidencialios informacijos saugojimo, apdorojimo ir perdavimo saugumą naudojant CIPF, FAPSI licencijos turėtojas sukuria vieną ar daugiau kriptografinės apsaugos įstaigų *, apie kurias FAPSI praneša raštu.
_______________
* Kriptografinės apsaugos įstaiga gali būti organizacija, organizacijos struktūrinis padalinys - FAPSI licencijos turėtojas, konfidencialios informacijos savininkas. Kriptografinės apsaugos institucijos funkcijos gali būti priskirtos asmeniui.
Kriptografinės apsaugos įstaigos funkcijas leidžiama priskirti specialiam valstybės paslapčių apsaugos struktūriniam padaliniui, tam naudojant šifravimo priemones.
Kriptografinių apsaugos įstaigų skaičių ir jų skaičių nustato FAPSI licencijos turėtojas.
7. Kriptografinės apsaugos korpusas atlieka:
patikrinti konfidencialios informacijos savininkų pasirengimą savarankiškai naudoti kriptografinės informacijos apsaugos sistemą ir padaryti išvadas dėl galimybės valdyti kriptografinės informacijos apsaugos sistemą (nurodant naudojamų kriptografinės informacijos apsaugos įrenginių tipą ir numerius, aparatūros numerius) , programinė ir techninė įranga bei programinės įrangos įrankiai, kuriuose yra įdiegtos ar prijungtos kriptografinės informacijos apsaugos priemonės, taip pat nurodant plombų (plombų) numerius), kurios užplombavo (užplombavo) technines priemones, įskaitant CIPF, ir veikimo tikrinimo rezultatus CIPF);
priemonių, skirtų užtikrinti taikomų kriptografinės apsaugos įtaisų veikimą ir saugumą, kūrimas pagal jiems išduotų sertifikatų sąlygas, taip pat pagal šių priemonių eksploatacinę ir techninę dokumentaciją;
asmenų, besinaudojančių kriptografinėmis duomenų apsaugos priemonėmis, mokymas, darbo su jais taisyklės;
po vieną panaudotos kriptografinės informacinės sistemos apskaita, jų eksploatacinė ir techninė dokumentacija;
aptarnaujamų konfidencialios informacijos savininkų, taip pat asmenų, tiesiogiai priimtų dirbti su kriptografinės informacijos apsaugos priemonėmis, *apskaita;
_______________
* Asmenys, tiesiogiai priimti dirbti su kriptografinių duomenų apsaugos priemonėmis, šioje instrukcijoje vadinami kriptografinių duomenų apsaugos priemonių naudotojais.
paraiškų pateikimas FAPSI arba licencijos turėtojui, turinčiam FAPSI licenciją pagrindiniams CIPF dokumentams *, pagrindiniams dokumentams ar pradinei pagrindinei informacijai gaminti. Pagrindinių dokumentų parengimas iš pirminės pagrindinės informacijos, jų platinimas, platinimas ir apskaita;
_______________
* Šiame vadove naudojamos šios sąvokos ir apibrėžimai:
- kriptografinis raktas (kriptografinis raktas) - duomenų rinkinys, leidžiantis pasirinkti vieną konkrečią kriptografinę transformaciją iš visų galimų tam tikroje kriptografinėje sistemoje;
- pagrindinė informacija - specialiai organizuotas kriptografinių raktų rinkinys, skirtas informacijos kriptografinei apsaugai įgyvendinti per tam tikrą laikotarpį;
Pradinė pagrindinė informacija - duomenų rinkinys, skirtas pagal tam tikras taisykles sugeneruoti kripto raktus;
- pagrindinis dokumentas - tam tikros struktūros fizinė laikmena, kurioje yra pagrindinė informacija (pradinė pagrindinė informacija) ir, jei reikia, kontrolės, paslaugų ir technologinė informacija;
- raktų laikiklis - fizinis tam tikros struktūros nešiklis, skirtas pagrindinei informacijai (pradinei pagrindinei informacijai) talpinti. Skiriamas vienkartinis raktų laikiklis (stalas, perforuota juosta, perforuota kortelė ir kt.) Ir daugkartinio naudojimo raktų laikiklis (magnetinė juosta, diskelis, kompaktinis diskas, duomenų raktas, išmanioji kortelė, jutiklinė atmintis ir kt.);
- raktų užrašų knygelė - to paties tipo popierinių raktų dokumentų rinkinys (lentelės, perforuotos juostos, perforuotos kortelės ir kt.), įrištas ir supakuotas pagal nustatytas taisykles.
kontroliuoti, kaip laikomasi kriptografinės informacijos apsaugos priemonių naudojimo sąlygų, nustatytų kriptografinės informacijos apsaugos sistemos operatyvinėje ir techninėje dokumentacijoje, FAPSI sertifikate ir šioje instrukcijoje;
ištirti ir padaryti išvadas dėl kriptografinės informacijos apsaugos priemonių naudojimo sąlygų pažeidimo faktų, dėl kurių gali sumažėti konfidencialios informacijos apsaugos lygis, parengti ir priimti priemones, skirtas užkirsti kelią galimoms pavojingoms tokių pažeidimų pasekmėms;
konfidencialios informacijos kriptografinės apsaugos organizavimo schemos sukūrimas (nurodant žemesnio lygio kriptografinės apsaugos įstaigų, jei tokių yra, konfidencialios informacijos savininkų pavadinimą ir vietą, taip pat išsamią informaciją apie sutartis dėl konfidencialios informacijos apsaugos nuo kriptografijos paslaugų teikimo); kaip nurodomos naudojamų kriptografinės apsaugos priemonių rūšys ir pagrindiniai joms skirti dokumentai, saugomos informacijos rūšys, naudojamos kartu su techninių ryšio priemonių, taikomosios ir visos sistemos programinės įrangos ir kompiuterių technologijų CIPF). Nurodytą schemą patvirtina FAPSI licencijos turėtojas.
8. Konfidencialios informacijos savininkai, jei jie nusprendė dėl tokios informacijos kriptografinės apsaugos būtinybės arba jei sprendimą dėl jos kriptografinės apsaugos poreikio pagal Reglamentą PKZ-99 priima valstybės institucijos ar valstybinės organizacijos, privalo laikytis atitinkamų kriptografinės apsaugos įstaigų nurodymų visais organizavimo klausimais ir užtikrinti saugojimo, apdorojimo ir perdavimo saugumą ryšio kanalais, naudojant konfidencialios informacijos kriptografinės informacijos apsaugos sistemą.
9. Organizuoti konfidencialios informacijos savininkų sąveiką, kurios saugojimo, apdorojimo ir perdavimo komunikacijos kanalais saugumą, naudojant kriptografines informacines sistemas, organizuoja ir teikia įvairūs FAPSI, koordinuojančios kriptografinės apsaugos institucijos, licencijos turėtojai. yra skiriamas iš šių FAPSI licencijos turėtojų sukurtų kriptografinės apsaugos įstaigų. Visos šių FAPSI licencijos turėtojų sudarytos kriptografinės saugos įstaigos privalo laikytis kriptografinės saugos koordinavimo institucijos nurodymų, kad užtikrintų tokią sąveiką.
10. Nurodymai, reglamentuojantys konfidencialios informacijos, apsaugotos naudojant kriptografinės informacijos apsaugos priemones, rengimo, įvedimo, apdorojimo, saugojimo ir perdavimo procesus, turi būti suderinti su FAPSI licencijos turėtoju. Tokios instrukcijos yra parengtos pagal atitinkamų ryšių tinklų, automatinių ir informacinių sistemų, kuriose perduodama, apdorojama ar saugoma konfidenciali informacija, operatyvinę ir techninę dokumentaciją, atsižvelgiant į naudojamą CIPF ir šios instrukcijos nuostatas.
11. FAPSI licencijos turėtojai, atsižvelgdami į savo veiklos specifiką, gali parengti šios instrukcijos taikymo gaires, kurios neprieštarauja jos reikalavimams.
12. Pagrindinius CIPF dokumentus arba pirminę pagrindinę informaciją, skirtą pagrindiniams dokumentams rengti, FAPSI parengia pagal sutartį arba asmenys, kuriems FAPSI yra suteiktas leidimas vykdyti veiklą, susijusią su pagrindinių CIPF dokumentų rengimu.
Koordinuojantis kriptografinės apsaugos organas (jei toks yra), kriptografinės apsaugos įstaigos arba konfidencialios informacijos savininkai tiesiogiai, naudodamiesi įprastomis kriptografinės informacijos apsaugos priemonėmis, gali parengti pagrindinius dokumentus iš pradinės pagrindinės informacijos, jei tokia galimybė numatyta operacinė ir techninė kriptografinės apsaugos priemonės dokumentacija.
13. FAPSI licencijos turėtojams leidžiama atlikti kriptografinės apsaugos įstaigų darbuotojų pareigas asmenims, turintiems reikiamą kvalifikacijos lygį, kad būtų užtikrinta konfidencialios informacijos apsauga, naudojant tam tikro tipo (tipo) kriptografinės informacijos apsaugos priemones.
14. Asmenys, kurie kreipiasi dėl darbo kriptografinės apsaugos institucijose, turėtų būti supažindinti su šia instrukcija gavus.
15. Kriptografinės apsaugos institucijos darbuotojams pavestas pareigas gali atlikti visą darbo dieną dirbantys darbuotojai arba kitų struktūrinių padalinių darbuotojai, dalyvaujantys tokiame darbe kartu.
16. Apibrėždami kriptografinės apsaugos įstaigų darbuotojų pareigas, FAPSI licencijos turėtojai turėtų atsižvelgti į tai, kad konfidencialios informacijos saugojimo, apdorojimo ir perdavimo ryšių kanalais, naudojant kriptografinės informacijos apsaugos sistemą, saugumą užtikrina:
kriptografinės apsaugos įstaigų darbuotojų laikomasi konfidencialumo režimo tvarkant jiems patikėtą ar iš darbo sužinotą informaciją, įskaitant informaciją apie taikomos kriptografinės informacijos apsaugos sistemos ir pagrindinių jos dokumentų veikimą ir užtikrinimo tvarką. ;
kriptografinės apsaugos institucijų darbuotojų tikslus konfidencialios informacijos saugumo užtikrinimo reikalavimų įvykdymas;
patikimas kriptografinės apsaugos įstaigų darbuotojų saugomas kriptografinės informacijos apsaugos įtaisas, jų eksploatacinė ir techninė dokumentacija, pagrindiniai dokumentai, konfidencialios informacijos laikytojai;
kriptografinės apsaugos institucijų darbuotojai laiku aptiko pašalinių asmenų bandymus gauti informacijos apie saugomą konfidencialią informaciją, apie naudojamą kriptografinės informacijos apsaugos sistemą arba pagrindinius jiems pateiktus dokumentus;
kriptografinės apsaugos institucijų darbuotojai nedelsdami priima priemones, kuriomis siekiama užkirsti kelią konfidencialaus pobūdžio saugomos informacijos atskleidimui, taip pat galimą tokios informacijos nutekėjimą atskleidžiant kriptografinės informacijos apsaugos priemonių, pagrindinių dokumentų praradimo ar trūkumo faktus. juos, sertifikatus, leidimus, raktus iš patalpų, saugyklą, seifus (metalines spinteles), asmenines plombas ir kt.
17. Kriptografinės apsaugos įstaigų darbuotojų mokymus ir kvalifikacijos kėlimą vykdo organizacijos, turinčios licenciją vykdyti edukacinę veiklą pagal atitinkamas programas.
18. Kriptografinės apsaugos įstaigos darbuotojai privalo turėti funkcines pareigas, parengtas pagal šias instrukcijas ir patvirtintas FAPSI licencijos turėtojo. Kriptografinės apsaugos institucijų darbuotojų supažindinimo su konfidencialia informacija apimtį ir tvarką nustato konfidencialios informacijos savininkas.
Atsakomybė tarp kriptografinės apsaugos įstaigos darbuotojų turėtų būti paskirstyta atsižvelgiant į asmeninę atsakomybę už kriptografinės informacijos apsaugos priemonių, pagrindinių dokumentų ir dokumentų saugumą, taip pat už priskirtas darbo sritis.
19. Asmenims leidžiama dirbti su kriptografinės informacijos apsaugos priemonėmis pagal atitinkamo konfidencialios informacijos savininko patvirtintą kriptografinės informacijos apsaugos priemonių sąrašą. Prieš suteikiant tokį patvirtinimą, su FAPSI licencijos turėtoju turi būti suderinta techninė galimybė naudoti CIPF asmenis, įtrauktus į šį sąrašą.
FAPSI licencijos turėtojai, turėdami teisę susipažinti su konfidencialia informacija, dėl kurios susitarta su konfidencialios informacijos savininkais, turi teisę patvirtinti tokį sąrašą savo pavaldžių pareigūnų atžvilgiu.
20. CIPF naudotojai privalo:
neatskleisti konfidencialios informacijos, kuriai jie yra leidžiami, jos apsaugos ribų, įskaitant informaciją apie šifravimo raktus;
laikytis konfidencialios informacijos saugumo užtikrinimo reikalavimų, naudojant kriptografinės informacijos apsaugos priemones;
informuoti kriptografinės apsaugos instituciją apie jiems žinomus pašalinių asmenų bandymus gauti informacijos apie naudojamą kriptografinės apsaugos informaciją arba pagrindinius jiems dokumentus;
atleisdamas ar atleisdamas iš pareigų, susijusių su CIPF naudojimu, pateikia jiems CIPF, eksploatacinę ir techninę dokumentaciją, pagrindinius dokumentus šios instrukcijos nustatyta tvarka;
nedelsiant pranešti kriptografinės apsaugos įstaigai apie kriptografinės informacijos apsaugos priemonių, jų pagrindinių dokumentų, raktų iš patalpų, saugyklų, asmeninių antspaudų praradimą ar trūkumą ir kitus faktus, dėl kurių gali būti atskleista saugoma konfidenciali informacija, taip pat galimo tokios informacijos nutekėjimo priežastys ir sąlygos ...
21. Vartotojams leidžiama tiesiogiai dirbti su CIPF tik po atitinkamo mokymo.
Darbo su kriptografinės apsaugos priemonėmis taisyklių naudotojus moko atitinkamos kriptografinės apsaugos įstaigos darbuotojai. Dokumentas, patvirtinantis tinkamą specialų vartotojų mokymą ir galimybę jiems savarankiškai dirbti su kriptografinės informacijos apsaugos priemonėmis, yra atitinkamos kriptografinės apsaugos įstaigos komisijos išvada, pagrįsta kreditais, paimtais iš šių asmenų pagal mokymo programą .
III. Kriptografinės informacijos apsaugos įrankių ir jų šifravimo raktų tvarkymo tvarka. Kriptografinių raktų pažeidimo priemonės
_______________
* Šiame vadove esantis šifravimo raktų kompromisas reiškia vagystę, praradimą, atskleidimą, neteisėtą kopijavimą ir kitus incidentus, dėl kurių kriptografiniai raktai gali tapti prieinami pašaliniams asmenims ir (ar) procesams.
22. Paskirtos užtikrinti konfidencialios informacijos saugojimo, apdorojimo ir perdavimo komunikacijos kanalais saugumą, kriptografinės informacijos apsaugos priemonės, taip pat pagrindiniai joms skirti dokumentai neturėtų turėti valstybės paslaptį sudarančios informacijos.
23. Federalinėse vykdomosiose institucijose pagrindiniai dokumentai, kriptografinės informacijos apsaugos priemonės su įvestais šifravimo raktais yra priskiriami prie materialių laikmenų, kuriuose yra ribotos platinimo nuosavybės teisės turinti informacija. Tuo pačiu metu turi būti įvykdyti šios instrukcijos ir kitų dokumentų, reglamentuojančių ribotos platinimo oficialios informacijos tvarkymą federalinėse vykdomosiose institucijose, reikalavimai.
Kiti konfidencialios informacijos savininkai, tvarkydami pagrindinius dokumentus, kriptografinės informacijos apsaugos priemonės su įvestais šifravimo raktais, turi vadovautis šia instrukcija.
24. Siekiant organizuoti ir užtikrinti konfidencialios informacijos saugojimo, apdorojimo ir perdavimo ryšių kanalais saugumą, turėtų būti naudojamos kriptografinės informacijos apsaugos priemonės, leidžiančios įgyvendinti abonento šifravimo principą ir numatyti užšifruotų raktų įrašymą į elektroninių raktų laikiklius pakartotinis (ilgalaikis) naudojimas (diskeliai, kompaktiniai diskai), duomenų raktas, išmanioji kortelė, jutiklinė atmintis ir kt.).
25. Jei būtina techninėmis komunikacijos priemonėmis perduoti tarnybinius pranešimus, susijusius su konfidencialios informacijos saugojimo, apdorojimo ir perdavimo organizavimu ir saugumu ryšių kanalais, naudojant kriptografinių duomenų apsaugos priemonę, atitinkamos instrukcijos turi būti perduodamos tik naudojant kriptografinę duomenų apsaugos priemonė. Neleidžiama perduoti šifravimo raktų techninėmis ryšio priemonėmis, išskyrus specialiai organizuotas sistemas su decentralizuotu šifravimo raktų tiekimu.
26. Naudota ar saugoma CIPF, jiems skirta eksploatacinė ir techninė dokumentacija, pagrindiniai dokumentai turi būti apskaitomi po vieną pagal nustatytas formas pagal PKZ-99 reglamento reikalavimus. Tuo pačiu metu reikia atsižvelgti į programinės įrangos kriptografinės informacijos apsaugos priemones kartu su aparatūra, su kuria atliekamas įprastas jų veikimas. Jei aparatinė arba aparatinė-programinė įranga SKZI yra prijungta prie sistemos magistralės arba prie vienos iš vidinių aparatinės įrangos sąsajų, į tokį SKZI taip pat atsižvelgiama kartu su atitinkama aparatine įranga.
Pagrindinių dokumentų po vieną apskaitos vienetas laikomas pagrindine daugkartinio naudojimo priemone, raktažodžiu. Jei vienas ir tas pats raktų laikiklis pakartotinai naudojamas kriptografiniams raktams įrašyti, tai kiekvieną kartą jis turėtų būti registruojamas atskirai.
CIPF po vieną apskaitos, operatyvinės ir techninės dokumentacijos žurnalus, pagrindinius dokumentus (Instrukcijos 1, 2 priedai) saugo kriptografinės apsaugos įstaigos ir konfidencialios informacijos savininkai.
27. Visos jiems skirtos kriptografinės informacijos apsaugos sistemos, operatyvinės ir techninės dokumentacijos kopijos, pagrindiniai dokumentai, kuriuos gavo konfidencialios informacijos savininkas, turi būti išduodami prieš gavus atitinkamame atskirų įrašų registre kriptografinės informacijos apsaugos sistemos naudotojams, kurie yra asmeniškai atsakingi už savo saugumą.
Kriptografinės apsaugos institucijos kiekvienam kriptografinės apsaugos sistemos vartotojui sukuria ir tvarko asmeninę paskyrą, kurioje registruoja kriptografinės apsaugos informacinę sistemą, jų veiklos ir techninę dokumentaciją, pagrindinius dokumentus.
28. Jei CIPF operatyvinėje ir techninėje dokumentacijoje numatyta naudoti vienkartinius raktų laikiklius arba šifravimo raktus, jie įvedami ir saugomi (visą jų galiojimo laiką) tiesiogiai CIPF, tada toks vienkartinis raktų laikiklis arba elektroninis atitinkamo šifravimo rakto įrašas turi būti užregistruotas techniniame (aparatinės įrangos) žurnale (instrukcijos 3 priedas), kurį tiesiogiai tvarko CIPF vartotojas. Techninis (aparatinės įrangos) žurnalas taip pat atspindi CIPF veikimo duomenis ir kitą informaciją, numatytą eksploatacinėje ir techninėje dokumentacijoje. Kitais atvejais CIPF techninis (aparatinės įrangos) žurnalas nepradedamas (jei CIPF operatyvinėje ar techninėje dokumentacijoje nėra tiesioginių jo priežiūros instrukcijų).
29. Kriptografinių duomenų apsaugos priemonių, operatyvinės ir techninės dokumentacijos, pagrindinių dokumentų perdavimas joms, pagrindiniams dokumentams leidžiamas tik tarp kriptografinių duomenų apsaugos priemonių naudotojų ir (arba) kriptografinės apsaugos įstaigos darbuotojų prieš gavimą atitinkamuose atskirų įrašų žurnaluose. Tokiam perdavimui tarp CIPF naudotojų turi suteikti atitinkamos kriptografinės apsaugos institucijos leidimą.
Konfidencialios informacijos savininkas, gavęs kriptografinės apsaugos institucijos sutikimą, gali leisti perduoti kriptografinės apsaugos priemones, dokumentus, pagrindinius dokumentus tarp asmenų, įleistų į kriptografinės informacijos apsaugos sistemą pagal veiksmus be privalomo žymos registre. individualūs rekordai.
30. CIPF vartotojai saugo CIPF diegimo laikmenas, CIPF eksploatacinę ir techninę dokumentaciją, pagrindinius dokumentus spintelėse (dėžėse, saugyklose), skirtus individualiam naudojimui, tokiomis sąlygomis, kurios neleidžia nekontroliuojamai prieiti prie jų, taip pat netyčia jų sunaikinti.
CIPF vartotojai taip pat numato atskirą saugų galiojančių ir atsarginių raktų dokumentų, skirtų naudoti galimų šifravimo raktų pažeidimo atveju, saugojimą.
31. Techninėje įrangoje, su kuria vykdomas įprastas kriptografinės informacijos apsaugos sistemos veikimas, taip pat techninės ir programinės įrangos programinės įrangos kriptografinės informacijos apsaugos sistemoje turi būti įrengtos jų atidarymo kontrolės priemonės (užplombuotos, užplombuotos). CIPF, aparatūros sandarinimo (sandarinimo) vieta turi būti tokia, kad ją būtų galima vizualiai valdyti. Jei yra techninių galimybių, kol nėra CIPF vartotojų, šios priemonės turi būti atjungtos nuo ryšio linijos ir dedamos į sandarias saugyklas.
32. Kriptografinės apsaugos priemonės ir pagrindiniai dokumentai gali būti pristatomi per kurjerių (įskaitant departamentų) ryšius arba specialiai paskirtus pasiuntinius iš kriptografinės apsaugos įstaigos darbuotojų ar jiems skirtų kriptografinės apsaugos priemonės naudotojų, taikant priemones, kurios netaikomos nekontroliuojama prieiga prie jų pristatymo metu.
Operatyvinė ir techninė CIPF dokumentacija gali būti siunčiama registruotu arba vertingu paštu.
33. Norint išsiųsti CIPF, pagrindiniai dokumentai turi būti sudėti į tvirtą pakuotę, neįskaitant fizinės žalos ir išorinio poveikio, ypač įrašytos pagrindinės informacijos. CIPF jiems siunčiamas atskirai nuo pagrindinių dokumentų. Paketuose nurodoma kriptografinės apsaugos institucija arba CIPF vartotojas, kuriam šie paketai yra skirti. Ant pakuotės, skirtos kriptografinės informacijos apsaugos sistemos vartotojui, yra užrašas „Asmeniškai“. Pakuotės yra užplombuotos taip, kad neįmanoma iš jų ištraukti turinio nepažeidžiant pakuočių ir antspaudų.
Taip suprojektuota pakuotė, lauko komunikacijoms pateikus papildomų reikalavimų, dedama į išorinę pakuotę, suprojektuotą pagal reikalavimus. Prieš pradinį išsiuntimą (ar grąžinimą) adresatas atskiru laišku informuojamas apie jam atsiųstų pakuočių aprašymą ir antspaudus, kuriais jie gali būti užplombuoti.
34. Norint jiems nusiųsti CIPF, operatyvinę ir techninę dokumentaciją, pagrindinius dokumentus, turėtų būti parengtas lydraštis, kuriame būtina nurodyti, kas siunčiama ir kokiu kiekiu, produktų ar dokumentų sąskaitos numeriai, taip pat jei reikia, išsiųstos prekės naudojimo tikslas ir tvarka ... Motyvacinis laiškas pridedamas prie vienos iš pakuočių.
35. Gautas pakuotes atidaro tik kriptografinės apsaugos institucija arba asmeniškai kriptografinės informacijos apsaugos sistemos vartotojai, kuriems jos yra skirtos. Jei gautos pakuotės turinys neatitinka nurodytos lydraštyje arba pakuotėje ir pats antspaudas neatitinka jų aprašymo (įspaudo), taip pat jei pakuotė yra sugadinta, dėl to nemokama prieiga suformuotas jo turinys, tada gavėjas surašo aktą, kuris siunčiamas siuntėjui, ir prireikus apie tai praneša atitinkamai kriptografinės apsaugos institucijai. Su tokiais daiktais gautais CIPF ir pagrindiniais dokumentais neleidžiama naudotis, kol negaunami siuntėjo ir kriptografinės apsaugos institucijos nurodymai.
36. Jei aptinkami sugedę raktiniai dokumentai arba šifravimo raktai, viena sugedusio produkto kopija turi būti grąžinta gamintojui per atitinkamą kriptografinės apsaugos instituciją, kad būtų galima nustatyti incidento priežastis ir jas pašalinti ateityje, o likusios kopijos turėtų būti saugomi tol, kol bus gauti papildomi kriptografinės apsaugos institucijos arba gamintojo nurodymai.
37. FAPSI licencijos turėtojas, padaręs pagrindinių dokumentų gamybos trūkumą, siekdamas nustatyti incidento priežastis, gali kreiptis į FAPSI, kad šis sutikimo pagrindu išnagrinėtų sugadintus pagrindinius dokumentus.
38. CIPF gavimas, jų eksploatacinė ir techninė dokumentacija, pagrindiniai dokumentai turi būti patvirtinti siuntėjo lydimajame laiške nurodyta tvarka. Siuntėjas privalo kontroliuoti savo daiktų pristatymą adresatams. Jei iš adresato laiku nebuvo gautas atitinkamas patvirtinimas, siuntėjas turi nusiųsti jam prašymą ir imtis priemonių, kad išaiškintų daiktų buvimo vietą.
39. Užsakymas pateikti kitus svarbiausius dokumentus, juos pagaminti ir išplatinti į naudojimo vietas, kad laiku būtų pakeisti esami pagrindiniai dokumentai, turėtų būti pateiktas iš anksto. Nurodymas dėl kitų pagrindinių dokumentų įsigaliojimo gali būti pateiktas tik po to, kai kriptografinės apsaugos įstaiga iš visų suinteresuotų kriptografinės informacijos apsaugos priemonės naudotojų gauna patvirtinimus apie kitų pagrindinių dokumentų gavimą.
40. Pagrindinius dokumentus ar pirminę pagrindinę informaciją, kurią parengė FAPSI, gali platinti naudojimo vietos federalinės vyriausybės ryšių ir informacijos įstaigos. Toks platinimas vykdomas kriptografinės apsaugos institucijos arba koordinuojančios kriptografinės apsaugos institucijos (jei yra) prašymu pagal sutartį.
41. Nepanaudoti arba nebenaudojami pagrindiniai dokumentai turi būti grąžinami kriptografinės apsaugos institucijai arba, jos nurodymu, turi būti sunaikinti vietoje.
42. Kripto raktus (pradinę raktinę informaciją) galima sunaikinti fiziškai sunaikinant raktų laikiklį, kuriame jie yra, arba ištrinant (sunaikinant) šifravimo raktus (pradinę raktinę informaciją), nepažeidžiant rakto laikiklio (siekiant užtikrinti daugkartinio naudojimo).
Kriptoraktai (originali pagrindinė informacija) ištrinami pagal technologiją, pritaikytą atitinkamiems daugkartinio naudojimo raktų laikmenoms (diskeliams, kompaktiniams diskams, duomenų raktui, išmaniajai kortelei, jutiklinei atminčiai ir kt.). Neatidėliotinus veiksmus, skirtus ištrinti šifravimo raktus (pradinė pagrindinė informacija), taip pat galimus tolesnio atitinkamų daugkartinio naudojimo raktų laikiklių naudojimo apribojimus reglamentuoja atitinkamos kriptografinės informacijos apsaugos sistemos operatyvinė ir techninė dokumentacija, taip pat organizacija, kuri įrašė šifravimo raktus (pradinė pagrindinė informacija).
Pagrindiniai nešikliai sunaikinami padarius jiems nepataisomą fizinę žalą, atmetant galimybę juos naudoti, taip pat atkuriant pagrindinę informaciją. Tiesioginius veiksmus, skirtus sunaikinti tam tikro tipo raktų laikmeną, reglamentuoja atitinkamos kriptografinės informacijos apsaugos sistemos operatyvinė ir techninė dokumentacija, taip pat organizacijos, užfiksavusios šifravimo raktus, nurodymai (pradinė rakto informacija).
Popierius ir kiti degūs raktų laikikliai, taip pat CIPF eksploatacinė ir techninė dokumentacija sunaikinami deginant arba naudojant bet kokias popieriaus pjaustymo mašinas.
43. CIPF sunaikinamas (pašalinamas) pagal PKZ-99 reglamento reikalavimus konfidencialios informacijos savininko, kuriam priklauso CIP, sprendimu ir sutikus su FAPSI licencijos turėtoju.
CIPF, kuriuos planuojama sunaikinti (šalinti), reikia pašalinti iš aparatūros, su kuria jie veikė. Šiuo atveju kriptografinės informacijos apsaugos priemonės laikomos pašalintomis iš aparatūros, jei atliekama kriptografinių duomenų apsaugos priemonės pašalinimo procedūra, numatyta kriptografinės informacijos apsaugos priemonės eksploatacinėje ir techninėje dokumentacijoje, ir jos yra visiškai atjungtos nuo aparatinės įrangos. .
44. Bendrosios paskirties aparatūros vienetai ir dalys, tinkami tolesniam naudojimui, specialiai neskirti kriptografiniams algoritmams ar kitoms kriptografinės informacijos apsaugos įtaisų funkcijoms įgyvendinti, taip pat įranga, kartu dirbanti su kriptografinės informacijos apsaugos įtaisais (monitoriais, spausdintuvais, skaitytuvus, klaviatūras ir kt.) leidžiama be apribojimų naudoti sunaikinus CIPF. Tokiu atveju informacija, kuri gali likti įrangos atminties įrenginiuose (pavyzdžiui, spausdintuvuose, skaitytuvuose), turi būti patikimai ištrinta (ištrinta).
45. Pagrindiniai dokumentai turi būti sunaikinti per atitinkamo KIP operatyvinėje ir techninėje dokumentacijoje nurodytą laiką. Jei nenustatytas sunaikinimo terminas eksploataciniais ir techniniais dokumentais, pagrindiniai dokumentai turi būti sunaikinti ne vėliau kaip per 10 dienų nuo jų panaikinimo (galiojimo laikas). Sunaikinimo faktas užfiksuotas atitinkamuose individualiuose registracijos žurnaluose. Per tą patį laikotarpį su techninės (aparatinės įrangos) žurnale esančia pastaba turi būti sunaikinti vienkartiniai raktų laikikliai ir pagrindinė informacija, anksčiau įvesta ir saugoma CIPF ar kituose papildomuose įrenginiuose, atitinkančiuose pašalintus šifravimo raktus; duomenys, saugomi kriptografiškai apsaugota forma, turėtų būti iš naujo užšifruoti naudojant naujus šifravimo raktus.
46. Vienkartinius raktų laikiklius, taip pat elektroninius pagrindinės informacijos įrašus, atitinkančius atsiimtus šifravimo raktus, tiesiogiai kriptografinių duomenų apsaugos sistemoje ar kituose papildomuose įrenginiuose šių kriptografinių duomenų apsaugos priemonių naudotojai sunaikina patys. prieš kvitą techniniame (aparatūros) žurnale.
Pagrindinius dokumentus sunaikina arba kriptografinės informacijos saugumo priemonių naudotojai, arba kriptografinės apsaugos institucijos darbuotojai, gavę kvitą atitinkamuose atskirų įrašų žurnaluose, o didelės apimties pagrindinių dokumentų sunaikinimas gali būti įformintas aktu. Tuo pačiu metu CIPF vartotojams leidžiama sunaikinti tik jų tiesiogiai naudojamus (jiems skirtus) šifravimo raktus. Po sunaikinimo kriptografinės informacijos apsaugos priemonių naudotojai turi apie tai pranešti (telefonu, žodžiu telefonu ir pan.) Atitinkamai kriptografinės apsaugos įstaigai, kad ši nurašytų sunaikintus dokumentus iš savo asmeninių paskyrų. Bent kartą per metus CIPF vartotojai turi nusiųsti raštiškas ataskaitas apie sunaikintus pagrindinius dokumentus kriptografinės apsaugos institucijai. Kriptografinės apsaugos institucija turi teisę nustatyti šių ataskaitų teikimo dažnumą dažniau nei kartą per metus.
Sunaikinimą pagal aktą atlieka komisija, kurią sudaro ne mažiau kaip du žmonės iš kriptografinės apsaugos įstaigos darbuotojų. Akte nurodoma, kas sunaikinama ir kokiu kiekiu. Akto pabaigoje padaromas galutinis įrašas (skaičiais ir žodžiais) apie sunaikintų pagrindinių dokumentų vardų ir kopijų skaičių, įdiegiant CIPF laikmenas, eksploatacinę ir techninę dokumentaciją. Akto teksto pataisos turi būti suderintos ir patvirtintos visų naikinime dalyvavusių komisijos narių parašais. Sunaikinimas turi būti pažymėtas atitinkamuose individualiuose registracijos žurnaluose.
47. Kriptoraktai, dėl kurių kyla įtarimas dėl kompromiso, taip pat kiti kartu su jais veikiantys kriptografiniai raktai turi būti nedelsiant pašalinti, nebent CIPF operatyvinėje ir techninėje dokumentacijoje būtų nurodyta kita procedūra. Apie šifravimo raktų panaikinimą pranešama atitinkamai kriptografinės apsaugos institucijai. Avariniais atvejais, kai nėra kriptografinių raktų, kurie pakeistų pažeistus raktus, FAPSI licencijos turėtojo sprendimu leidžiama naudoti pažeistus šifravimo raktus. Tokiu atveju pažeistų šifravimo raktų naudojimo laikotarpis turėtų būti kuo trumpesnis, o perduodama informacija turėtų būti kuo mažiau vertinga.
48. Kriptografinės apsaugos naudotojai privalo pranešti apie visus pažeidimus, dėl kurių gali būti pažeisti kriptografiniai raktai, jų sudedamosios dalys ar konfidenciali informacija, perduota (saugoma) naudojant. Neįgaliotų asmenų atliktas pakartotinai naudojamų raktų laikiklių tikrinimas neturėtų būti laikomas įtarimu dėl kriptografinių raktų pažeidimo, jei tuo pačiu metu buvo atmesta galimybė jų nukopijuoti (skaityti, kopijuoti). Esant trūkumui, nepateikus pagrindinių dokumentų, taip pat nežinant dėl jų buvimo vietos, imamasi skubių priemonių jų ieškoti.
49. Priemonės, skirtos ieškoti ir lokalizuoti konfidencialios informacijos, perduotos (saugomos) naudojant CIPF, kompromiso padarinius, organizuoja ir vykdo pažeistos konfidencialios informacijos savininkas.
50. Tvarka, skirta pranešti kriptografinės informacijos apsaugos priemonių naudotojams apie tariamą šifravimo raktų pažeidimą ir jų pakeitimą, nustato atitinkama kriptografinės apsaugos įstaiga arba FAPSI.
IV. Apgyvendinimas, speciali įranga, saugumas ir režimo organizavimas patalpose, kuriose sumontuota CIPF arba saugomi pagrindiniai jiems skirti dokumentai
51. Apgyvendinimas, speciali įranga, saugumas ir režimo organizavimas patalpose, kuriose sumontuota CIPF arba saugomi pagrindiniai jų dokumentai *, turi užtikrinti konfidencialios informacijos **, CIPF, pagrindinių dokumentų saugumą.
_______________
* Patalpos, kuriose sumontuota CIPF arba saugomi pagrindiniai jų dokumentai, nurodytos šioje instrukcijoje - specialios patalpos.
** Konfidencialios informacijos saugumo specialiose patalpose užtikrinimo reikalavimai yra panašūs į reikalavimus patalpoms, kuriose atliekami darbai, susiję su tokios informacijos saugojimu (apdorojimu), ir nustato konfidencialios informacijos savininkas.
Įrengiant specialias patalpas, turi būti laikomasi kriptografinių apsaugos įtaisų, taip pat kitos su kriptografiniais apsaugos įtaisais veikiančios įrangos, išdėstymo, įrengimo reikalavimų.
Šioje instrukcijoje išvardytų specialių patalpų reikalavimai negali būti keliami, jei tai numato kriptografinės informacijos apsaugos priemonės naudojimo taisyklės, suderintos su FAPSI.
52. Specialios patalpos skiriamos atsižvelgiant į kontroliuojamų zonų dydį, reglamentuojamą SKZI veiklos ir techninės dokumentacijos. Specialiose patalpose turi būti tvirtos įėjimo durys su spynomis, kurios garantuoja patikimą specialių patalpų uždarymą ne darbo metu. Specialių patalpų langai, esantys pirmame ar paskutiniame pastato aukšte, taip pat langai, esantys šalia gaisrinių išėjimų ir kitų vietų, iš kurių neįgalioti asmenys gali patekti į specialias patalpas, turi būti su metaliniais strypais, langinėmis ar įsilaužimu signalizacijos ar kitos priemonės, neleidžiančios nekontroliuojamai patekti į specialias patalpas.
53. Apgyvendinimas, speciali įranga, saugumas ir režimo organizavimas specialiose kriptografinės apsaugos įstaigų patalpose neturėtų užkirsti kelio nekontroliuojamam pašalinių asmenų įsiskverbimui ar buvimui, taip pat neįgaliotiems asmenims peržiūrėti ten atliekamą darbą.
54. Kriptografinės apsaugos įstaigų specialių patalpų apsaugos režimą, įskaitant darbuotojų ir lankytojų priėmimo darbo ir ne darbo metu taisykles, nustato FAPSI licencijos turėtojas, prireikus susitaręs su konfidencialios informacijos savininku. kurių patalpose yra atitinkamas kriptografinės apsaugos korpusas. Nustatytas saugumo režimas turėtų numatyti periodinį techninės apsaugos įrangos, jei jos yra, būklės stebėjimą, taip pat atsižvelgti į šios instrukcijos nuostatas.
55. Kriptografinės apsaugos institucijų specialių patalpų durys turi būti visam laikui užrakintos ir jas galima atidaryti tik įgaliotam darbuotojų ir lankytojų praėjimui. Įėjimo durų raktai yra sunumeruoti, įrašomi ir išduodami kriptografinės apsaugos institucijų darbuotojams prieš gavimą saugojimo žurnalo knygoje. Pasikartojantys raktai nuo tokių specialių patalpų įėjimo durų turėtų būti laikomi kriptografinės apsaugos institucijos vadovo seife. Negalima laikyti pasikartojančių raktų už kriptografinės apsaugos institucijos patalpų ribų.
56. Kad specialiosios kriptografinės apsaugos įstaigų patalpos nebūtų matomos iš išorės, jų langai turi būti apsaugoti.
57. Specialiose kriptografinės apsaugos institucijų patalpose paprastai turėtų būti įrengta signalizacija, susijusi su pastato apsaugos tarnyba ar organizacijoje budinčiu asmeniu. Signalizacijos tinkamumą turėtų periodiškai tikrinti kriptografinės apsaugos įstaigos vadovas arba, jo vardu, kitam šios įstaigos darbuotojui, kartu su saugos tarnybos atstovu ar organizacijoje budinčiu asmeniu su užrašu atitinkamus žurnalus.
58. Kiekvienas kriptografinės apsaugos elementas, skirtas pagrindiniams dokumentams, eksploatacinei ir techninei dokumentacijai saugoti, CIPF laikmenoms įdiegti, turi turėti reikiamą skaičių patikimų metalinių saugyklų su vidinėmis spynomis su dviem raktų kopijomis ir kombinuotomis spynomis arba rakto skylių sandarinimo įtaisais. Vieną raktų kopiją iš saugyklos turi saugoti už skliautą atsakingas darbuotojas. Darbuotojai saugo raktų dublikatus iš skliautų kriptografinės apsaugos įstaigos vadovo seife.
Rakto dublikatas iš kriptografinės apsaugos įstaigos vadovo saugyklos sandarioje pakuotėje turi būti perduotas saugoti FAPSI licencijos turėtojo paskirtam pareigūnui, gavus kvitą atitinkamame žurnale.
59. Darbo dienos pabaigoje specialios kriptografinės apsaugos įstaigos patalpos ir jose įrengtos saugyklos turi būti uždarytos, saugyklos sandariai uždarytos. Naudojamų skliautų raktai turi būti perduoti atitinkamame žurnale esančiam kvitui kriptografinės apsaugos įstaigos vadovui arba jo įgaliotam asmeniui (budėtojui), kuris šiuos raktus laiko asmeniniame ar specialiai tam skirtame skliaute.
Raktus iš specialių patalpų, taip pat raktą iš saugyklos, kuriame yra visų kitų kriptografinės apsaugos institucijos saugyklų raktai, užplombuota forma reikia perduoti apsaugos tarnybai arba organizacijoje budintis asmuo tuo pačiu metu perduodamas saugomas specialias patalpas. Sandėliai, skirti sandėliavimui, turi būti saugomi už šias saugyklas atsakingų kriptografinės apsaugos institucijos darbuotojų.
60. Praradus raktą nuo skliauto ar nuo lauko durų į specialią kriptografinės apsaugos korpuso patalpą, spyna turi būti pakeista arba jos paslaptis perdaroma, pagaminus naujus dokumentinius raktus. Jei spynos iš skliauto negalima pakeisti, tokį skliautą reikia pakeisti. Raktų ir kitų dokumentų saugojimo saugykloje, iš kurios buvo pamestas raktas, tvarką, kol nebus pakeista spynos paslaptis, nustato kriptografinės apsaugos įstaigos vadovas.
61. Įprastomis kriptografinės apsaugos institucijos specialių patalpų sąlygomis jose esančias sandarias saugyklas gali atidaryti tik kriptografinės apsaugos institucijos darbuotojai.
Nustačius ženklus, rodančius, kad neįgalioti asmenys gali neteisėtai patekti į šias specialias patalpas ar saugyklas, apie incidentą reikia nedelsiant pranešti kriptografinės apsaugos institucijos vadovui. Atvykę kriptografinės apsaugos institucijos darbuotojai turėtų įvertinti galimybę pakenkti saugomam raktui ir kitiems dokumentams, surašyti aktą ir prireikus imtis priemonių lokaliai konfidencialios informacijos pažeidimo pasekmėms lokalizuoti ir pažeistiems šifravimo raktams pakeisti.
62. Kriptografinės informacijos apsaugos įtaisų, taip pat kitos įrangos, veikiančios su kriptografinės informacijos apsaugos įtaisais, patalpinimas ir įrengimas specialiose kriptografinės informacijos apsaugos įtaisų patalpose turėtų sumažinti nekontroliuojamo pašalinių asmenų prieigą prie nurodytų priemonių. Tokios įrangos priežiūra ir kriptografinių raktų keitimas atliekamas nesant asmenų, kuriems neleidžiama dirbti su kriptografinių duomenų apsaugos sistema.
Jei nėra CIPF naudotojų, nurodytą įrangą, jei tai techniškai įmanoma, reikia išjungti, atjungti nuo ryšio linijos ir sudėti į sandarias saugyklas. Priešingu atveju kriptografinių duomenų apsaugos sistemos naudotojai, susitarę su kriptografinės apsaugos institucija, privalo pasirūpinti organizacinėmis ir techninėmis priemonėmis, kurios pašalina galimybę nesankcionuotiems asmenims naudotis kriptografinių duomenų apsaugos priemone jų nesant.
63. Specialių kriptografinės informacijos apsaugos įrenginių patalpų apsaugos būdą, įskaitant darbuotojų ir lankytojų priėmimo darbo ir ne darbo metu taisykles, nustato konfidencialios informacijos savininkas, susitaręs su atitinkama kriptografinės apsaugos institucija. Nustatytas saugumo režimas turėtų numatyti periodinį techninės apsaugos įrangos, jei tokios yra, būklės stebėjimą, taip pat į šios instrukcijos nuostatas, konkrečių CIPF naudotojų specifiką ir darbo sąlygas.
64. Specialiose CIPF vartotojų patalpose, kuriose saugomi jiems išduoti pagrindiniai dokumentai, eksploatacinė ir techninė dokumentacija bei CIPF įrengimo laikmenos, būtina turėti pakankamą skaičių patikimai užrakinamų spintelių (dėžių, saugyklų), skirtų individualiam naudojimui. , įrengti rakto skylių sandarinimo įtaisai. Šių saugyklų raktus turi saugoti atitinkami CIPF vartotojai.
65. Praradus raktą nuo skliauto ar nuo priekinių durų į specialią SKZI vartotojo patalpą, spyną reikia pakeisti arba pakeisti jos paslaptį, pagaminus naujus raktus su dokumentine registracija. . Jei spynos iš skliauto negalima pakeisti, tokį skliautą reikia pakeisti. Raktų ir kitų dokumentų saugojimo saugykloje, iš kurios buvo pamestas raktas, tvarką, kol nebus pakeista užrakto paslaptis, nustato kriptografinės apsaugos institucija.
66. Įprastomis sąlygomis uždarytas CIPF naudotojų saugyklas gali atidaryti tik patys vartotojai.
Nustačius ženklus, rodančius, kad neįgalioti asmenys gali neteisėtai patekti į šias specialias patalpas ar saugyklas, apie incidentą reikia nedelsiant pranešti konfidencialios informacijos savininko vadovybei ir kriptografinės apsaugos įstaigos vadovui. Atvykę kriptografinės apsaugos institucijos darbuotojai turėtų įvertinti galimybę pakenkti saugomam raktui ir kitiems dokumentams, surašyti aktą ir prireikus imtis priemonių lokaliai konfidencialios informacijos pažeidimo pasekmėms lokalizuoti ir pažeistiems šifravimo raktams pakeisti.
V. Konfidencialios informacijos saugojimo, apdorojimo ir perdavimo komunikacijos kanalais organizavimo ir saugumo kontrolė naudojant kriptografinės informacijos apsaugos priemones
67. Konfidencialios informacijos saugojimo, apdorojimo ir perdavimo komunikacijos kanalais organizavimo ir saugumo kontrolė naudojant kriptografinės informacijos apsaugos priemones - valstybės kontrolę vykdo federalinės vyriausybės ryšių ir informacijos įstaigos *. Vykdant valstybės kontrolę, tiriami ir vertinami šie dalykai:
_______________
* Federalinės vyriausybės komunikacijos ir informacijos įstaigos šioje instrukcijoje reiškia pagrindinius FAPSI departamentus, FAPSI departamentus federaliniuose rajonuose, regioninius vyriausybės komunikacijos ir informacijos departamentus bei vyriausybės komunikacijos centrus.
konfidencialios informacijos saugojimo, apdorojimo ir perdavimo komunikacijos kanalais saugumo organizavimas naudojant kriptografinės informacijos apsaugos priemones;
pasiektas konfidencialios informacijos kriptografinės apsaugos lygis;
kriptografinės informacijos apsaugos sistemos naudojimo sąlygos.
68. Organizuojant saugojimo, apdorojimo ir perdavimo komunikaciniais kanalais saugumą naudojant kriptografinės informacijos apsaugos priemones, kurioms taikoma privaloma konfidencialios informacijos apsauga pagal Rusijos Federacijos teisės aktus, FAPSI licencijos turėtojų veikla, taip pat konfidencialių duomenų savininkai informacija yra valstybės kontroliuojama, jei tokios informacijos kriptografinės apsaugos poreikį pagal PKZ-99 nuostatus nustato vyriausybinės agentūros ar vyriausybinės organizacijos.
Organizuojant saugojimo, apdorojimo ir perdavimo ryšių kanalais saugumą naudojant kriptografinės informacijos apsaugos įtaisus, kuriems netaikoma privaloma konfidencialios informacijos apsauga, FAPSI licencijos turėtojų veikla yra kontroliuojama valstybės. Konfidencialios informacijos savininkus federalinės vyriausybės ryšių ir informacijos įstaigos gali patikrinti tik jiems paprašius arba gavus jų sutikimą.
Valstybės kontrolės įstaigų prieigos prie konfidencialios informacijos turinio galimybę ir formą nustato tikrinamos organizacijos vadovas.
Valstybės kontrolės sąlygas ir dažnumą nustato FAPSI.
69. FAPSI licencijos turėtojai privalo kontroliuoti, kaip savininkai įgyvendina konfidencialios informacijos duomenis, pateiktus jiems pagal instrukcijas, kaip organizuoti ir užtikrinti saugojimo, apdorojimo ir perdavimo komunikacijos kanalais, naudojant konfidencialios informacijos CIP, saugumą. kaip tokių savininkų laikymasis CIP naudojimo sąlygų, nustatytų CIP veiklos ir techninėje dokumentacijoje, FAPSI sertifikate ir šioje instrukcijoje.
70. Siekdamos koordinuoti FAPSI licencijos turėtojų atliekamą valstybės kontrolę ir kontrolę, federalinės vyriausybės ryšių ir informacijos įstaigos gali planuoti ir atlikti patikrinimus kartu su suinteresuotomis kriptografinės apsaugos įstaigomis ir rekomenduoti patikrinimų objektus FAPSI licencijos turėtojams.
71. Tiesioginį priėmimą į komisijos ar įgaliotų federalinių vyriausybės ryšių ir informacijos įstaigų patikrinimą vykdo tikrinamų asmenų vadovybė, inspektoriams pateikus pažymėjimus (instrukcijas) dėl teisės į patikrinimą, patvirtintų antspaudu. ir asmens tapatybės dokumentai.
Pažymėjimus (nurodymus) dėl teisės tikrinti pasirašo FAPSI generalinis direktorius, jo pavaduotojai, taip pat, jų nurodymu, federalinių vyriausybės ryšių ir informacijos įstaigų vadovai. Įeiti į patikrinimą galima remiantis šių asmenų nurodymais, perduodamais techniniais ryšių kanalais.
72. Remiantis valstybės kontrolės rezultatais, surašomas išsamus arba trumpas aktas, pažyma. Tikrinamų asmenų vadovybė turi būti supažindinta su patikrinimo ataskaita (pažyma). Aktas (sertifikatas) siunčiamas atitinkamai kriptografinės apsaugos institucijai, koordinuojančiai kriptografinės apsaugos institucijai (jei yra) ir federalinės vyriausybės ryšių ir informacijos institucijai. Jei patikrinimo metu paaiškėja FAPSI licencijų ir sertifikatų reikalavimų ir sąlygų pažeidimai, federalinės vyriausybės ryšių ir informacijos įstaigos apie šiuos pažeidimus ir priemones, kurių buvo imtasi, informuoja FAPSI licencijavimo ir sertifikavimo centrą.
Jei nustatomi CIPF naudojimo trūkumai, FAPSI licencijos turėtojai, konfidencialios informacijos savininkai privalo nedelsdami imtis priemonių, kad pašalintų patikrinimo metu nustatytus trūkumus ir įgyvendintų patikrinimo ataskaitoje pateiktas rekomendacijas. Pranešimai apie priemones, kurių buvo imtasi, turi būti pateikti per inspektorių nustatytą laiką. Jei reikia, galima parengti veiksmų planą, kuriame numatytas aktualių klausimų sprendimas.
73. Kriptografinės apsaugos įstaigos (koordinuojančios kriptografinės apsaugos įstaigos) turėtų apibendrinti visų rūšių kontrolės rezultatus, išanalizuoti nustatytų trūkumų priežastis, parengti priemones joms išvengti, stebėti, kaip įgyvendinami patikrinimų aktuose pateiktos rekomendacijos.
74. Jei atskleidžiami rimti pažeidimai naudojant kriptografinės informacijos apsaugos priemones, dėl kurių tampa konfidencialios informacijos nutekėjimas, kurio saugumas užtikrinamas naudojant kriptografinės informacijos apsaugos įrenginius, tada federalinės vyriausybės ryšių ir informacijos įstaigos, FAPSI licencijos turėtojai turi teisę nurodyti nedelsiant nutraukti kriptografinės informacijos apsaugos priemonių naudojimą, kol bus pašalintos nustatytų pažeidimų priežastys ... Tokiu atveju federalinės vyriausybės ryšių ir informacijos įstaigos gali nusiųsti FAPSI licencijavimo ir sertifikavimo centrui pasiūlymą panaikinti (sustabdyti) FAPSI licencijas.
75. Konfidencialios informacijos savininkas turi teisę kreiptis į federalines vyriausybės ryšių ir informacijos institucijas su prašymu atlikti valstybinę kontrolę sutartiniais pagrindais, kad įvertintų priemonių, kurių ėmėsi FAPSI licencijos turėtojas, pakankamumą ir pagrįstumą. apsaugoti jo konfidencialią informaciją.
Instrukcijos 1 priedas. Tipinė CIPF registravimo forma pagal kiekvieną elementą, jiems skirta eksploatacinė ir techninė dokumentacija, pagrindiniai dokumentai (kriptografinės apsaugos įstaigai)
1 priedas
prie instrukcijos (26 punktas),
įsakymu patvirtintas
Federalinė agentūra
vyriausybės ryšiai ir informacija
vadovaujant Rusijos Federacijos prezidentui
2001 m. birželio 13 d. N 152
Pažyma apie kvitą | ||||||||
Veikiančios CIPF pavadinimas | Serija- | Egzempliorių numeriai | Iš ko gavo ar visą vardą bendradarbiai | Pridedamos datos ir numeris | Kam tai | Data ir numeris | Poskyrio data ir numeris |
|
Grąžinimo antspaudas | Įsigaliojimo data | Atšaukimo data galioja | Pažymėkite apie | Pastaba |
||
Data ir numeris | Data ir numeris patvirtinti | Sunaikinimo data | Akto numeris arba kvitas sunaikinti | |||
Instrukcijos 2 priedas. Tipiška CIPF apskaitos žurnalo po vieną forma, jų veiklos ir techninė dokumentacija, pagrindiniai dokumentai (konfidencialios informacijos savininkui)
2 priedėlis
prie instrukcijos (26 punktas),
įsakymu patvirtintas
Federalinė agentūra
vyriausybės ryšiai ir informacija
vadovaujant Rusijos Federacijos prezidentui
2001 m. birželio 13 d. N 152
vardas | SKZI, veikiančių, serijos numeriai | Egzempliorių numeriai | Pažyma apie kvitą | Problemos ženklas |
|||
Iš ko gavo | Data ir numeris | Pilnas asmens vardas | Data ir kvitas gavimo |
||||
Pažymėkite kriptografinės informacijos apsaugos sistemos jungtį (įdiegimą) | Ženklas apie kriptografinės informacijos apsaugos nuo aparatūros panaikinimą, rakto sunaikinimą | Pastaba |
||||
| Prisijungimo data | Programų numeriai | Atšaukimo data | PILNAS VARDAS. kriptografinio kūno darbuotojai | Akto numeris arba tvarkaraštis | |
Instrukcijos 3 priedas. Tipiška techninio (aparatinės) žurnalo forma
3 priedėlis
prie instrukcijų (28 dalis),
įsakymu patvirtintas
Federalinė agentūra
vyriausybės ryšiai ir informacija
vadovaujant Rusijos Federacijos prezidentui
2001 m. birželio 13 d. N 152
Naudoti tipai ir serijos numeriai | Serviso įrašai | Naudoti kriptografiniai raktai | Sunaikinimo ženklas | Pastaba- |
|||||
Rakto tipas | Serija- | Vienkartinis numeris | Pagal- | ||||||
Dokumento tekstą patikrina:
„Norminių aktų biuletenis
federaliniai organai
vykdomoji valdžia “,
Nr. 34, 2001 08 20
Kaip rodo praktika, nedaugelis organizacijų prisimena ir jomis vadovaujasi 2001 m. Birželio 13 d. FAPSI (kurio įpėdinis yra Rusijos FSB) įsakymas N 152 „ribota prieiga, kurioje nėra valstybės paslaptį sudarančios informacijos“.
Tačiau instrukcija yra privaloma, kai naudojamos sertifikuotos kriptografinės informacijos apsaugos priemonės, siekiant užtikrinti informacijos saugumą ribotas priėjimas(saugoma pagal Rusijos Federacijos įstatymus).Ir tai yra PD, visų rūšių paslaptys, GIS, NPC, būsimas CII.
Nuo 2008 iki 2012 m. „Tipiniai šifravimo (šifravimo) organizavimo ir veikimo reikalavimai“ reiškia priemonę, skirtą apsaugoti informaciją, kurioje nėra valstybės paslaptį sudarančios informacijos, jei ji naudojama asmens duomenų saugumui užtikrinti. jų tvarkymas asmens duomenų informacinėse sistemose “, patvirtintas Rusijos FSB 8-ojo centro vadovybės 2008 m. vasario 21 d. Nr. 149/6 / 6-622. Tačiau išleidus RF PP Nr. 1119, šis dokumentas prarado savo aktualumą ir Rusijos FSB paskelbė, kad būtina vadovautis instrukcija.
Valstybės viduje. šios instrukcijos nuostatų įgyvendinimo kontrolė yra daug pažeidimų.
Kyla daug klausimų dėl Instrukcijos taikymo, nes ji buvo parašyta tais laikais, kai sertifikuotos kriptografinės informacijos apsaugos priemonės buvo naudojamos retose organizacijose pavieniais egzemplioriais. Dabar, kai sert. kriptografija tampa visur paplitusi, todėl sunku vykdyti nurodymus pažodžiui.
Iš karto noriu atkreipti jūsų dėmesį į tai, kad instrukcijoje kartu su 99-FZ pateikiami nedviprasmiški rezultatai apie būtinybę gauti licenciją iš Rusijos FSB arba sudaryti susitarimą su licencijos turėtoju:
99-FZ 12 straipsnis: "1. Remiantis šiuo federaliniu įstatymu, licencijuojama ši veikla:
1) ... darbų atlikimas ... informacijos šifravimo, šifravimo (kriptografinių) priemonių, informacinių sistemų ir telekomunikacijų sistemų, apsaugotų naudojant šifravimo (kriptografines) priemones, srityje (nebent šifravimo (kriptografinės) priemonės, informacinės sistemos ir telekomunikacijų sistemos, apsaugotos naudojant šifravimo (kriptografines) priemones, vykdomos siekiant patenkinti savo juridinio asmens ar individualaus verslininko poreikius “;
Rusijos Federacijos Vyriausybės nutarimas Nr. 313. Reglamento priedas: „ATLIKTŲ DARBŲ IR PASLAUGŲ SĄRAŠAS, SUDARYDAMAS SUTEIKIANT LICENCIJĄ VEIKLĄ, SUSIJUSIOS SU Šifravimo (KRIPTOGRAFINĖS) PRIEMONĖMIS
12. Šifravimo (kriptografinių) priemonių, išskyrus šifravimo (kriptografines) fiskalinių duomenų apsaugos priemones, įdiegimas, diegimas (diegimas), koregavimas, sukurtas naudoti kasos aparatuose, patvirtintas Rusijos Federacijos federalinės saugumo tarnybos.
13. Informacinių sistemų, apsaugotų naudojant šifravimo (kriptografines) priemones, diegimas, diegimas (diegimas), derinimas.
14. Telekomunikacijų sistemų, apsaugotų naudojant šifravimo (kriptografines) priemones, įrengimas, įrengimas (įrengimas), derinimas.
15. Pagrindinių dokumentų parengimo priemonių surinkimas, montavimas (montavimas), derinimas.
20. Šifravimo (kriptografinių) priemonių priežiūros darbai, numatyti šių priemonių techninėje ir eksploatacinėje dokumentacijoje ( išskyrus atvejį, jei nurodytas darbas atliekamas siekiant užtikrinti savo poreikius juridinis asmuo arba individualus verslininkas).
28. Pagrindinių dokumentų ir (arba) pradinės pagrindinės informacijos, skirtos pagrindinių dokumentų kūrimui, gamyba ir platinimas naudojant aparatinę, programinę ir programinę įrangą bei aparatinę įrangą, sistemas ir kompleksus, skirtus šifravimo (kriptografinėms) priemonėms gaminti ir platinti. “
Tačiau instrukcijoje yra griežtesnių reikalavimų.
FAPSI instrukcija Nr. 152: “ 4. Konfidencialios informacijos saugojimo, apdorojimo ir perdavimo saugumas ryšių kanalais, naudojant CIPF, kurio savininkai neturi FAPSI licencijų, FAPSI licencijos turėtojai, remdamiesi sutartimis dėl paslaugų, skirtų apsaugoti kriptografinę apsaugą, organizuoja ir užtikrina ... konfidencialios informacijos.
6. Kurdamas ir įgyvendindamas priemones, skirtas organizuoti ir užtikrinti konfidencialios informacijos saugojimo, apdorojimo ir perdavimo saugumą naudojant CIPF, FAPSI licencijos turėtojas sukuria vieną ar daugiau kriptografinės apsaugos įstaigų ... "
Pagrindinė išvada toliau: organizacija, neturinti FSB licencijos, negali savarankiškai organizuoti teisingo kriptografinės informacijos apsaugos sistemos veikimo. Norėdami tai padaryti, organizacija būtinai turi susisiekti su licencijos turėtoju, sudaryti su juo paslaugų sutartį. FSB licencijos turėtojas turi OKZI struktūrą, kuri organizuoja saugos darbą klientų organizacijoje ir stebi jų įgyvendinimą (o kartais tai daro pats).
PS: Aš taip pat turėjau daug klausimų dėl atskirų instrukcijos punktų taikymo, įdomiausio uždaviau reguliuotojui, o kitame straipsnyje pasidalinsiu įdomiausia informacija ...
Taip pat įdomu pamatyti, kokių sunkumų jūs, kolegos, turėjote arba, priešingai, naudojote instrukcija.
