Найти в Дзене
Институт МОИБ - информационная безопасность
30 подписчиков

Полевые заметки: "Это ж всего лишь электронная подпись…!"

1
3 мин
На днях к нам обратился за срочной консультацией руководитель одного из региональных СМИ после неожиданного визита в их компанию представителей Управления ФСБ России. Как и любая организация в России, городской информационный центр использует квалифицированные электронные подписи, а значит, применяет шифровальные средства для защиты информации, в том числе персональных данных. Понятие СКЗИ сегодня прочно вошло в наш лексикон, стало нормой, а вот выполнение существующих требований к использованию шифровальных средств повседневным правилом, увы, не стало! Директору информационного центра оперативно, в течение недели, предстоит выполнить требования, утвержденные Приказом ФСБ России от 10.07.2014 № 378. Нюанс заключался в том, что, будучи подведомственным учреждением Администрации города, информационный центр получил через учредителя, как он считал, всё необходимое для использования криптосредств: «ведь там наверху все всё знают». А произошло всё наоборот. Вердикт инспекторов Управления Ф

На днях к нам обратился за срочной консультацией руководитель одного из региональных СМИ после неожиданного визита в их компанию представителей Управления ФСБ России. Как и любая организация в России, городской информационный центр использует квалифицированные электронные подписи, а значит, применяет шифровальные средства для защиты информации, в том числе персональных данных. Понятие СКЗИ сегодня прочно вошло в наш лексикон, стало нормой, а вот выполнение существующих требований к использованию шифровальных средств повседневным правилом, увы, не стало!

Директору информационного центра оперативно, в течение недели, предстоит выполнить требования, утвержденные Приказом ФСБ России от 10.07.2014 № 378. Нюанс заключался в том, что, будучи подведомственным учреждением Администрации города, информационный центр получил через учредителя, как он считал, всё необходимое для использования криптосредств: «ведь там наверху все всё знают». А произошло всё наоборот. Вердикт инспекторов Управления ФСБ России: городской информационный центр допустил использование криптосредств, не имеющих действующих сертификатов соответствия ФСБ России, тем самым нарушил ст. 19 ФЗ-152 «О персональных данных» и попал под санкции, предусмотренные ч. 2 ст. 13.12 КоАП РФ. А это значит, что впереди и Суд, и Дело! Поэтому ещё раз напоминаем, в первую очередь тем организациям, которые не имеют штатных специалистов по защите информации, что всем пора свыкнуться с обязательными требованиями к СКЗИ.

Учитывая приведенный пример, организациям следует помнить ряд важных правил:


  1. Необходимо запросить у Казначейства (там происходило получение) к полученной лицензии сопроводительное письмо и сертифицированный дистрибутив (это может быть копия диска вышестоящей организации). В Казначействе должны произвести контрольное суммирование дистрибутива средства защиты информации, сравнив с формуляром. При совпадении контрольных сумм — предоставить организации дистрибутив вместе с сопроводительным письмом и копию формуляра, в котором прописан серийный номер СЗИ.
  2. Получать конверт с СКЗИ может только руководитель или ответственный пользователь СКЗИ.
  3. В случае отсутствия дистрибутива организация должна самостоятельно заказать его у вендора или у уполномоченной организации (УЦ или лицензиата ФСБ России).
  4. При наличии полного комплекта СКЗИ (формуляр или его копия, лицензия, копия действующего сертификата, дистрибутив) ответственный пользователь фиксирует получение СКЗИ в Журнале поэкземплярного учета криптосредств.
  5. Для использования СКЗИ необходимо подготовить АРМ и опечатать его.
  6. Помните, что при установке СКЗИ необходимо иметь на АРМе сертифицированное ФСБ России антивирусное ПО, так как это условие прописано в формуляре.
  7. Не забывайте, что для каждого класса СКЗИ выполняются свои требования (например, для КС1 особых требований нет — просто установка совместно с сертифицированным антивирусом, а для КС2 нужно СДЗ, эта информация имеется в формуляре).
  8. Помещение, в котором располагается АРМ с СКЗИ, должно соответствовать особым требованиям законодательства, в том числе Приказу № 378 (прочные с замками двери, которые ежедневно опечатываются, на окнах первых или последних этажей как минимум — сигнализация или решетки, а также — жалюзи).
  9. Помещение с СКЗИ включает приказом в список «выделенных» помещений.
  10. Составьте заключение о проверке готовности к использованию и эксплуатации СКЗИ на АРМ с указанием установленного СКЗИ, серийным номером СКЗИ и номерами наклеек на АРМе.
  11. Ответственный пользователь СКЗИ заносит информацию о факте установки в Журнал поэкземплярного учета СКЗИ.
  12. Ответственный пользователь СКЗИ обязан обучить пользователя СКЗИ, выдать ему заключение о подготовке и допуске к самостоятельной работе с СКЗИ, дополнительно ознакомить данного работника с организационно-распорядительной документацией по СКЗИ и включить его данные в Список пользователей СКЗИ.
  13. Помните, что в случае удаления СКЗИ с персонального компьютера ответственный пользователь СКЗИ делает отметку в Журнале поэкземплярного учета СКЗИ и составляет акт уничтожения.
  14. Не забудьте, что при установке СКЗИ следует внести изменения в соответствующий раздел Уведомления об обработке персональных данных, направив в Роскомнадзор Уведомление.