Электронный документооборот
Учет и отчетность
Участие в закупках
Торговля и ритейл
Автоматизация бизнеса
Управление HR‑процессами
Проверка контрагентов
Обучение
Коммуникации
Сделки с недвижимостью
Банковские услуги
Продажи и маркетинг
Информационная безопасность
Если в вашей организации есть ключи электронной подписи, то вам нужно вести журналы учета ключей подписи. Как правильно их заполнить, расскажем в статье.
Что такое журналы учета ключей ЭП
Журналы учета средств криптографической защиты информации (СКЗИ) или ключей электронной подписи (ЭП, ранее — ЭЦП) помогают следить за перемещением средств криптозащиты и ключей подписи в организации. В них указывают, какой сотрудник получил сертификат, сдал ли ключевой носитель при переходе на другую должность или увольнении.
Вести такие журналы нужно по инструкции о безопасности хранения, обработки и передачи информации с использованием криптографических средств (приказ ФАПСИ № 152 от 13.06.2001).
Если вы еще не получили сертификат электронной подписи, оформите его в удостоверяющем центре, который прошел аккредитацию. В УЦ Контура есть подписи для торгов, отчетности и личных дел. Поможем оформить сертификат ФНС для руководителя.
Кому нужно вести журналы учета ключей ЭП
Журналы должны вести организации, которые являются лицензиатами ФСБ или обладателями средств электронной подписи, например, КриптоПро CSP или ViPNet CSP. Расскажем про такие компании подробнее.
Обладатели конфиденциальной информации
В приказе ФАПСИ №152 указано, что компании должны вести журналы учета, если они используют СКЗИ для защиты конфиденциальной информации — в том числе, персональных данных. К таким организациям, например, относятся те, кто сдает отчетность или обменивается документами с контрагентами онлайн при помощи электронных подписей.
Лицензиаты ФСБ
К ним относятся компании, которые оказывают услуги по разработке, распространению, установке, обслуживанию СКЗИ. Например, удостоверяющие центры.
К лицензиатам предъявляют больше всего требований по соблюдению инструкции из приказа ФАПСИ №152. Они должны не только вести журналы учета ключей ЭП и СКЗИ, но и:
- создать у себя орган криптографической защиты информации,
- разработать порядок использования и хранения ключей ЭП и СКЗИ — о нем мы расскажем ниже.
Лицензиаты также могут помогать другим компаниям соблюдать требования регулятора — ФСБ России.
Виды журналов учета
Организации должны вести два вида журналов.
Журнал поэкземплярного учета СКЗИ. В него вносят сведения о СКЗИ и ключах ЭП сотрудников — например, указывают, кто получил носитель с ключом подписи, когда и где.
Способ заполнения журнала отличается в зависимости от типа СКЗИ и от того, кто ведет журнал — обладатель ключей ЭП или орган криптографической защиты. Подробно детали заполнения описаны в приказе ФАПСИ № 152.
Технический (аппаратный) журнал помогает следить за аппаратными средствами криптозащиты — например, серверами с установленным ключом ЭП.
Чтобы скачать формы для заполнения журналов, перейдите по ссылке.
Что такое порядок использования и хранения ключей ЭП и СКЗИ
Порядок использования и хранения ключей электронной подписи (ЭП) и средств криптографической защиты (СКЗИ) — специальный регламент, который регулирует работу с электронными подписями и со средствами шифрования в конкретной компании. В нем указывают правила, по которым:
- назначают сотрудников ответственных за учет ключей ЭП и СКЗИ;
- ведут журналы и поэкземплярный учет;
- устанавливают и настраивают СКЗИ;
- ознакамливаются с правилами работы с ЭП и СКЗИ, ведут пользователей, допущенных к работе с ними;
- контролируют соблюдение условий использования ЭП и СКЗИ;
- действуют в случае, если ключи и СКЗИ утеряны или есть подозрение, что используются неправомерно;
- контролируют соблюдение регламента внутри организации.
Для регламента нет единой типовой формы, поэтому компания может разработать документ самостоятельно или поручить эту задачу лицензиату ФСБ. Например, Безопасность от Контур.Эгиды.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.
Что будет, если не вести журналы учета
За безопасностью в сфере использования шифровальных средств в России следит ФСБ России. Ведомство может проводить как плановые, так и внеплановые проверки в целях контроля использования шифровальных средств. Если ФСБ обнаружит нарушения правил защиты информации, то организацию могут оштрафовать и конфисковать средства криптозащиты (ст. 13.12 КоАП РФ). В итоге компания не сможет отправить электронную отчетность или работать в системе обмена данными.
Каждый сотрудник самостоятельно оформляет себе ЭЦП, а документы организации подписывает на основании МЧД своей личной подписью (!личной!).
НЕ правильно ли организовать учет МЧД в этом случае? Или программу КриптоПРО.
Сейчас упразднено понятие «лицо-сотрудник компании», остались только физлица и руководитель компании.
Если сотрудник (он же физлицо) получил сертификат ЭЦП для продажи своей квартиры с регистрацией сделки в электронном виде, то этот сертификат не нужно записывать в журнал учёта СКЗИ компании.
МЧД - это не СКЗИ.
СКЗИ - это средства шифрования и защиты информации. Если ключи шифрования используются для нужд предприятия, то в данном предприятии учитываются, ведь результат применения нужен предприятию, а не физлицу.
Сейчас упразднено понятие «лицо-сотрудник компании», остались только физлица и руководитель компании. Если сотрудник (он же физлицо) получил сертификат ЭЦП для продажи своей квартиры с регистрацией сделки в электронном виде, то этот сертификат не нужно записывать в журнал учёта СКЗИ компании.
Журналы нужно уничтожать, когда средство или информация однозначно устарели и не потребуются в дальнейшем. Например, есть диск с КриптоПро CSP 2.0 и сертификат на него закончился 10 лет назад. Средство можно удалять и журнал с записями о нем уничтожать.
Журналы нужно удалять, только когда средство устарело, значит и переносить записи о средствах в новые журналы не нужно.