Журнал скзи

Электронная цифровая подпись (ЭЦП) — обязательный реквизит компьютерного документооборота. Это не просто знак на файле или сообщении, а программное обеспечение, обеспечивающее констатацию подлинности документа и невозможность его искажения. В официальных организациях его установку производят уполномоченные специалисты, чаще всего — представители Удостоверяющего центра. Свидетельством факта и гарантией корректности этого действия является составление акта установки средства электронной подписи.

ФАЙЛЫ Скачать пустой бланк акта установки средства электронной подписи .docСкачать образец акта установки средства электронной подписи .doc

Законодательный регламент установки средства ЭЦП

Главный законодательный акт, который определяет порядок применения электронной подписи — Федеральный закон «Об электронной подписи» от 06.04.2011 года № 63.

Дополнительные нормативные акты, детализирующие этот документ:

  • Приказ ФСБ РФ от 27.12.2011 г. № 795 «Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи»;
  • Приказ ФСБ РФ 27.12.2011 г. № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра».

Порядок получения ЭЦП и сертификата ключа ее проверки

Мы уже писали о том, что такое ЭЦП и как её получить. Ниже приводим в кратком содержании очерёдность действий для получения электронно-цифровой подписи и ключа:

  1. Заключение соглашения — договора о присоединении к регламенту Удостоверяющего центра.
  2. Предоставление подписанных экземпляров соглашения в Региональный центр регистрации Управления Федерального казначейства по конкретной области.
  3. Написание заявления — письма о предоставлении ЭЦП.
  4. Предоставление чистого носителя информации с возможностью записи на него (диск, флешка и т.п.).
  5. Выдача уполномоченному лицу доверенности на получение ЭЦП.
  6. Установка программного обеспечения на автоматизированном рабочем месте заявителя.
  7. Предоставление доступа к порталу Системы удаленного финансового документооборота и подтверждение этого письмом в Региональный центр регистрации.
  8. Создание электронного ключа. Для чего есть два варианта:
    • заявителем или его уполномоченным лицом на его рабочем месте;
    • заявителем под контролем оператора на компьютере Федерального казначейства.

Что именно будет делать специалист Удостоверяющего центра

Порядок установки цифровой подписи на компьютере может несколько видоизменяться в зависимости от вида электронной подписи, но чаще всего состоит из таких этапов.

  1. Установка специальной программы для установки ЭЦП (программа приобретается или берется бесплатно в Удостоверяющем центре).
  2. Инсталляция сертификата электронного ключа.
  3. Если необходимо, этот ключ прописывается в компьютерном реестре.
  4. По окончании работ — оформление и выдача акта установки средства криптографической защиты.

Документы, необходимые для получения сертификата

От ИП-физического лица:

  • удостоверение личности;
  • СНИЛС;
  • Свидетельство о регистрации в налоговой.

От организации — юрлица:

  • удостоверение личности уполномоченного лица, выступающего от организации;
  • его СНИЛС;
  • документ об учреждении организации;
  • свидетельство о постановке на налоговый учет.

ВАЖНО! Если ЭЦП планируется использовать в автоматическом режиме, то есть без идентификации по имени, СНИЛС не нужен.

Если нужные персональные данные не будут предоставлены, Удостоверяющий центр откажет в выдаче ЭПЦ и сертификата на его проверку.

Программы для установки ЭЦП

Программное обеспечение для функционирования электронной подписи может быть различным. Сегодня применяются несколько популярных программ для этой цели:

  • «Крипто-Про» (самая распространенная, может быть предоставлена бесплатно);
  • «Континент-Ап»;
  • «Континент TLS- VPN Клиент»;
  • «Jinn».

Название и номер средства электронной подписи в обязательном порядке вносятся в акт об установке, если она совершается внешними специалистами.

Структура акта установки средства криптографической защиты

Акт выдается подрядчиками — внешней стороной, привлеченной для установки и настройки работы программного обеспечения по использованию электронной цифровой подписи. В качестве установщиков можно пригласить представителей устанавливающего центра, предоставившего соответствующую программу.

Как любой официальный документ, данный акт содержит стандартные элементы и данные, которые вносятся туда в каждом конкретном случае.

  1. Стандартные реквизиты («шапка») акта:
    • название документа — пишется посередине вверху листа: «Акт об установке средства электронной подписи»;
    • номер акта;
    • место составления акта (город);
    • дата, месяц и год установки.

  2. Информация, необходимая для внесения в акт:
    • наименование устанавливающего центра;
    • ФИО специалиста, производящего установку;
    • название программного обеспечения (одна из программ электронной подписи);
    • серийный номер автоматизированного рабочего места (АРМ);
    • место установки (адрес рабочего места, офиса);
    • фамилия ответственного лица — представителя пользователя;
    • номер экземпляра средства ЭЦП;
    • номер карточки учета лицензии Устанавливающего центра;
    • дата ее выдачи.

  3. В акт включается также стандартный текст об условиях использования ЭЦП, об удостоверении его рабочего состояния, об обязательствах пользователя автоматизированного рабочего места.
  4. Документ скрепляется подписями уполномоченных лиц — программиста, совершившего установку, и системного администратора — представителя предприятия. Он выводится на бумажный носитель, о чем делается отметка в тексте.

Статья будет полезна, если в вашей организации есть хотя бы один ключ электронной подписи — тогда вам, скорее всего, нужно вести журналы учета ключей подписи. Кто обязан это делать и как, расскажем в статье.

Что такое журналы учета ключей ЭП

Журналы учета средств криптографической защиты информации (СКЗИ) или ключей электронной подписи (ЭП или ЭЦП) помогают следить за перемещением средств криптозащиты и ключей подписи в организации. В них отражается кто получил ключ подписи, сдал ли его при переходе на другую должность или увольнении, знаком ли сотрудник с правилами работы со средствами электронной подписи. Журналы нужны предприятиям, которые используют ЭП и СКЗИ, например, КриптоПро CSP или ViPNet CSP.

Как вести такие журналы, описано в Инструкции о безопасности хранения, обработки и передачи информации с использованием криптографических средств (приказ ФАПСИ № 152 от 13.06.2001). Разберемся, кому обязательно нужно вести их, а кому только рекомендуется это делать.

Кому нужно вести журналы учета ключей ЭП

Лицензиаты ФСБ

Эти компании оказывают платные услуги, связанные с использованием СКЗИ: их разработкой, распространением, установкой, обслуживанием и т.д. Это могут быть удостоверяющие центры, которые выпускают сертификат электронных подписей, или, например, дистрибьюторы СКЗИ.

К лицензиатам предъявляется самый большой список требований по соблюдению инструкции. Они должны создать у себя орган криптографической защиты информации, разработать свой регламент по соблюдению инструкции и вести журналы учета ключей ЭП и СКЗИ. Орган криптозащиты контролирует, как организация соблюдает инструкцию из приказа ФАПСИ №152.

Лицензиаты также могут помогать другим компаниям соблюдать требования регулятора — ФСБ России.

Организации, которые не являются лицензиатами ФСБ

Обязательно соблюдать приказ ФАПСИ №152 и вести журналы учета ключей ЭП должны предприятия, которые используют СКЗИ для защиты конфиденциальной информации, если такая информация по закону подлежит защите — например, для персональных данных или при передаче отчетности. В приказе их называют «обладатели конфиденциальной информации».

Если организации используют СКЗИ для защиты информации, не подлежащей обязательной защите, то требования инструкции ФАПСИ носят рекомендательный характер. Например, это касается компании, которая приобрела сертификат ЭП и средства криптозащиты только для внутреннего пользования — подписания внутренних документов, шифрования результатов своей работы.

Организациям, которые будут соблюдать требования приказа ФАПСИ №152, нужно создать регламент хранения и использования электронных подписей на основе утвержденной приказом инструкции и вести журналы учета. Сделать это можно одним из двух способов:

  • Самостоятельно создать регламент, назначить конкретного сотрудника, который будет отвечать за его соблюдение и вести журналы.
  • Обратиться к лицензиатам ФСБ и поручить им разработку регламента и журналов, и при необходимости, передать им контроль за тем, как соблюдается инструкция и внутренний регламент.

СКБ Контур — лицензиат ФСБ и поможет организовать учет электронных подписей в компании. Специалисты проекта Контур.Безопасность создадут всю необходимую документацию и проконтролируют соблюдение регламента и инструкции из приказа ФАПСИ № 152.

Какие журналы учета вести

Инструкция устанавливает два типа журналов:

  1. Журнал поэкземплярного учета СКЗИ.
    В него вносят сведения о ключах ЭП сотрудников — кто получил носитель с ключом подписи, когда и где, даты уничтожения и другая информация.

Способ заполнения журнала отличается в зависимости от типа СКЗИ, от того кто ведет журнал: обладатель ключей ЭП или орган криптографической защиты. Подробно детали заполнения описаны в приказе ФАПСИ № 152.

Форма журнала поэкземплярного учета для органа криптографической защиты — для лицензиатов ФCБ:

Форма журнала поэкземплярного учета для обладателей конфиденциальной информации:

  1. Технический или аппаратный журнал.
    Он помогает следить за аппаратными средствами криптозащиты — например, серверами с установленным ключом ЭП.

Типовая форма технического (аппаратного) журнала:

Чтобы скачать формы для заполнения журналов, перейдите .

Что такое порядок использования и хранения ключей ЭП и СКЗИ

Кроме журналов учета инструкция также рекомендует организациям разработать и соблюдать свой регламент хранения и использования ключей ЭП. Для регламента нет единой типовой формы, поэтому компания может разработать документ самостоятельно. Для этого нужно изучить инструкцию и адаптировать требования именно под свою компанию.

Несмотря на то, что регламент в разных компаниях будет отличаться, есть общие требования — регламент должен указывать правила, по которым в организации:

  • назначают сотрудников ответственных за учет ключей ЭП и СКЗИ;
  • ведут журналы и поэкземплярный учет;
  • устанавливают и настраивают СКЗИ;
  • обучают работе с ЭП и СКЗИ, ведут пользователей, допущенных к работе с ними;
  • контролируют соблюдение условий использования ЭП и СКЗИ;
  • действуют в случае, если ключи и СКЗИ утеряны или есть подозрение, что используются неправомерно;
  • контролируют соблюдение регламента внутри организации.

Что будет, если не соблюдать инструкцию и не вести журналы учета

За безопасностью в сфере использования конфиденциальных данных в России следит ФСБ России. Ведомство может проводить, как плановые, так и внеплановые проверки в целях контроля использования шифровальных средств. Если при проверке обнаружат нарушения правил защиты информации, то, согласно ст. 13.12 КоАП РФ, на организацию могут наложить ряд санкций: штрафы для должностных лиц и юрлица, а также конфискацию самих средств криптозащиты. В итоге не сможет отправить электронную отчетность или работать в системе обмена данными.

Отметим, что на практике некоторые организации не соблюдают приказ ФАПСИ №152, считая, что так как документ утвердили почти двадцать лет назад, то и значимость его устарела. Однако приказ все еще юридически действителен, а в 2016 году ФСБ России подтвердило его актуальность.

Поэтому организациям необходимо обеспечить безопасность хранения, использования и передачи конфиденциальной информации. Если для этого используются электронные подписи и СКЗИ, организация должна их учитывать. Основной документ, на который можно опираться — приказ ФАПСИ №152 и утвержденная в нем инструкция. Если ФСБ России решит проверить организацию и обнаружит существенные недостатки, ведомство вправе наложить административный штраф или даже приостановить деятельность организации до устранения недочетов.