ar-net.ru73. Органы криптографической защиты (координирующие органы криптографической защиты) должны обобщать результаты всех видов контроля, анализировать причины выявленных недостатков, разрабатывать меры по их профилактике, контролировать выполнение рекомендаций, содержащихся в актах проверок.
74. Если в использовании СКЗИ выявлены серьезные нарушения, из-за чего становится реальной утечка конфиденциальной информации, безопасность которой обеспечивается с использованием СКЗИ, то федеральные органы правительственной связи и информации, лицензиаты ФАПСИ вправе дать указание о немедленном прекращении использования СКЗИ до устранения причин выявленных нарушений. В этом случае федеральные органы правительственной связи и информации могут направить в Лицензионный и сертификационный центр ФАПСИ представление об отзыве (приостановлении действия) лицензий ФАПСИ.
75. Обладатель конфиденциальной информации вправе обратиться в федеральные органы правительственной связи и информации с просьбой о проведении на договорной основе государственного контроля с целью оценки достаточности и обоснованности принимаемых лицензиатом ФАПСИ мер защиты его конфиденциальной информации.
______________________________
*(1) Информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, в настоящей Инструкции именуется - конфиденциальная информация.
*(2) Сертифицированные ФАПСИ средства криптографической защиты конфиденциальной информации в настоящей Инструкции именуются - СКЗИ. К СКЗИ относятся:
- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи, включая СКЗИ;
- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от несанкционированного доступа к информации при ее обработке и хранении;
- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и "электронной подписи";
- аппаратные, программные и аппаратно-программные средства, системы и комплексы изготовления и распределения ключевых документов для СКЗИ независимо от вида носителя ключевой информации.
*(3) Обладателями конфиденциальной информации могут быть государственные органы, государственные организации и другие организации независимо от их организационно-правовой формы и формы собственности, индивидуальные предприниматели и физические лица.
*(4) Сети конфиденциальной связи - сети связи, предназначенные для передачи конфиденциальной информации.
*(5) Операторы конфиденциальной связи - операторы связи, предоставляющие на основании лицензии ФАПСИ услуги конфиденциальной связи с использованием СКЗИ.
*(6) Операторы конфиденциальной связи и лица, имеющие лицензию ФАПСИ и не являющиеся операторами конфиденциальной связи, в настоящей Инструкции именуются лицензиаты ФАПСИ.
*(7) Органом криптографической защиты может быть организация, структурное подразделение организации - лицензиата ФАПСИ, обладателя конфиденциальной информации. Функции органа криптографической защиты могут быть возложены на физическое лицо.
*(8) Физические лица, непосредственно допущенные к работе с СКЗИ, в настоящей Инструкции именуются - пользователи СКЗИ.
*(9) В настоящей Инструкции используются следующие понятия и определения:
- криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе;
- ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока;
- исходная ключевая информация - совокупность данных, предназначенных для выработки по определенным правилам криптоключей;
- ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию;
- ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т.п.);
- ключевой блокнот - набор бумажных ключевых документов одного вида (таблиц, перфолент, перфокарт и т.п.), сброшюрованных и упакованных по установленным правилам.
*(10) Под компрометацией криптоключей в настоящей Инструкции понимается хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
*(11) Помещения, где установлены СКЗИ или хранятся ключевые документы к ним, в настоящей Инструкции именуются - спецпомещения.
*(12) Требования к обеспечению сохранности конфиденциальной информации в спецпомещениях аналогичны требованиям к помещениям, где выполняются работы, связанные с хранением (обработкой) такой информации, и устанавливаются обладателем конфиденциальной информации;
*(13) Под федеральными органами правительственной связи и информации в настоящей Инструкции понимаются главные управления ФАПСИ, управления ФАПСИ в федеральных округах, региональные управления правительственной связи и информации, центры правительственной связи.
Приложение 1
к Инструкции (пункт 26),
утвержденной приказом ФАПСИ
от 13 июня 2001 г. N 152
Типовая форма журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для органа криптографической защиты)
+----+----------------+---------------+----------+-------------------------------+--------------------------+
|N п/| Наименование |Серийные номера| Номера | Отметка о получении | Отметка о рассылке |
| п | СКЗИ, | СКЗИ, |экземпля- | | (передаче) |
| |эксплуатационной|эксплуатацион- | ров +----------------+--------------+-------+--------+---------+
| | и технической | ной и |(криптог- |От кого получены| Дата и номер |Кому | Дата и | Дата и |
| | документации к | технической |рафические| или Ф.И.О. |сопроводитель-|разо- | номер | номер |
| | ним, ключевых |документации к |номера) | сотрудника | ного письма |сланы |сопрово-|подтверж-|
| | документов | ним, номера | ключевых | органа | или дата |(пере- |дитель- |дения или|
| | |серий ключевых |документов|криптографичес- | изготовления | даны) | ного |расписка |
| | | документов | | кой защиты, | ключевых | | письма | в |
| | | | | изготовившего | документов и | | |получении|
| | | | | ключевые | расписка в | | | |
| | | | | документы | изготовлении | | | |
+----+----------------+---------------+----------+----------------+--------------+-------+--------+---------+
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 |
+----+----------------+---------------+----------+----------------+--------------+-------+--------+---------+
+--------------------------------+-----------------+------------+----------------------------+--------------+
| Отметка о возврате | Дата ввода в |Дата вывода |Отметка об уничтожении СКЗИ,| Примечание |
| | действие |из действия | ключевых документов | |
+------------+-------------------+ | +-------------+--------------+ |
|Дата и номер| Дата и номер | | | Дата |Номер акта или| |
|сопроводите-| подтверждения | | | уничтожения | расписка об | |
| льного | | | | | уничтожении | |
| письма | | | | | | |
+------------+-------------------+-----------------+------------+-------------+--------------+--------------+
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
+------------+-------------------+-----------------+------------+-------------+--------------+--------------+
Приложение 2
к Инструкции (пункт 26),
утвержденной приказом ФАПСИ РФ
от 13 июня 2001 г. N 152
Типовая форма журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации)
+----+------------------+----------------------+----------------+----------------------+--------------------+
|N п/|Наименование СКЗИ,|Серийные номера СКЗИ, | Номера | Отметка о получении | Отметка о выдаче |
| п |эксплуатационной и| эксплуатационной и | экземпляров +---------+------------+---------+----------+
| | технической | технической |(криптографичес-| От кого |Дата и номер| Ф.И.О | Дата и |
| | документации к | документации к ним, | кие номера) |получены |сопроводите-|пользова-|расписка в|
| | ним, ключевых |номера серий ключевых | ключевых | | льного |теля СКЗИ|получении |
| | документов | документов | документов | | письма | | |
+----+------------------+----------------------+----------------+---------+------------+---------+----------+
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
+----+------------------+----------------------+----------------+---------+------------+---------+----------+
+--------------------------------------------------+------------------------------------------+-------------+
| Отметка о подключении (установке) СКЗИ | Отметка об изъятии СКЗИ из аппаратных | Примечание |
| | средств, уничтожении ключевых документов | |
+------------------+------------+------------------+----------+-------------------+-----------+ |
|Ф.И.О. сотрудников| Дата |Номера аппаратных | Дата |Ф.И.О. сотрудников |Номер акта | |
| органа |подключения |средств, в которые| изъятия | органа | или | |
|криптографической |(установки) |установлены или к |(уничтоже-| криптографической |расписка об| |
| защиты, | и подписи |которым подключены| ния) | защиты, |уничтожении| |
|пользователя СКЗИ,| лиц, | СКЗИ | |пользователя СКЗИ, | | |
| произведших |произведших | | | производивших | | |
| подключение |подключение | | | изъятие | | |
| (установку) |(установку) | | | (уничтожение) | | |
+------------------+------------+------------------+----------+-------------------+-----------+-------------+
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
+------------------+------------+------------------+----------+-------------------+-----------+-------------+
Приложение 3
к Инструкции (пункт 28),
утвержденной приказом ФАПСИ
от 13 июня 2001 г. N 152
Типовая форма технического (аппаратного) журнала
+----+-------+---------+----------+---------------------------------------------+------------------+--------+
|N п/| Дата | Тип и |Записи по | Используемые криптоключи | Отметка об |Примеча-|
| п | |серийные |обслужива-| | уничтожении | ние |
| | | номера | нию СКЗИ | | (стирании) | |
| | |использу-| +----------+-----------------+----------------+-------+----------+ |
| | |емых СКЗИ| | Тип | Серийный, | Номер разового | Дата | Подпись | |
| | | | |ключевого |криптографический| ключевого | |пользова- | |
| | | | |документа | номер и номер | носителя или | |теля СКЗИ | |
| | | | | | экземпляра | зоны СКЗИ, в | | | |
| | | | | | ключевого |которую введены | | | |
| | | | | | документа | криптоключи | | | |
+----+-------+---------+----------+----------+-----------------+----------------+-------+----------+--------+
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
+----+-------+---------+----------+----------+-----------------+----------------+-------+----------+--------+