Криптографическая защита информации: проверки ФСБ России

Для специалистов по защите информации не секрет, что государственный контроль за организацией и обеспечением защиты информации с использованием средств криптографической защиты информации (СКЗИ) осуществляют органы Федеральной службы безопасности (далее – регулятор).

Регулятор контролирует организацию и обеспечение защиты информации с использованием СКЗИ, а также выполнение пользователями условий использования СКЗИ, установленных эксплуатационной и технической документацией к ним и Инструкцией, утверждённой приказом ФАПСИ от 13.06.2001 № 152 «Об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

Специалист, ответственный за эксплуатацию СКЗИ, перед проверкой со стороны регулятора должен проверить наличие и правильность заполнения организационно-распорядительных документов локального уровня.

При этом очень важно знать: какие локальные документы, эксплуатационную и другую документацию необходимо подготовить к проверке?

Представим перечень обязательных документов для организации, использующей СКЗИ:  

• Приказ о назначении ответственного за эксплуатацию СКЗИ;
• Должностная инструкция ответственного за эксплуатацию СКЗИ;
• Модель угроз, разработанная оператором (на каждую информационную систему);
• Документы, подтверждающие поставку или закупку СКЗИ;
• Лицензии и сертификаты на используемые СКЗИ;
• Эксплуатационная документация на СКЗИ (руководства администратора, инструкции пользователя, оператора);
• Приказ о назначении лиц, допускаемых к самостоятельной работе с СКЗИ;
• Заключение о допуске к самостоятельной работе с СКЗИ;
• Документы, подтверждающие функциональные обязанности сотрудников (инструкция пользователя СКЗИ);
• Документы, подтверждающие прохождение обучения сотрудников по вопросам ЗИ (Журнал учета обучения пользователей средств криптографической защиты информации);
• Перечень СКЗИ. Программное обеспечение СКЗИ (дистрибутивы);
• Акты ввода СКЗИ в эксплуатацию;
• Журнал поэкземплярного учета используемых СКЗИ;
• Журнал учета и выдачи носителей с ключевой информацией;
• Книга лицевых счетов пользователей СКЗИ, эксплуатационной и технической документации к ним, ключевых документов;
• Эксплуатационная документация на СКЗИ;
• Перечень помещений, выделенных для установки СКЗИ и хранения ключевых документов к ним;
• Инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ.

Более подробную информацию об особенностях и нюансах организации использования СКЗИ в соответствии с нормативными документами можно получить в процессе обучения в Приволжском институте повышения квалификации ФНС России по соответствующим программам, согласованным с ФСБ России и ФСТЭК России.

Н.Г. Лабутин,
 заведующий кафедрой
 информационной безопасности,
 канд. тех. наук, доцент