73. Органы криптографической защиты (координирующие органы криптографической защиты) должны обобщать результаты всех видов контроля, анализировать причины выявленных недостатков, разрабатывать меры по их профилактике, контролировать выполнение рекомендаций, содержащихся в актах проверок.
74. Если в использовании СКЗИ выявлены серьезные нарушения, из-за чего становится реальной утечка конфиденциальной информации, безопасность которой обеспечивается с использованием СКЗИ, то федеральные органы правительственной связи и информации, лицензиаты ФАПСИ вправе дать указание о немедленном прекращении использования СКЗИ до устранения причин выявленных нарушений. В этом случае федеральные органы правительственной связи и информации могут направить в Лицензионный и сертификационный центр ФАПСИ представление об отзыве (приостановлении действия) лицензий ФАПСИ.
75. Обладатель конфиденциальной информации вправе обратиться в федеральные органы правительственной связи и информации с просьбой о проведении на договорной основе государственного контроля с целью оценки достаточности и обоснованности принимаемых лицензиатом ФАПСИ мер защиты его конфиденциальной информации.
______________________________
*(1) Информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, в настоящей Инструкции именуется - конфиденциальная информация.
*(2) Сертифицированные ФАПСИ средства криптографической защиты конфиденциальной информации в настоящей Инструкции именуются - СКЗИ. К СКЗИ относятся:
- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи, включая СКЗИ;
- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от несанкционированного доступа к информации при ее обработке и хранении;
- реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и "электронной подписи";
- аппаратные, программные и аппаратно-программные средства, системы и комплексы изготовления и распределения ключевых документов для СКЗИ независимо от вида носителя ключевой информации.
*(3) Обладателями конфиденциальной информации могут быть государственные органы, государственные организации и другие организации независимо от их организационно-правовой формы и формы собственности, индивидуальные предприниматели и физические лица.
*(4) Сети конфиденциальной связи - сети связи, предназначенные для передачи конфиденциальной информации.
*(5) Операторы конфиденциальной связи - операторы связи, предоставляющие на основании лицензии ФАПСИ услуги конфиденциальной связи с использованием СКЗИ.
*(6) Операторы конфиденциальной связи и лица, имеющие лицензию ФАПСИ и не являющиеся операторами конфиденциальной связи, в настоящей Инструкции именуются лицензиаты ФАПСИ.
*(7) Органом криптографической защиты может быть организация, структурное подразделение организации - лицензиата ФАПСИ, обладателя конфиденциальной информации. Функции органа криптографической защиты могут быть возложены на физическое лицо.
*(8) Физические лица, непосредственно допущенные к работе с СКЗИ, в настоящей Инструкции именуются - пользователи СКЗИ.
*(9) В настоящей Инструкции используются следующие понятия и определения:
- криптографический ключ (криптоключ) - совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе;
- ключевая информация - специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока;
- исходная ключевая информация - совокупность данных, предназначенных для выработки по определенным правилам криптоключей;
- ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию;
- ключевой носитель - физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т.п.);
- ключевой блокнот - набор бумажных ключевых документов одного вида (таблиц, перфолент, перфокарт и т.п.), сброшюрованных и упакованных по установленным правилам.
*(10) Под компрометацией криптоключей в настоящей Инструкции понимается хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
*(11) Помещения, где установлены СКЗИ или хранятся ключевые документы к ним, в настоящей Инструкции именуются - спецпомещения.
*(12) Требования к обеспечению сохранности конфиденциальной информации в спецпомещениях аналогичны требованиям к помещениям, где выполняются работы, связанные с хранением (обработкой) такой информации, и устанавливаются обладателем конфиденциальной информации;
*(13) Под федеральными органами правительственной связи и информации в настоящей Инструкции понимаются главные управления ФАПСИ, управления ФАПСИ в федеральных округах, региональные управления правительственной связи и информации, центры правительственной связи.
Приложение 1
к Инструкции (пункт 26),
утвержденной приказом ФАПСИ
от 13 июня 2001 г. N 152
Типовая форма журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для органа криптографической защиты)
┌────┬────────────────┬───────────────┬──────────┬───────────────────────────────┬──────────────────────────┐
│N п/│ Наименование │Серийные номера│ Номера │ Отметка о получении │ Отметка о рассылке │
│ п │ СКЗИ, │ СКЗИ, │экземпля- │ │ (передаче) │
│ │эксплуатационной│эксплуатацион- │ ров ├────────────────┬──────────────┼───────┬────────┬─────────┤
│ │ и технической │ ной и │(криптог- │От кого получены│ Дата и номер │Кому │ Дата и │ Дата и │
│ │ документации к │ технической │рафические│ или Ф.И.О. │сопроводитель-│разо- │ номер │ номер │
│ │ ним, ключевых │документации к │номера) │ сотрудника │ ного письма │сланы │сопрово-│подтверж-│
│ │ документов │ ним, номера │ ключевых │ органа │ или дата │(пере- │дитель- │дения или│
│ │ │серий ключевых │документов│криптографичес- │ изготовления │ даны) │ ного │расписка │
│ │ │ документов │ │ кой защиты, │ ключевых │ │ письма │ в │
│ │ │ │ │ изготовившего │ документов и │ │ │получении│
│ │ │ │ │ ключевые │ расписка в │ │ │ │
│ │ │ │ │ документы │ изготовлении │ │ │ │
├────┼────────────────┼───────────────┼──────────┼────────────────┼──────────────┼───────┼────────┼─────────┤
│ 1 │ 2 │ 3 │ 4 │ 5 │ 6 │ 7 │ 8 │ 9 │
└────┴────────────────┴───────────────┴──────────┴────────────────┴──────────────┴───────┴────────┴─────────┘
┌────────────────────────────────┬─────────────────┬────────────┬────────────────────────────┬──────────────┐
│ Отметка о возврате │ Дата ввода в │Дата вывода │Отметка об уничтожении СКЗИ,│ Примечание │
│ │ действие │из действия │ ключевых документов │ │
├────────────┬───────────────────┤ │ ├─────────────┬──────────────┤ │
│Дата и номер│ Дата и номер │ │ │ Дата │Номер акта или│ │
│сопроводите-│ подтверждения │ │ │ уничтожения │ расписка об │ │
│ льного │ │ │ │ │ уничтожении │ │
│ письма │ │ │ │ │ │ │
├────────────┼───────────────────┼─────────────────┼────────────┼─────────────┼──────────────┼──────────────┤
│ 10 │ 11 │ 12 │ 13 │ 14 │ 15 │ 16 │
└────────────┴───────────────────┴─────────────────┴────────────┴─────────────┴──────────────┴──────────────┘
Приложение 2
к Инструкции (пункт 26),
утвержденной приказом ФАПСИ РФ
от 13 июня 2001 г. N 152
Типовая форма журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации)
┌────┬──────────────────┬──────────────────────┬────────────────┬──────────────────────┬────────────────────┐
│N п/│Наименование СКЗИ,│Серийные номера СКЗИ, │ Номера │ Отметка о получении │ Отметка о выдаче │
│ п │эксплуатационной и│ эксплуатационной и │ экземпляров ├─────────┬────────────┼─────────┬──────────┤
│ │ технической │ технической │(криптографичес-│ От кого │Дата и номер│ Ф.И.О. │ Дата и │
│ │ документации к │ документации к ним, │ кие номера) │получены │сопроводите-│пользова-│расписка в│
│ │ ним, ключевых │номера серий ключевых │ ключевых │ │ льного │теля СКЗИ│получении │
│ │ документов │ документов │ документов │ │ письма │ │ │
├────┼──────────────────┼──────────────────────┼────────────────┼─────────┼────────────┼─────────┼──────────┤
│ 1 │ 2 │ 3 │ 4 │ 5 │ 6 │ 7 │ 8 │
└────┴──────────────────┴──────────────────────┴────────────────┴─────────┴────────────┴─────────┴──────────┘
┌──────────────────────────────────────────────────┬──────────────────────────────────────────┬─────────────┐
│ Отметка о подключении (установке) СКЗИ │ Отметка об изъятии СКЗИ из аппаратных │ Примечание │
│ │ средств, уничтожении ключевых документов │ │
├──────────────────┬────────────┬──────────────────┼──────────┬───────────────────┬───────────┤ │
│Ф.И.О. сотрудников│ Дата │Номера аппаратных │ Дата │Ф.И.О. сотрудников │Номер акта │ │
│ органа │подключения │средств, в которые│ изъятия │ органа │ или │ │
│криптографической │(установки) │установлены или к │(уничтоже-│ криптографической │расписка об│ │
│ защиты, │ и подписи │которым подключены│ ния) │ защиты, │уничтожении│ │
│пользователя СКЗИ,│ лиц, │ СКЗИ │ │пользователя СКЗИ, │ │ │
│ произведших │произведших │ │ │ производивших │ │ │
│ подключение │подключение │ │ │ изъятие │ │ │
│ (установку) │(установку) │ │ │ (уничтожение) │ │ │
├──────────────────┼────────────┼──────────────────┼──────────┼───────────────────┼───────────┼─────────────┤
│ 9 │ 10 │ 11 │ 12 │ 13 │ 14 │ 15 │
└──────────────────┴────────────┴──────────────────┴──────────┴───────────────────┴───────────┴─────────────┘
Приложение 3
к Инструкции (пункт 28),
утвержденной приказом ФАПСИ
от 13 июня 2001 г. N 152
Типовая форма технического (аппаратного) журнала
┌────┬───────┬─────────┬──────────┬─────────────────────────────────────────────┬──────────────────┬────────┐
│N п/│ Дата │ Тип и │Записи по │ Используемые криптоключи │ Отметка об │Примеча-│
│ п │ │серийные │обслужива-│ │ уничтожении │ ние │
│ │ │ номера │ нию СКЗИ │ │ (стирании) │ │
│ │ │использу-│ ├──────────┬─────────────────┬────────────────┼───────┬──────────┤ │
│ │ │емых СКЗИ│ │ Тип │ Серийный, │ Номер разового │ Дата │ Подпись │ │
│ │ │ │ │ключевого │криптографический│ ключевого │ │пользова- │ │
│ │ │ │ │документа │ номер и номер │ носителя или │ │теля СКЗИ │ │
│ │ │ │ │ │ экземпляра │ зоны СКЗИ, в │ │ │ │
│ │ │ │ │ │ ключевого │которую введены │ │ │ │
│ │ │ │ │ │ документа │ криптоключи │ │ │ │
├────┼───────┼─────────┼──────────┼──────────┼─────────────────┼────────────────┼───────┼──────────┼────────┤
│ 1 │ 2 │ 3 │ 4 │ 5 │ 6 │ 7 │ 8 │ 9 │ 10 │
└────┴───────┴─────────┴──────────┴──────────┴─────────────────┴────────────────┴───────┴──────────┴────────┘