Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации. Скзи. нпа. некоторые вопросы применения криптографии V. контроль за организац

02.07.2020

Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ".

А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ). А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ.

С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных”, утвержденных руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622. Но после выхода ПП РФ №1119, данный документ потерял актуальность и ФСБ России сообщила что необходимо руководствоваться именно Инструкцией.

В рамках гос. контроля именно по выполнению положений данной Инструкции находится большое количество нарушений.

По применению Инструкции есть много вопросов, ведь писалась она в те времена, когда сертифицированные СКЗИ применялись в редких организациях в единичных экземплярах. Сейчас же, когда серт. криптография становится повсеместной, вызывает сложности дословное выполнение Инструкции.

Сразу же хочу обратить внимание на тот факт, что Инструкция в связке с 99-ФЗ дают однозначные результаты о необходимости получения лицензии ФСБ России или заключения договора с лицензиатом:

Ст.12 99-ФЗ: “1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:

1) … выполнение работ … в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);”

Постановление правительства РФ №313. Приложение к положению: “ПЕРЕЧЕНЬ ВЫПОЛНЯЕМЫХ РАБОТ И ОКАЗЫВАЕМЫХ УСЛУГ, СОСТАВЛЯЮЩИХ ЛИЦЕНЗИРУЕМУЮ ДЕЯТЕЛЬНОСТЬ, В ОТНОШЕНИИ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ

12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.

13. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.

14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.

15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.

20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая , если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

28. Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств.”

Но Инструкция содержит более строгие требования.

Инструкция ФАПСИ №152:“ 4. Безопасность хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации, обладатели которой не имеют лицензий ФАПСИ, лицензиаты ФАПСИ организуют и обеспечивают... на основании договоров на оказание услуг по криптографической защите конфиденциальной информации.

6. Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты…”

Основной вывод следующий: организация без лицензии ФСБ не может самостоятельно организовать работы по правильной эксплуатации СКЗИ. Для этого организации обязательно нужно обратится к лицензиату, заключить с ним договор на обслуживание. У лицензиата ФСБ в структуре выделяется ОКЗИ, который организует работы по обеспечению безопасности в организации-заказчике и контролирует их выполнение (а иногда и сам выполняет).

PS : По применению отдельных пунктов Инструкции у меня также было много вопросов, самые интересные я задавал регулятору и в следующей статье поделюсь наиболее интересной информацией…

Также интересно увидеть какие у Вас, коллеги, были сложности или наоборот положительный опыт применения Инструкции.

9 комментариев:

Unknown комментирует...

Сложности, в основном, как раз возникают в понимании того самого указания о "личных нуждах", указанных в 99-ФЗ, и однозначном понимании в Инструкции ФАПСИ того, что всё сводится к тому, что на предприятии для организации всего необходимого комплекса мер связанных с организацией хранения и эксплуатации СКЗИ (обучения персонала, налаживания учёта СКЗИ и т.д.) необходимо создавать орган криптозащиты. Который, соответственно, невозможно создать без наличия соответствующей лицензии ФСБ.
Вот, например, у одной компании эксплуатируется сеть ViPNet (принадлежащая ей же) на базе координаторов HW. Эта компания, для организации защищенного электронного документооборота, устанавливает в нескольких других компаниях координаторы HW из своей сети. Но не берёт за это оплаты, а использует это всё для "собственных нужд", чтобы обеспечивать безопасность передачи ПДн между этими компаниями. Нужно ли в этом случае компании владельцу ViPNet-сети получать лицензию ФСБ на деятельность в сфере криптозащиты?

Сергей Борисов комментирует...

Я специально процитировал приложение к ПП 313, из которого видно что под исключение (собственные нужны) попадает только текущее обслуживание. Работы по установке, настройке и выпуску ключей идут отдельными пунктами и на них исключение не распространяется.
При администрировании VipNet сети придется делать как минимум перевыпуск ключений и изменение настроек. Чаще всего, ещё и переустановку. Так что без лицензии не обойтись.

На счет именно фразы "собственные нужды" однозначно ответить не могу.
В примере с VipNet, если бы у каждой организации была своя vipnet сеть, между которыми устанавливается межсетевое взаимодействие, и каждый эксплуатирует только свою часть, то это подходит под "собственные нужны". Если много организаций в одной сети, то это уже не собственные нужны, а нужны нескольких лиц.

Задавал вопрос ФСБ устно, сказали что если даже на безвозмездной основе, но для нужд других организаций - то это подпадает под необходимость лицензии. Письменно отказались 99-ФЗ комментировать, сказали что ФЗ - это не их документ.

Unknown комментирует...

Сейчас ЛЮБАЯ организация передает данные в ФНС, ПФР, ФСС.
А еще работает с сайтом закупок, используя криптографию (КриптоПРО CSP,ViPNet CSP).
Государственные организации работают с Казначейством своего региона.
И для всего этого нужна лицензия ФСБ?

Сергей Борисов комментирует...

Получается что либо нужна лицензия ФСБ России, либо нужно привлечение лицензиата для поставки, установки, настройки СКЗИ и для постоянного обслуживания в качестве ОКЗИ.
Для новых установок и поставок - это понятно.

А вот с различными СКЗИ получаемыми от других организаций - беда. Надо как-то выходить на эти организации (а они тоже должны обладать лицензиями ФСБ России иначе не могли бы распространять), просить их выступить в качестве ОКЗИ. Если не получится, передавать и эти СКЗИ на обслуживание лицензиату.

Unknown комментирует...

Извините, много текста получилось...

Сергей, в первую очередь я хочу сказать, что с Вами согласен по поводу общего понимая требований нормативных документов. Но вот эта фраза "для собственных нужд" вносит очень большое непонимание. Нет однозначного трактования. А именно в споре с коллегой я говорю, что "для собственных нужд" - это когда одна, какая-то конкретная компания/фирма/предприятие/организация использует СКЗИ только в внутри себя. Самый распространенный пример - в компании (даже с филиалами) поднята ViPNet-сеть с "Деловой почтой" для передачи конфиденциальной информации между работниками ОДНОЙ И ТОЙ ЖЕ копании. Специально обученный специалист выпускает ключи только для работников именно этой компании и ни для какой другой. Коллега же утверждает, что даже если компания пускает в свою ViPNet-сеть совершенно другую фирму (выпускает ключи для работников совершенно другого юридического лица, производит установку ПО ViPNet-клиент, осуществляет сопровождение этого АРМ) для организации защищенного конфиденциального документооборота (например, для передачи ПДн), то это всё равно всё "для собственных нужд", так как фирма владелец ViPNet-сети предоставляет рабочее место ViPNet-клиента другому юр. лицу именно безвозмездно и для нужд, необходимых именно этой фирме. Например, фирма владелец ViPNet-сети выступает инициатором именно такого способа передачи ПДн и обеспечения их безопасности, и в связи с этим безвозмездно оказывает услуги по выпуску и установке СКЗИ. И вот эта неоднозначность в законе как раз и не даёт чёткого понимания. Ни в ФЗ "О лицензируемых видах деятельности", ни в других нормативных документах ФАПСИ/ФСБ нет однозначного трактования: "выпускаешь СКЗИ исключительно для себя - можно. Передал кому-то другому даже безвозмездно - нельзя, нарушаешь!". Как доказать это всё?

В устном разговоре представители регулятора говорят, что лицензия на работы с СКЗИ нужна в любом случае - не важно, для своих нужд, или не для своих. Отчасти, наверно, скорее так, чем нет, так как в соответствии с инструкцией ФАПСИ - ОКЗИ может создавать только лицензиат. Другое дело - можно отдать это на аутсорс. Но с другой стороны 99-ФЗ говорит, что "не лицензируется для собственных нужд"...

Надо как-то выходить на эти организации (а они тоже должны обладать лицензиями ФСБ России иначе не могли бы распространять), просить их выступить в качестве ОКЗИ.
Не получается - другие организации категорически отказываются выстапь в качестве СКЗИ. Скажу более - есть в Инструкции администратора безопасности КриптоПро такой раздел, в котором говорится, что админ центра регистрации должен каждому своему пользователю выдавать "Карточку компрометации ключа", в которой указаны контакты УЦ для, соответственно, экстренной компрометации. Так вот многие УЦ нашего города в глаза этого не видели. А когда, в ходе проверки ФСБ, проверяющие на это указали, и были написаны соответствующие письма по этому поводу, эти УЦ начали такие глупости писать в ответ, лишь бы как-то откреститься от того, чего от них требуют. Отсюда, кстати, возникает закономерный вопрос: как эти УЦ получили лицензию на работу с СКЗИ, если они не выполняют требования по эксплуатации разработчика этих СКЗИ? А требования эти, в свою очередь, регламентированы в пунке 46 ПКЗ-2005...

Unknown

ООО "С-Нова", Вера Колмакова, бухгалтер

Сегодня я была на семинаре с представителями ФСС и специалистом по Трудовым вопросам.
Благодарю организаторов и спикеров!
Я считаю, очень важно получить концентрированную точную информацию вовремя, и даже заранее. Это позволяет с большей осознанностью подготовиться к переменам, а также выработать стратегию работы на ближайшее время и перспективу.
Приятно, что Арча заботится о своих клиентах в нескольких направлениях:
1. доведение ценной информации до клиентов устами сотрудников гос.органов и специалистов в определенной области права;
2. готовое практическое программное решение;
3. техническое и даже методическое сопровождение от сотрудников техподдержки Арчи по программам.
При такой поддержке бухгалтер и кадровик работают с большей уверенностью и спокойствием.
Спасибо!

«..Благодаря «Арча-сервис» я довольно быстро — не прошло и трёх дней с момента первого моего звонка в компанию - вошла в число счастливых обладателей усиленной квалифицированной ЭЦП. Теперь на сайте «Госуслуги» мне доступны все услуги без ограничений, и это очень удобно....Благодарна сотрудникам «Арча -сервис» за быстрое и компетентное обслуживание. И рада, что, наконец, и у меня есть электронная подпись, ведь она открывает новые возможности и экономит время.."

« Большое СПАСИБО за помощь, мы не только смогли пройти регистрацию, но и успели подать заявку. Выражаем вашим сотрудникам огромную благодарность за оперативность и понимание. Очень рада, что сотрудничаем с вашей компанией!»

Акционерное общество «Кировградский завод твердых сплавов» 08 июня 2017 г.

«Благодаря Вашим усилиям, наша компания приобрела в кратчайшие сроки электронную подпись и смогла принять участие в очень важном для нас тендере. Очень приятно, что нас окружает такой ответственный, отзывчивый и молниеносно реагирующий коллектив»

ООО «ЭКИПТРЕЙД» 21 июня 2017 г.

«За время нашей работы, Ваши специалисты своевременно оказывали услуги по получения электронной подписи, профессионально консультировали по вопросам аккредитации и работы на электронных площадках, оказывали помощь в настройках ПК, оповещали о семинарах, ответственно подходили к вопросу оперативной обратной связи».

ООО «МАТРИКС» 21 июня 2017 г.

«Выражаем Вам искреннюю признательность за чуткое отношение, понимание и слаженную работу. За время нашего сотрудничества Ваша компания зарекомендовала себя как надежный и солидный партнер, с которым приятно работать».

ЗАО "Рос Сталь Конструкция" 08 августа 2017 г.

Даже не помню сколько лет назад я познакомилась с компанией "Арча". Нужна была мне тогда простая, понятная, профессиональная программа по заработной плате. С тех пор я прикипела к этому замечательному коллективу профессионалов душой. Меняю места работы, программу внедряю и на новом месте, друзьям советую. А как по-другому, хорошим хочется делиться. Программа замечательная, доступная для понимания, удобная в пользовании, всё время совершенствуется. За эти годы добавилось много интересных и полезных сервисов.

Уважаемый Андрей Львович!

Наше предприятие благодарит Вас и коллектив ООО "Арча-сервис" за длительное и продуктивное сотрудничество. ООО "Медсилк" пользуется программой "Арча. Учёт доходов физических лиц" и дополнительным блоком "Кадры" с 2010 года. Ваша программа проста и удобна. Легко формируются отчёты во все контролирующие органы. Очень много вспомогательных отчётов, что значительно облегчает работу бухгалтера.

Выражаем благодарность Вашим сотрудникам за терпение и доброжелательное отношение к клиентам!

Примите глубокую благодарность от ООО "Экодор" и искреннюю признательность за продуктивное сотрудничество с 20009 г. с программой "Арча-сервис". Я считаю её лучшей, простой и доступной. По моей рекомендации уже работает несколько предприятий с Вашей программой в нашем городе. Я удовлетворена вашим вежливым и квалифицированным персоналом, быстрыми и чёткими ответами на заданные вопросы, удобством в работе с программой. Наша организация рассчитывает на дельнейшее сотрудничество в будущем с Вашей компанией.

ООО Управляющая компания "Щербакова" использует компьютерную программу "Арча" для расчёта заработной платы с 2011 года. Начинали с бесплатной версии, но довольно быстро приняли решение перейти на использование платной Базовой версии, т.к Базовая версия программы "Арча" позволяет получить более расширенный перечень расчетов и отчётов по сотрудникам и организации в целом.

Благодарны сотрудникам ООО "Арча-сервис" за внимательное отношение к нашей организации!

ТСЖ "Калининец96" выражает благодарность Исполнительному директору ООО "Арча-сервис" Барыкиной Любови Анатольевне за программу по начислению заработной платы и налогам разработанную организацией. Программа удобна в работе. В случае возникновения вопросов, у ваших сотрудников получаешь исчерпывающую консультацию. Огромной спасибо!

Уважаемы сотрудники ООО "Арча-сервис"!

Выражаем свою благодарность за создание такого отличного продукта, как программа "Арча. Расчёты с персоналом и отчётность". Пользуемся этой программой с 2010 года. Кроме расчётов заработной платы и страховых взносов приобрели дополнительный модуль "Кадровые документы". В программе удобный интерфейс, всё просто и понятно, минимум времени на обучение. В случае возникновения внештатных ситуаций техподдержка всегда помогает. Словом за кадровые документы и расчёт заработной платы мы спокойны.

Надеемся на дальнейшее сотрудничество и желаем творческих успехов!

Благодарим Вас за сотрудничество с нашим ломбардом, за понимание в решении не всегда простых, но актуальных проблем в учёте, начислении и отчётности по заработной плате. Мы являемся пользователями программы "Арча" и модуля "Кадровые документы" с 2010 года.

Поскольку мы, бухгалтера, должны быстро реагировать на происходящие изменения в законодательстве, Ваша программа позволяет делать нам это оперативно и качественно. В этом Ваш большой вклад!

Благодарность предприятию ООО "Арча-сервис"!

Позвольте поблагодарить Вас за Вашу программу "Арча" с которой работает ЗАО "СРУП Уралавтозаз" на протяжении 5 лет, а также выразить восхищение уровню Вашего профессионализма, целеустремлённости и лидерским качествам, благодаря которым наше предприятие достигло значительных успехов.

Мы высоко ценим Ваш неутомимый и добросовестный труд, высокую ответственность и отдаём дань достойному выполнению поставленных перед Вами задач.

Желаем дальнейших успехов в работе!

Наше предприятие уже более 3 лет использует в своей работе программу "Арча". За это время программа, с нашей точки зрения, значительно расширила свои функциональные возможности. В отличии от многих программ, горячая линия поддержки всегда доступна, специалисты всегда готовы оказать помощь и дать исчерпывающую информацию. По нашему мнению, программа является идеальной для малого бизнеса и расчёта заработной платы.

Надеемся на долгосрочное взаимовыгодное сотрудничество!

Государственное областное учреждение дополнительного образования "Школа высшего спортивного мастерства" выражает благодарность разработчикам бухгалтерской программы "Арча". Она доступна в обучении, легка и свободна в работе. Является помощником для бухгалтера в составлении налоговой отчетности.

Большое спасибо всему коллективу компании "Арча-сервис". Желаем дальнейших успехов, удач и благополучия!

Российская Федерация

ПРИКАЗ ФАПСИ от 13.06.2001 N 152 "ОБ УТВЕРЖДЕНИИ ИНСТРУКЦИИ ОБ ОРГАНИЗАЦИИ И ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ХРАНЕНИЯ, ОБРАБОТКИ И ПЕРЕДАЧИ ПО КАНАЛАМ СВЯЗИ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ С ОГРАНИЧЕННЫМ ДОСТУПОМ, НЕ СОДЕРЖАЩЕЙ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ"

В соответствии с Федеральным законом от 20 февраля 1995 года N 24-ФЗ "Об информации, информатизации и защите информации" <*>, Законом Российской Федерации от 19 февраля 1993 года N 4524-1 "О федеральных органах правительственной связи и информации" <**> и Положением о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ-99), утвержденным Приказом ФАПСИ от 23 сентября 1999 года N 158, зарегистрированным Министерством юстиции Российской Федерации 28 декабря 1999 года, регистрационный N 2029 <***>, с целью определения порядка организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, приказываю:

<*> Собрание законодательства Российской Федерации, 1995, N 8, ст. 609.

<**> Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации, 1993, N 12, ст. 423.

Закон прост : В связи с утратой силы Федерального закона от 20.02.95 N 24-ФЗ , следует руководствоваться принятым взамен Федеральным Законом от 27.07.2006 N 149-ФЗ

Утвердить Инструкцию об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (прилагается).

Генеральный директор Агентства
В.МАТЮХИН

Приложение
к Приказу Федерального агентства
правительственной связи и информации
при Президенте Российской Федерации
от 13 июня 2001 г. N 152

В соответствии с Федеральным законом от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации"* , Законом Российской Федерации от 19 февраля 1993 г. N 4524-1 "О федеральных органах правительственной связи и информации"** и Положением о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ-99), утвержденным приказом ФАПСИ от 23 сентября 1999 г. N 158, зарегистрированным Министерством юстиции Российской Федерации 28 декабря 1999 г., регистрационный N 2029*** , с целью определения порядка организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну приказываю:

^ Согласно приказу ФСБ РФ от 9 февраля 2005 г. N 66 приказ ФАПСИ от 23 сентября 1999 г. N 158 не применяется

См. Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденное вышеназванным приказом

______________________________

* Собрание законодательства Российской Федерации, 1995, N 8, ст.609.

** Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации, 1993, N 12, ст.423.

Регистрационный N 2848

Приложение

к приказу ФАПСИ РФ

Инструкция
об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну

I. Общие положения

1. Настоящая Инструкция определяет единый на территории Российской Федерации порядок организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием сертифицированных ФАПСИ средств криптографической защиты (шифровальных средств) подлежащей в соответствии с законодательством Российской Федерации обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну*(1) .

Данным порядком рекомендуется руководствоваться также при организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием сертифицированных ФАПСИ средств криптографической защиты*(2) не подлежащей обязательной защите конфиденциальной информации, доступ к которой ограничивается в соответствии с законодательством Российской Федерации или по решению обладателя конфиденциальной информации*(3) (за исключением информации, содержащей сведения, к которым в соответствии с законодательством Российской Федерации не может быть ограничен доступ).

2. Настоящая Инструкция не регламентирует порядка организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации в учреждениях Российской Федерации за границей.

II. Организация и обеспечение безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации

3. Безопасность хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации в сетях конфиденциальной связи*(4) организуют и обеспечивают операторы конфиденциальной связи*(5) .

Безопасность хранения и обработки с использованием СКЗИ конфиденциальной информации, передаваемой вне сетей конфиденциальной связи, организуют и обеспечивают лица, имеющие лицензию ФАПСИ*(6) .

Лица, оказывающие возмездные услуги по организации и обеспечению безопасности хранения и обработки с использованием СКЗИ конфиденциальной информации, передаваемой вне сетей конфиденциальной связи, должны иметь лицензию ФАПСИ на деятельность по предоставлению услуг в области шифрования информации.

4. Безопасность хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации, обладатели которой не имеют лицензий ФАПСИ, лицензиаты ФАПСИ организуют и обеспечивают либо по указанию вышестоящей организации, либо на основании договоров на оказание услуг по криптографической защите конфиденциальной информации.

5. Лицензиаты ФАПСИ несут ответственность за соответствие проводимых ими мероприятий по организации и обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации лицензионным требованиям и условиям, эксплуатационной и технической документации к СКЗИ, а также положениям настоящей Инструкции.

При этом лицензиаты ФАПСИ должны обеспечивать комплексность защиты конфиденциальной информации, в том числе посредством применения некриптографических средств защиты.

Допускается возложение функций органа криптографической защиты на специальное структурное подразделение по защите государственной тайны, использующее для этого шифровальные средства.

Количество органов криптографической защиты и их численность устанавливает лицензиат ФАПСИ.

7. Орган криптографической защиты осуществляет:

Проверку готовности обладателей конфиденциальной информации к самостоятельному использованию СКЗИ и составление заключений о возможности эксплуатации СКЗИ (с указанием типа и номеров используемых СКЗИ, номеров аппаратных, программных и аппаратно-программных средств, где установлены или к которым подключены СКЗИ, с указанием также номеров печатей (пломбиров), которыми опечатаны (опломбированы) технические средства, включая СКЗИ, и результатов проверки функционирования СКЗИ);

Разработку мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, а также в соответствии с эксплуатационной и технической документацией к этим средствам;

Обучение лиц, использующих СКЗИ, правилам работы с ними;

Поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним;

Учет обслуживаемых обладателей конфиденциальной информации, а также физических лиц, непосредственно допущенных к работе с СКЗИ*(8) ;

Подачу заявок в ФАПСИ или лицензиату, имеющему лицензию ФАПСИ на деятельность по изготовлению ключевых документов*(9) для СКЗИ, на изготовление ключевых документов или исходной ключевой информации . Изготовление из исходной ключевой информации ключевых документов, их распределение, рассылку и учет;

Контроль за соблюдением условий использования СКЗИ, установленных эксплуатационной и технической документацией к СКЗИ, сертификатом ФАПСИ и настоящей Инструкцией;

Расследование и составление заключений по фактам нарушения условий использования СКЗИ, которые могут привести к снижению уровня защиты конфиденциальной информации; разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

Разработку схемы организации криптографической защиты конфиденциальной информации (с указанием наименования и размещения нижестоящих органов криптографической защиты, если таковые имеются, обладателей конфиденциальной информации, реквизитов договоров на оказание услуг по криптографической защите конфиденциальной информации, а также с указанием типов применяемых СКЗИ и ключевых документов к ним, видов защищаемой информации, используемых совместно с СКЗИ технических средств связи, прикладного и общесистемного программного обеспечения и средств вычислительной техники). Указанную схему утверждает лицензиат ФАПСИ.

8. Обладатели конфиденциальной информации, если они приняли решение о необходимости криптографической защиты такой информации или если решение о необходимости ее криптографической защиты в соответствии с Положением ПКЗ-99 принято государственными органами или государственными организациями, обязаны выполнять указания соответствующих органов криптографической защиты по всем вопросам организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации.

9. Для организации взаимодействия обладателей конфиденциальной информации, безопасность хранения, обработки и передачи по каналам связи которой с использованием СКЗИ организуют и обеспечивают различные лицензиаты ФАПСИ, из созданных этими лицензиатами ФАПСИ органов криптографической защиты выделяется координирующий орган криптографической защиты. Все органы криптографической защиты, образованные этими лицензиатами ФАПСИ, обязаны выполнять указания координирующего органа криптографической защиты по обеспечению такого взаимодействия.

10. Инструкции, регламентирующие процессы подготовки, ввода, обработки, хранения и передачи защищаемой с использованием СКЗИ конфиденциальной информации, должны согласовываться с лицензиатом ФАПСИ. Такие инструкции подготавливаются согласно эксплуатационной и технической документации на соответствующие сети связи, автоматизированные и информационные системы, в которых передается, обрабатывается или хранится конфиденциальная информация, с учетом используемых СКЗИ и положений настоящей Инструкции.

11. Лицензиаты ФАПСИ с учетом особенностей своей деятельности могут разрабатывать методические рекомендации по применению настоящей Инструкции, не противоречащие ее требованиям.

12. Ключевые документы для СКЗИ или исходная ключевая информация для выработки ключевых документов изготавливаются ФАПСИ на договорной основе или лицами, имеющими лицензию ФАПСИ на деятельность по изготовлению ключевых документов для СКЗИ.

Изготовлять ключевые документы из исходной ключевой информации могут координирующий орган криптографической защиты (при его наличии), органы криптографической защиты или непосредственно обладатели конфиденциальной информации, применяя штатные СКЗИ, если такая возможность предусмотрена эксплуатационной и технической документацией к СКЗИ.

13. К выполнению обязанностей сотрудников органов криптографической защиты лицензиатами ФАПСИ допускаются лица, имеющие необходимый уровень квалификации для обеспечения защиты конфиденциальной информации с использованием конкретного вида (типа) СКЗИ.

14. Лиц, оформляемых на работу в органы криптографической защиты, следует ознакомить с настоящей Инструкцией под расписку.

15. Обязанности, возлагаемые на сотрудников органа криптографической защиты, могут выполняться штатными сотрудниками или сотрудниками других структурных подразделений, привлекаемыми к такой работе по совместительству.

16. При определении обязанностей сотрудников органов криптографической защиты лицензиаты ФАПСИ должны учитывать, что безопасность хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации обеспечивается:

Соблюдением сотрудниками органов криптографической защиты режима конфиденциальности при обращении со сведениями, которые им доверены или стали известны по работе, в том числе со сведениями о функционировании и порядке обеспечения безопасности применяемых СКЗИ и ключевых документах к ним;

Точным выполнением сотрудниками органов криптографической защиты требований к обеспечению безопасности конфиденциальной информации;

Надежным хранением сотрудниками органов криптографической защиты СКЗИ, эксплуатационной и технической документации к ним, ключевых документов, носителей конфиденциальной информации;

Своевременным выявлением сотрудниками органов криптографической защиты попыток посторонних лиц получить сведения о защищаемой конфиденциальной информации, об используемых СКЗИ или ключевых документах к ним;

Немедленным принятием сотрудниками органов криптографической защиты мер по предупреждению разглашения защищаемых сведений конфиденциального характера, а также возможной утечки таких сведений при выявлении фактов утраты или недостачи СКЗИ, ключевых документов к ним, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов), личных печатей и т.п.

17. Обучение и повышение квалификации сотрудников органов криптографической защиты осуществляют организации, имеющие лицензию на ведение образовательной деятельности по соответствующим программам.

18. Сотрудники органа криптографической защиты должны иметь разработанные в соответствии с настоящей Инструкцией и утвержденные лицензиатом ФАПСИ функциональные обязанности. Объем и порядок ознакомления сотрудников органов криптографической защиты с конфиденциальной информацией определяется обладателем конфиденциальной информации.

Обязанности между сотрудниками органа криптографической защиты должны быть распределены с учетом персональной ответственности за сохранность СКЗИ, ключевой документации и документов, а также за порученные участки работы.

19. Физические лица допускаются к работе с СКЗИ согласно перечню пользователей СКЗИ, утверждаемому соответствующим обладателем конфиденциальной информации. До такого утверждения техническая возможность использования СКЗИ лицами, включенными в данный перечень, должна быть согласована с лицензиатом ФАПСИ.

Лицензиаты ФАПСИ в рамках согласованных с обладателями конфиденциальной информации полномочий по доступу к конфиденциальной информации имеют право утверждать такой перечень в отношении подчиненных им должностных лиц.

20. Пользователи СКЗИ обязаны:

Не разглашать конфиденциальную информацию, к которой они допущены, рубежи ее защиты, в том числе сведения о криптоключах ;

Соблюдать требования к обеспечению безопасности конфиденциальной информации с использованием СКЗИ;

Сообщать в орган криптографической защиты о ставших им известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним;

Сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы в соответствии с порядком, установленным настоящей Инструкцией, при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ;

Немедленно уведомлять орган криптографической защиты о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых сведений конфиденциального характера, а также о причинах и условиях возможной утечки таких сведений.

21. Непосредственно к работе с СКЗИ пользователи допускаются только после соответствующего обучения.

Обучение пользователей правилам работы с СКЗИ осуществляют сотрудники соответствующего органа криптографической защиты. Документом, подтверждающим должную специальную подготовку пользователей и возможность их допуска к самостоятельной работе с СКЗИ, является заключение, составленное комиссией соответствующего органа криптографической защиты на основании принятых от этих лиц зачетов по программе обучения.

15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.

Но Инструкция содержит более строгие требования.