Полевые заметки: "Это ж всего лишь электронная подпись…!"

      На днях к нам обратился за срочной консультацией руководитель одного их региональных СМИ после неожиданного визита в их компанию представителей Управления ФСБ России. Как и любая организация в России, городской информационный центр использует квалифицированные электронные подписи, а значит - применяет шифровальные средства для защиты информации, в том числе персональных данных. Понятие СКЗИ сегодня прочно вошло в наш словооборот, стало нормой, а вот выполнение существующих требований к использованию шифровальных средств - повседневным правилом, увы, не стало! Директору Информ.центра оперативно, в течение недели, теперь предстоит выполнить требования, утвержденные Приказом ФСБ России от 10.07.2014 №378. Нюанс заключался в том, что, будучи подведомственным учреждением Администрации города, Информ.центр получил через учредителя, как он посчитал, всё необходимое для использования криптосредства: «ведь там наверху все всё знают». А всё вышло наоборот. Вердикт инспекторов Управления ФСБ России: городской информационный центр допустил использование криптосредств, не имеющих действующих сертификатов соответствия ФСБ России, тем самым нарушил ст.19 ФЗ-152 «О персональных данных» и попал под санкции, предусмотренные ч.2 ст.13.12 КоАП РФ.  А это значит, что впереди и Суд, и Дело! Поэтому еще раз напоминаем, и в первую очередь -  тем организациям, которые не имеют штатных специалистов по защите информации, что всем пора свыкнуться с обязательными требованиями к СКЗИ.
Учитывая приведенный пример, организациям следует помнить ряд важных правил:
  1. Необходимо запросить у Казначейства (там происходило получение) к полученной лицензии сопроводительное письмо и сертифицированный дистрибутив (это может быть копия диска вышестоящей организации). В Казначействе должны были произвести контрольное суммирование дистрибутива средства защиты информации, сравнив с формуляром. При совпадении контрольных сумм - предоставить организации дистрибутив вместе с сопроводительным письмом и копию формуляра, в котором прописан серийный номер СЗИ.
  2. Получать конверт с СКЗИ может только руководитель или ответственный пользователь СКЗИ.
  3. В случае отсутствия дистрибутива организация должна самостоятельно его заказать у вендора или у уполномоченной организации (УЦ или лицензиат ФСБ России).
  4. При наличии полного комплекта СКЗИ (формуляр или его копия, лицензия, копия действующего сертификата, дистрибутив), ответственный пользователь фиксирует получение СКЗИ в Журнале поэкземплярного учета криптосредств.
  5. Для использования СКЗИ необходимо подготовить АРМ и опечатать его.
  6. Помните, что при установке СКЗИ, необходимо иметь на АРМе сертифицированное ФСБ России антивирусное ПО, так как это условие прописано в формуляре.
  7. Не забывайте, что для каждого класса СКЗИ выполняются свои требования (например, для КС1 особых требований нет - просто установка совместно с сертифицированным антивирусом, а для КС2 – нужно СДЗ, эта информация имеется в формуляре).
  8. Помещение, в котором располагается АРМ с СКЗИ, должно соответствовать особым требованиям законодательства, в том числе -  Приказа №378 (прочные с замками двери, которые ежедневно опечатываются, на окнах первых или последних этажей, как минимум – сигнализация или решетки, а также – жалюзи).
  9. Помещение с СКЗИ включается приказом в список «выделенных» помещений.
  10. Составьте Заключение о проверке готовности к использованию и эксплуатации СКЗИ на АРМ, с указанием установленного СКЗИ, серийным номером СКЗИ и номерами наклеек на АРМе.
  11. Ответственный пользователь СКЗИ заносит информацию о факте установки в Журнал поэкземплярного учета СКЗИ.
  12. Ответственный пользователь СКЗИ обязан обучить пользователя СКЗИ, выдать ему заключение о подготовке и допуске к самостоятельной работе с СКЗИ, дополнительно ознакомить данного работника с организационно-распорядительной документацией по СКЗИ и включить его данные в Список пользователей СКЗИ.
  13. Помните, что в случае удаления СКЗИ с персонального компьютера ответственный пользователь СКЗИ делает отметку в Журнале поэкземплярного учета СКЗИ и составляет Акт уничтожения.
  14. Не забудьте, что при установке СКЗИ следует внести изменения в соответствующий раздел Уведомления об обработке персональных данных, направив в Роскомнадзор Уведомление.