Что такое журналы учета ключей?

Журналом учета ключей или других средств криптозащиты называют документ для отслеживания использования ЭЦП внутри организации.

В нем фиксируют, когда и кому были оформлены и выданы электронные подписи, сдачу криптографических ключей при переводе сотрудника на другую должность или в случае увольнения, ознакомление персонала с порядком использования данных криптографических элементов защиты конфиденциальности.

Кому нужно вести журналы учета ключей электронной подписи?

Необходимость ведения журналов учета электронных подписей установлена в отношении следующих организаций:

лицензиатов ФСБ – сюда входят УЦ и прочие субъекты, род деятельности которых предполагает оказание платных услуг по разработке, распространению, установке ключей, ПО и других средств СКЗИ; к перечисленной категории специализированных организаций предъявляются наиболее жесткие требования относительно ведения отчетной документации и использования ЭЦП, с необходимостью разработки детального внутреннего регламента;
других компаний и предприятий, применяющих электронную подпись в документообороте, но не входящих в число лицензиатов ФСБ – несмотря на рекомендательный характер ведения журналов, отчетная документация позволит обеспечить контроль использования криптографических средств защиты в организациях.

Требования к отчетной документации по ЭЦП регламентирует приказ ФАПСИ за № 152, подписанный в июне 2001 года и утверждающий инструкцию по форме и порядку ведения необходимых журналов.

Образцы журналов учета ЭЦП

Отмеченная инструкция предусматривает ведение нескольких видов журналов учета ЭЦП, устанавливая форму указанной документации. Соответствующие таблицы приведены в приложениях данного норматива.

Образцы с примерами заполнения для каждой разновидности отчетных документов не составит труда найти в интернете, чтобы использовать в качестве наглядного руководства.

Журнал поэкземплярного учета

В журналах поэкземплярного учета отображают информацию о движении всех криптографических средств, задействованных организацией, с указанием следующей информации:

  • полного перечня выданных и действующих ЭЦП и прочих элементов защиты конфиденциальности;
  • фамилий и инициалов, должностей сотрудников, получивших электронные подписи;
  • сведений о лицах, выдавших средства СКЗИ, включая место и дату выдачи;
  • информации об уничтожении подписей и прочие важные данные.
Образец журнала поэкземплярного учета

Действующая инструкция предусматривает формы журналов поэкземплярного учета, которые различны, в зависимости от статуса компании – отдельно для лицензиатов ФСБ и компаний, использующих ЭЦП в целях соблюдения конфиденциальности.

Эти различия обусловлены спецификой деятельности указанных организаций и выполняемыми функциями.

Технический или аппаратный журнал

Назначение технического или аппаратного журнала учета предполагает фиксацию операций по обращению и допуску к работе со средствами криптозащиты, установленными на серверном компьютерном оборудовании.

Форма документа предусматривает указание следующей информации в соответствующих колонках:

  • даты и порядкового номера проводимой операции;
  • типа и серийного номера ключа;
  • записи о характере обслуживания криптографического средства;
  • используемых криптоключей, с отражением в отдельных столбцах типа, серии и номера задействованного экземпляра, данных о флешке или другом носителе для размещения выданной ЭЦП;
  • отметки, указывающей на уничтожение подписи, подтверждения ответственного сотрудника, отмечающего дату ликвидации криптоключа.

Отдельная графа предусмотрена для примечаний, в дополнение к содержанию установленных граф.

Как и любая другая отчетная документация, перечисленные журналы должны быть прошиты, с пронумерованными страницами. На первом листе указывают наименование документа, даты начала и окончания ведения, ФИО и должность ответственного лица.

При ведении исключено внесение исправлений, использование забеливания при ошибочных записях.

Что будет, если не соблюдать инструкцию и не вести журналы учета

Организация, использующая в работе криптографические средства защиты, должна обеспечить выполнение следующих мероприятий, направленных на сохранение конфиденциальности информации:

  • назначения сотрудников, которым поручено ведение журналов и контроль применения ЭЦП;
  • осуществления поэкземплярного учета электронных подписей;
  • обучения персонала, допущенного к работе с ключами, с проведением инструктажей о том, как правильно обращаться с данными средствами защиты;
  • соблюдения установленного законом порядка действий при утере или подозрениях на неправомерное применение криптоключей.

Перечисленные меры утверждают в регламенте, действующем внутри организации.

Руководство многих организаций полагает содержание вышеупомянутого приказа № 152 неактуальным, ввиду давности утверждения данного документа. Но такое мнение ошибочно, поскольку норматив никто не отменял.

Не стоит забывать, что контроль исполнения законодательных норм по обращению криптографических средств защиты осуществляет ФСБ, проводя плановые и внеплановые проверки.

Нарушителей могут привлечь к административной ответственности, на основании ст. 13.12 КоАП РФ, предполагающей назначение штрафов следующим категориям нарушителей:

  • физическим лицам – от 500 до 2 500 руб.;
  • ответственным сотрудникам предприятий – от 1 000 до 4 000 руб.;
  • организациям – от 10 000 до 25 000 руб.
Мнение эксперта
Владимир Аникеев
Специалист отдела технической поддержки
Точные размеры штрафа определит суд, исходя из характера нарушения, предусмотренного соответствующей частью указанной статьи, и степенью тяжести допущенных отступлений от законодательных норм.

По результатам проверки, предприятие получит обязательное к исполнению предписание об устранении выявленных недостатков, с установленными сроками.

Соблюдение конфиденциальности криптографических средств защиты информации в учреждении или компании требует ведения установленной законом документации. Заполнение указанных журналов организовать несложно.

А выполнение условий по контролю за обращением ЭЦП избавит руководство и персонал организации от серьезных проблем с государственными контролирующими органами.