Что нарушено в правилах хранения и учета выдачи ключей
Журналы учета электронных подписей: как вести и хранить
Статья будет полезна, если в вашей организации есть хотя бы один ключ электронной подписи — тогда вам, скорее всего, нужно вести журналы учета ключей подписи. Кто обязан это делать и как, расскажем в статье.
Что такое журналы учета ключей ЭП
Журналы учета средств криптографической защиты информации (СКЗИ) или ключей электронной подписи (ЭП или ЭЦП) помогают следить за перемещением средств криптозащиты и ключей подписи в организации. В них отражается кто получил ключ подписи, сдал ли его при переходе на другую должность или увольнении, знаком ли сотрудник с правилами работы со средствами электронной подписи. Журналы нужны предприятиям, которые используют ЭП и СКЗИ, например, КриптоПро CSP или ViPNet CSP.
Кому нужно вести журналы учета ключей ЭП
Лицензиаты ФСБ
Эти компании оказывают платные услуги, связанные с использованием СКЗИ: их разработкой, распространением, установкой, обслуживанием и т.д. Это могут быть удостоверяющие центры, которые выпускают сертификат электронных подписей, или, например, дистрибьюторы СКЗИ.
К лицензиатам предъявляется самый большой список требований по соблюдению инструкции. Они должны создать у себя орган криптографической защиты информации, разработать свой регламент по соблюдению инструкции и вести журналы учета ключей ЭП и СКЗИ. Орган криптозащиты контролирует, как организация соблюдает инструкцию из приказа ФАПСИ №152.
Организации, которые не являются лицензиатами ФСБ
Обязательно соблюдать приказ ФАПСИ №152 и вести журналы учета ключей ЭП должны предприятия, которые используют СКЗИ для защиты конфиденциальной информации, если такая информация по закону подлежит защите — например, для персональных данных или при передаче отчетности. В приказе их называют «обладатели конфиденциальной информации».
Если организации используют СКЗИ для защиты информации, не подлежащей обязательной защите, то требования инструкции ФАПСИ носят рекомендательный характер. Например, это касается компании, которая приобрела сертификат ЭП и средства криптозащиты только для внутреннего пользования — подписания внутренних документов, шифрования результатов своей работы.
Организациям, которые будут соблюдать требования приказа ФАПСИ №152, нужно создать регламент хранения и использования электронных подписей на основе утвержденной приказом инструкции и вести журналы учета. Сделать это можно одним из двух способов:
Какие журналы учета вести
Инструкция устанавливает два типа журналов:
Способ заполнения журнала отличается в зависимости от типа СКЗИ, от того кто ведет журнал: обладатель ключей ЭП или орган криптографической защиты. Подробно детали заполнения описаны в приказе ФАПСИ № 152.
Форма журнала поэкземплярного учета для органа криптографической защиты — для лицензиатов ФCБ:
Форма журнала поэкземплярного учета для обладателей конфиденциальной информации:
Типовая форма технического (аппаратного) журнала:
Чтобы скачать формы для заполнения журналов, перейдите по ссылке.
Что такое порядок использования и хранения ключей ЭП и СКЗИ
Кроме журналов учета инструкция также рекомендует организациям разработать и соблюдать свой регламент хранения и использования ключей ЭП. Для регламента нет единой типовой формы, поэтому компания может разработать документ самостоятельно. Для этого нужно изучить инструкцию и адаптировать требования именно под свою компанию.
Несмотря на то, что регламент в разных компаниях будет отличаться, есть общие требования — регламент должен указывать правила, по которым в организации:
Что будет, если не соблюдать инструкцию и не вести журналы учета
Новые правила хранения документов с февраля 2020 года
С 18 февраля 2020 действует приказ Росархива от 20.12.2019 № 236, который утвердил Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения.
Среди них он установил новые сроки хранения документов, касающихся обеспечения режима безопасности организации, гражданской обороны, и защиты от чрезвычайных ситуаций (ГО и ЧС).
Чем руководствоваться
Обязательные сроки хранения документов, касающихся обеспечение режима безопасности организации, гражданской обороны и защиты от чрезвычайных ситуаций, с 18.02.2020 регламентирует п. 11 раздела II упомянутого приказа Росархива. Они представлены ниже в таблицах и включают 2 группы документов:
Поясним, что в представленных ниже таблицах срок хранения с отметкой «ЭПК» означает, что документ после истечения установленного срока хранения можно взять на постоянное хранение.
Документы об организации охраны и пропускного режима
ВИД ДОКУМЕНТА
СРОК ХРАНЕНИЯ
ПРИМЕЧАНИЕ
Договоры на оказание охранных услуг
(1) После истечения срока действия договора; после прекращения обязательств по договору
Схемы дислокации постов охраны
(1) После замены новыми
(1) При условии проведения проверки
Переписка об оформлении разрешений на право хранения и ношения оружия
Акты аттестации режимных помещений, средств электронно-вычислительной техники, используемой в этих помещениях
(1) После переаттестации или окончания эксплуатации помещения
Журналы приема (сдачи) под охрану режимных помещений, спецхранилищ, сейфов (металлических шкафов) и ключей от них
Книги, журналы учета опечатывания помещений, приема-сдачи дежурств и ключей
Документы (протоколы, акты, справки, сведения, докладные, служебные записки, переписка) о расследовании чрезвычайных происшествий при охране зданий, перевозке ценностей
Документы (акты, докладные, служебные записки, заявки, списки, переписка) о выдаче, утрате удостоверений, пропусков, идентификационных карт
Книги регистрации (учета выдачи) удостоверений, пропусков, идентификационных карт
Приемные акты на бланки удостоверений, пропусков, идентификационных карт, расходные акты уничтожения удостоверений, пропусков, корешков к ним
Разовые пропуска, корешки пропусков в служебные здания и на вынос материальных ценностей
Документы (заявки, переписка) о допуске в служебные помещения в нерабочее время и выходные дни
Документы об антитеррористической защищенности, пожарной безопасности, организация гражданской обороны и защите от чрезвычайных ситуаций
ВИД ДОКУМЕНТА
СРОК ХРАНЕНИЯ
ПРИМЕЧАНИЕ
Планы повышения защищенности критически важных объектов
(1) После замены новыми
Паспорта безопасности объектов (территорий) с массовым пребыванием людей
(1) После актуализации паспорта безопасности
Паспорта безопасности объектов топливно-энергетического комплекса
(1) После актуализации паспорта безопасности
Паспорта безопасности объектов (территорий), подлежащих обязательной охране войсками национальной гвардии Российской Федерации
(1) После актуализации паспорта безопасности
Документы (протоколы, планы, отчеты, информации, справки, акты, переписка) о повышении антитеррористической защищенности организации
Журналы инструктажа по антитеррористической защищенности и гражданской обороне
Положения, инструкции, порядки руководителя объектового звена Российской системы чрезвычайных ситуаций (РСЧС)
(1) После замены новыми
Документы (планы, сведения, протоколы, докладные записки, акты, переписка) о деятельности объектового звена Российской системы чрезвычайных ситуаций (РСЧС)
Документы (планы, акты, отчеты, справки, списки, переписка) об организации работы по гражданской обороне и защите от чрезвычайных ситуаций
Планы подготовки и приведения в готовность нештатных формирований гражданской обороны
(1) После замены новыми
Планы действий по предупреждению и ликвидации чрезвычайных ситуаций
(1) После замены новыми
Переписка о мерах по предупреждению чрезвычайных ситуаций
Планы и схемы оповещения граждан по сигналам оповещения гражданской обороны, при получении информации о чрезвычайной ситуации
Планы-схемы эвакуации из здания при чрезвычайных ситуациях
Списки эвакуируемых работников и членов их семей
(1) После замены новыми
Журнал вводного инструктажа по гражданской обороне и защите от чрезвычайных ситуаций
Журналы учета занятий по гражданской обороне и защите от чрезвычайных ситуаций
Книги учета имущества гражданской обороны
Документы (планы, отчеты, инструкции, докладные, служебные записки, акты, справки, переписка) об обеспечении противопожарного, внутриобъектового, пропускного режимов организации
Документы (акты, заключения, переписка) о пожарах
(1) С человеческими жертвами, при уничтожении документов в результате пожара — Постоянно
Журналы учета инструктажей по пожарной безопасности
Списки противопожарного оборудования и инвентаря
(1) После замены новыми
Переписка о приобретении противопожарного оборудования и инвентаря
Планы и схемы оповещения граждан, пребывающих в запасе, при объявлении мобилизации
ВНИМАНИЕ!
Скоро на «Клерке» стартует обучение на онлайн-курсе повышения квалификации для получения удостоверения, которое попадет в госреестр. Тема курса: управленческий учет.
Повысьте свою ценность как специалиста в глазах директора. Смотреть полную программу
Приложение 5.3. Инструкция по порядку хранения, учета и выдачи ключей от служебных и технических помещений, контролируемых ОДС
Приложение 5.3
к Положению о диспетчерской службе
Государственного учреждения
города Москвы
инженерная служба района АО
Инструкция
по порядку хранения, учета и выдачи ключей от служебных и технических помещений, контролируемых ОДС
1. Ключи от служебных и технических помещений, находящихся под контролем Объединенной диспетчерской службы, хранятся в помещении дежурного диспетчера в специальных шкафах, закрываемых на замок.
Все ключи и места их расположения в шкафах должны быть промаркированы соответствующим образом с указанием адреса и названия помещения, к которому они относятся.
2. Учет и выдача ключей ведется в специальном журнале (приложение 6).
При приемке и сдаче дежурств дежурные диспетчеры делают обязательные записи о наличии ключей в ОДС.
3. Выдача ключей осуществляется на основании допуска (аккредитации) технических специалистов эксплуатирующих и обслуживающих организаций в соответствии с заключенными договорами между этими организациями ГУ «Инженерная служба» района и Управляющими компаниями на выполнение определенных видов работ с обязательной записью в журнале с указанием:
а) помещения и адреса, от которого выдаются ключи;
б) фамилии, И.О. лица, получившего ключи;
в) должности и организации лица, получившего ключи;
г) даты и времени выдачи ключей;
д) подписи лица, получившего ключи;
е) подписи дежурного диспетчера, выдавшего ключи.
При возврате ключей:
ж) даты и времени возврата ключей;
з) подписи лица, сдающего ключи;
и) подписи дежурного оператора, принявшего ключи.
4. Передача ключа третьим лицам без соответствующей записи в журнале запрещена.
5. Допуск сторонних специалистов для производства работ во все специализированные технические помещения, кроме подвалов, технических подполий, чердаков и крыш, осуществляется в присутствии специалистов от организаций, осуществляющих эксплуатацию и техническое обслуживание этих помещений.
6. Дублирование ключей специалистами эксплуатирующих и обслуживающих организаций строго запрещено.
7. При утере ключей составляется акт, в котором указывается, как, где и от какого помещения утеряны ключи. На основании акта все оставшиеся ключи меняются на новые вместе со сменой дверного замка.
8. В случае поломки ключа составляется акт, на основании которого делается дополнительный дубликат ключа.
9. Допускается наличие дубликатов ключей в определенных случаях по усмотрению ГУ «Инженерная служба района» при выполнении условий пп. 1 и 2.
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Что нарушено в правилах хранения и учета выдачи ключей
II. Правила создания и выдачи ключей
а) органы, указанные в пункте 1 статьи 2 Федерального закона «Об организации предоставления государственных и муниципальных услуг», предоставляющие государственные услуги, при обращении за получением которых допускается использование простой электронной подписи;
б) органы, предоставляющие муниципальные услуги, при обращении за получением которых допускается использование простой электронной подписи;
в) организации, участвующие в предоставлении государственных и муниципальных услуг в соответствии с частью 2 статьи 1 Федерального закона «Об организации предоставления государственных и муниципальных услуг», при обращении за получением которых допускается использование простой электронной подписи;
г) организации, организующие предоставление государственных и муниципальных услуг, при обращении за получением которых допускается использование простой электронной подписи;
(пп. «д» в ред. Постановления Правительства РФ от 13.08.2016 N 789)
(см. текст в предыдущей редакции)
е) иные органы и организации в случаях, предусмотренных актами Правительства Российской Федерации.
(пп. «е» введен Постановлением Правительства РФ от 13.08.2016 N 789)
8. Создание (замена) ключа осуществляется с использованием сервиса генерации ключа единой системы идентификации и аутентификации. Сервис генерации ключа единой системы идентификации и аутентификации создает пароль ключа с использованием шифровального (криптографического) средства, прошедшего процедуру оценки соответствия в Федеральной службе безопасности Российской Федерации по классу не ниже чем КС2.
(в ред. Постановления Правительства РФ от 09.12.2013 N 1135)
(см. текст в предыдущей редакции)
Заявитель вправе самостоятельно произвести замену своего ключа с использованием сервиса генерации ключа единой системы идентификации и аутентификации с использованием федеральной государственной информационной системы «Единый портал государственных и муниципальных услуг (функций)», а также с использованием региональных порталов государственных или муниципальных услуг при наличии технической возможности выполнения таких операций в указанных информационных системах.
(в ред. Постановления Правительства РФ от 28.10.2013 N 968)
(см. текст в предыдущей редакции)
9. Создаваемый пароль ключа должен соответствовать следующим требованиям:
а) содержать не менее 8 символов;
б) содержать буквенные и (или) цифровые символы;
в) не содержать символы «*» или «#».
10. Создание (замена) и выдача ключа для использования в целях получения государственных и муниципальных услуг осуществляется безвозмездно.
11. Операторы выдачи ключа обязаны обеспечивать конфиденциальность ключа.
12. При использовании простой электронной подписи заявитель должен быть ознакомлен оператором выдачи ключа с правилами использования простой электронной подписи.
а) хранить в тайне ключ, принимать все возможные меры, предотвращающие нарушение его конфиденциальности;
б) формировать простую электронную подпись с использованием ключа, полученного в порядке, установленном настоящими Правилами;
в) в случае нарушения конфиденциальности ключа или его утери незамедлительно уведомить об этом оператора выдачи ключа или оператора единой системы идентификации и аутентификации.
14. Гражданско-правовую ответственность за негативные последствия, наступившие в результате несоблюдения заявителем обязанностей, установленных пунктом 13 настоящих Правил, несет заявитель.
15. Заявитель самостоятельно осуществляет выбор оператора выдачи ключа, к которому он обращается для создания (замены) и выдачи ключа.
Операторы выдачи ключа, указанные в подпунктах «а» и «б» пункта 7 настоящих Правил, а также многофункциональные центры предоставления государственных и муниципальных услуг обязаны обеспечить заявителю подачу заявления при личном приеме.
При обращении заявителя к иным операторам выдачи ключа указанный абзацем вторым настоящего пункта способ обращения может быть использован только в случае, если организационно-технические особенности деятельности оператора выдачи ключа могут обеспечить его реализацию. Сведения о таких возможностях или их отсутствии оператор выдачи ключа размещает в информационно-телекоммуникационной сети «Интернет», в том числе на едином портале.
Заявитель вправе подать заявление в электронной форме при обращении к любому оператору выдачи ключа, указанному в настоящих Правилах.
(п. 15 в ред. Постановления Правительства РФ от 28.10.2013 N 968)
(см. текст в предыдущей редакции)
(п. 16(1) введен Постановлением Правительства РФ от 13.08.2016 N 789; в ред. Постановления Правительства РФ от 20.11.2018 N 1391)
(см. текст в предыдущей редакции)
(в ред. Постановления Правительства РФ от 23.12.2020 N 2249)
(см. текст в предыдущей редакции)
(см. текст в предыдущей редакции)
18. Оператор выдачи ключа не вправе уполномочить иное юридическое лицо на создание (замену) и выдачу ключа.
В случае если в процессе выдачи ключа оператор выдачи ключа допустил ошибку при установлении личности заявителя, то гражданско-правовую ответственность, а в случаях, установленных федеральными законами, иную ответственность за неблагоприятные последствия, наступившие для участников отношений в результате допущенной ошибки, несет оператор выдачи ключа, допустивший такую ошибку.
(п. 18 в ред. Постановления Правительства РФ от 13.08.2016 N 789)
(см. текст в предыдущей редакции)
19. При получении ключа путем подачи заявления в электронной форме оператор выдачи ключа обеспечивает заявителю возможность осуществления самостоятельной регистрации в единой системе идентификации и аутентификации с использованием соответствующего сервиса единой системы идентификации и аутентификации.
20. Самостоятельная регистрация заявителя в единой системе идентификации и аутентификации осуществляется в порядке, предусмотренном Правилами использования федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме», утвержденными постановлением Правительства Российской Федерации от 10 июля 2013 г. N 584 «Об использовании федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме».
(в ред. Постановления Правительства РФ от 23.12.2020 N 2249)
(см. текст в предыдущей редакции)
Ключ простой электронной подписи выдается заявителю способами и с соблюдением условий, предусмотренных пунктами 21 и 22 настоящих Правил, после регистрации заявителя в единой системе идентификации и аутентификации.
Заявление может быть подано с использованием региональных порталов государственных и муниципальных услуг, если иное не предусмотрено нормативными правовыми актами субъектов Российской Федерации.
(п. 20 в ред. Постановления Правительства РФ от 28.10.2013 N 968)
(см. текст в предыдущей редакции)
21. При подаче заявления в электронной форме заявитель вправе указать в нем один из следующих доступных у операторов выдачи ключа способов получения ключа:
а) непосредственно у оператора выдачи ключа;
б) путем направления оператором выдачи ключа регистрируемого почтового отправления с уведомлением о вручении;
в) путем использования индивидуальных средств коммуникации заявителя, предусматривающих возможность получения ключа посредством электронной почты заявителя или с помощью короткого текстового сообщения на абонентский номер устройства подвижной радиотелефонной связи заявителя.
В случае если организационно-технические особенности деятельности оператора выдачи ключа не позволяют ему осуществить выдачу ключа заявителю непосредственно у оператора выдачи ключа и (или) путем направления оператором выдачи ключа регистрируемого почтового отправления с уведомлением о вручении, оператор выдачи ключа размещает информацию об этом в информационно-телекоммуникационной сети «Интернет», в том числе на едином портале, и в местах выдачи ключа (при их наличии).
(п. 21 в ред. Постановления Правительства РФ от 28.10.2013 N 968)
(см. текст в предыдущей редакции)
21(1). Формы заявлений, предусмотренных настоящими Правилами, утверждаются операторами выдачи ключа в соответствии с требованиями, утверждаемыми Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации.
(п. 21(1) введен Постановлением Правительства РФ от 28.10.2013 N 968; в ред. Постановления Правительства РФ от 20.11.2018 N 1391)
(см. текст в предыдущей редакции)
(см. текст в предыдущей редакции)
Установление личности заявителя может быть осуществлено одним их следующих способов:
подтверждение сведений, представленных заявителем путем использования индивидуальных средств коммуникации заявителя (электронной почты или устройства подвижной радиотелефонной связи заявителя). В этом случае установление личности заявителя производится оператором выдачи ключа путем сопоставления информации, представленной заявителем, с информацией, содержащейся в государственных и (или) муниципальных информационных системах, и получения положительного результата такого сопоставления.
Оператор выдачи ключа вносит в единую систему идентификации и аутентификации сведения о способе установления личности заявителя в соответствии с положением о федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме», утвержденным Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации.
(в ред. Постановления Правительства РФ от 20.11.2018 N 1391)
(см. текст в предыдущей редакции)
(п. 22 в ред. Постановления Правительства РФ от 28.10.2013 N 968)
(см. текст в предыдущей редакции)
23. Проверка подлинности простой электронной подписи, которой подписано обращение, осуществляется исполнителем услуги с использованием соответствующего сервиса единой системы идентификации и аутентификации.
24. Оператор единой системы идентификации и аутентификации предоставляет органам (организациям), указанным в статье 1 Федерального закона «Об организации предоставления государственных и муниципальных услуг», автоматический доступ к информации, содержащейся в единой системе идентификации и аутентификации, в целях проверки подлинности простой электронной подписи.
Порядок доступа к информации, содержащейся в единой системе идентификации и аутентификации, для указанных целей устанавливает Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации.
(в ред. Постановления Правительства РФ от 20.11.2018 N 1391)
(см. текст в предыдущей редакции)
25. Лицо, чье право было нарушено, вправе обратиться лично к оператору выдачи ключа с заявлением о факте использования простой электронной подписи указанного лица ненадлежащим лицом для восстановления нарушенного права лично либо через уполномоченное лицо.
В случае обращения заявителя (уполномоченного лица) оператор выдачи ключа аннулирует пароль простой электронной подписи в течение одного дня со дня получения указанного заявления.
(п. 25 введен Постановлением Правительства РФ от 28.10.2013 N 968)