Использование криптографических средств защиты информации (СКЗИ) при обработке персональных данных является обязательным требованием для многих операторов, особенно если данные передаются по открытым каналам связи или подлежат защите в информационных системах. Чтобы подтвердить законность применения СКЗИ, организация должна иметь определённый комплект документов.
Обоснование по законодательству
- ФЗ-152, ст. 19 — оператор обязан применять необходимые меры защиты ПДн, включая использование средств, прошедших оценку соответствия.
- ФЗ-149 «Об информации…» — закрепляет обязательность применения сертифицированных средств защиты.
- Приказ ФСТЭК № 21 от 18.02.2013 — устанавливает требования по защите информации в ИСПДн, включая криптографические методы.
- ФЗ-128 «О лицензировании отдельных видов деятельности» и нормативы ФСБ — регулируют использование сертифицированных СКЗИ.
Документы, подтверждающие использование криптосредств
- Лицензия ФСБ (если организация самостоятельно осуществляет деятельность по технической защите информации с использованием СКЗИ).
- Сертификаты соответствия СКЗИ — подтверждают, что используемые средства включены в реестр сертифицированных.
- Инструкции по эксплуатации СКЗИ — официальные документы от производителя, обязательные для пользователей.
- Приказ о назначении ответственного за эксплуатацию СКЗИ — закрепляет персональную ответственность.
- Журнал учёта носителей ключевой информации (НКИ) — фиксирует создание, выдачу, использование и уничтожение ключей.
- Журнал регистрации событий СКЗИ — отражает факты использования, сбои и неисправности.
- Акты приёма-передачи ключевых носителей — оформляются при выдаче или уничтожении.
- Протоколы проверок корректности работы СКЗИ — фиксируют результаты плановых проверок.
Опыт проверок
Роскомнадзор и ФСТЭК на проверках обращают внимание, что одних сертификатов на СКЗИ недостаточно. Организация должна показать внутренние документы: журналы учёта ключей, приказы о назначении ответственных, акты уничтожения ключевой информации. В практике встречались случаи, когда компания использовала сертифицированное средство, но не вела журналов по НКИ. Это квалифицировалось как нарушение правил эксплуатации.
Что важно для организаций
- Все криптосредства должны быть сертифицированы ФСБ или ФСТЭК.
- Нельзя использовать «самодельное» или зарубежное ПО без сертификации.
- Документы по эксплуатации должны вестись строго по регламенту.
- Ответственные лица должны быть назначены приказом и обучены.
Рекомендации и выводы
Для подтверждения использования СКЗИ организация должна иметь не только сертификаты и лицензии, но и полный комплект эксплуатационных документов: приказы, журналы, акты. Это позволит доказать корректное применение криптосредств при проверке надзорных органов.
