ГрамотаИБ ГрамотаИБ

ПКЗ-2005 (приказ ФСБ России № 66): что это и что требует от оператора СКЗИ

Что такое ПКЗ-2005 — Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утверждённое приказом ФСБ России от 09.02.2005 № 66. Кого оно касается, что требует от организации, которая просто эксплуатирует СКЗИ (электронную подпись, VPN), и как связано с Инструкцией ФАПСИ № 152 и приказом ФСБ № 378.

ПКЗ-2005 — один из базовых документов по криптографии в России. Полное название: «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», утверждённое приказом ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. России от 9 февраля 2005 г. № 66. Звучит так, будто это про разработчиков шифров, но на практике документ касается и обычных организаций, которые используют сертифицированные средства криптозащиты — для электронной подписи или защищённых каналов. Разберём, что это и что от вас требуется.

Что регулирует ПКЗ-2005

Положение устанавливает порядок разработки, производства, реализации и, что важно для бизнеса, эксплуатации шифровальных (криптографических) средств — СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ.. Именно из ПКЗ-2005 следует общий принцип: эксплуатировать сертифицированное СКЗИ нужно строго в соответствии с правилами пользования, согласованными с ФСБ России (8 Центр). Эти правила пользования прилагаются к сертифицированному средству вместе с его формуляром и эксплуатационной документацией и обязательны к исполнению.

Кого это касается

Не только удостоверяющих центров и производителей. Как только организация применяет сертифицированное СКЗИ — а это, например, криптопровайдер (КриптоПро CSP), токены ЭПЭлектронная подпись — Информация в электронной форме, присоединённая к документу и подтверждающая подписанта (63-ФЗ). в исполнении СКЗИ, сертифицированные VPN-шлюзы и средства шифрования каналов, — она становится эксплуатантом СКЗИ и попадает под правила обращения с криптосредствами. Для малого бизнеса это чаще всего сводится к подписи отчётности и защищённым каналам.

Что требуется от оператора, который эксплуатирует СКЗИ

  • Соблюдать правила пользования СКЗИ. Применять средство в том классе и тех условиях, которые описаны в формуляре и правилах, согласованных с ФСБ.
  • Организовать обращение с криптосредствами. Назначить ответственного (орган криптографической защиты или ответственного пользователя), вести поэкземплярный учёт, обеспечить хранение и контроль доступа.
  • Обеспечить условия эксплуатации. Доступ только допущенных лиц, хранение в опечатываемых хранилищах, недопущение использования ключей посторонними.

Сам порядок учёта, хранения и допуска детализирован в Инструкции ФАПСИ № 152 — практический разбор в статье «Учёт и хранение СКЗИ», а правила обращения с токенами ЭП — в статье «Как хранить токены электронной подписи».

Как ПКЗ-2005 связан с другими документами

  • ПКЗ-2005 (приказ ФСБ № 66) — общий режим разработки и эксплуатации СКЗИ, основание для обязательности правил пользования.
  • Инструкция ФАПСИ № 152 — порядок организации, поэкземплярного учёта, хранения и уничтожения СКЗИ и ключевых документов.
  • Приказ ФСБ № 378 — меры защиты персональных данных при их обработке с использованием СКЗИ (когда СКЗИ применяется в ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств.).

Что оформить

  • Приказ о назначении ответственного за СКЗИ (органа криптографической защиты).
  • Журнал поэкземплярного учёта СКЗИ и ключевых документов.
  • Инструкцию (правила) пользователя СКЗИ и порядок хранения носителей.

Кто в небольшой компании отвечает за СКЗИ и можно ли поручить учёт бухгалтеру — в статье «Как распределить обязанности по ИБ»; полный комплект документов по режимам — в обзоре «Документы по защите информации».

Главное

ПКЗ-2005 (приказ ФСБ России № 66) — это положение об эксплуатации шифровальных средств, из которого следует обязанность применять СКЗИ строго по согласованным с ФСБ правилам пользования. Оно касается не только разработчиков, но и любой организации, которая эксплуатирует сертифицированные СКЗИ (например, для электронной подписи или защищённых каналов). На практике это означает назначить ответственного, вести поэкземплярный учёт и соблюдать условия хранения — детали задаёт Инструкция ФАПСИ № 152, а для ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). добавляется приказ ФСБ № 378. ГрамотаИБ помогает вести учёт СКЗИ и формировать нужные приказы и журналы — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «СКЗИ и криптография» →

Как хранить токены электронной подписи (Рутокен ЭЦП 3.0, JaCarta): правила ФСБ, учёт и формуляр

Где и как правильно хранить токены электронной подписи — Рутокен ЭЦП 3.0, JaCarta и подобные. Почему многие из них считаются СКЗИ, что такое правила пользования, согласованные с ФСБ (которой перешли криптографические функции упразднённого ФАПСИ), и формуляр; как вести поэкземплярный учёт по Инструкции ФАПСИ №152, в каком хранилище держать токен, кто отвечает за СКЗИ, почему нельзя передавать токен и PIN другому и какие документы нужно оформить. Практический разбор для организаций.

Учёт и хранение СКЗИ в организации: требования ФАПСИ №152 и ФСБ №378

Как организовать поэкземплярный учёт, хранение и режим работы со средствами криптографической защиты (СКЗИ), чтобы пройти проверку ФСБ: назначение ответственных, журнал поэкземплярного учёта по Инструкции ФАПСИ №152, хранение и помещения, дифференциация мер по уровню защищённости (приказ ФСБ №378), уничтожение и контроль.

Как выбрать класс СКЗИ по приказу ФСБ №378

Разбираемся, как определить требуемый класс СКЗИ (КС1–КА1) для защиты ПДн в ИСПДн в зависимости от уровня защищённости и модели угроз.

Школа собирает данные родителей через Яндекс Форму: насколько это законно

Школы всё чаще собирают анкеты родителей через онлайн-формы (Яндекс Формы, Google Формы). Разбираем, законно ли это по 152-ФЗ: почему школа здесь оператор, а сервис форм — обработчик, чем Яндекс Формы выгодно отличаются от зарубежных по локализации, что обязательно должно быть в самой форме (ссылка на политику, согласие, минимизация полей) и как не собрать лишнего. Рекомендации и типичные ошибки.