Для чего нужно скзи
Что такое СКЗИ, и какие они бывают
СКЗИ (средство криптографической защиты информации) — это программа или устройство, которое шифрует документы и генерирует электронную подпись (ЭП). Все операции производятся с помощью ключа электронной подписи, который невозможно подобрать вручную, так как он представляет собой сложный набор символов. Тем самым обеспечивается надежная защита информации.
Как работает СКЗИ
Виды СКЗИ для электронной подписи
Есть два вида средств криптографической защиты информации: устанавливаемые отдельно и встроенные в носитель.
СКЗИ, устанавливаемое отдельно — это программа, которая устанавливается на любое компьютерное устройство. Такие СКЗИ используются повсеместно, но имеют один недостаток: жесткую привязку к одному рабочему месту. Вы сможете работать с любым количеством электронных подписей, но только на том компьютере или ноутбуке, на котором установлена СКЗИ. Чтобы работать на разных компьютерах, придется для каждого покупать дополнительную лицензию.
При работе с электронными подписями в качестве устанавливаемого СКЗИ чаще всего используется криптопровайдер КриптоПро CSP. Программа работает в Windows, Unix и других операционных системах, поддерживает отечественные стандарты безопасности ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012.
Реже используются другие СКЗИ:
СКЗИ, встроенные в носитель, представляют собой «вшитые» в устройство средства шифрования, которые запрограммированы на самостоятельную работу. Они удобны своей самодостаточностью. Все необходимое для того, чтобы подписать договор или отчет, уже есть на самом носителе. Не надо покупать лицензии и устанавливать дополнительное ПО. Достаточно компьютера или ноутбука с выходом в интернет. Шифрование и расшифровка данных производятся внутри носителя. К носителям со встроенным СКЗИ относятся Рутокен ЭЦП, Рутокен ЭЦП 2.0 и JaCarta SE.
СКЗИ для работы с электронной подписью: виды, особенности и стандарты
Федеральный закон «Об электронной подписи» № 63-ФЗ от 06.04.2011 относит СКЗИ к средствам электронной подписи, то есть средствам, которые используются, в частности, для создания и проверки ЭП. Фактически это программа, работающая при создании электронной подписи во взаимодействии с закрытым ключом ЭП, который хранится на специальном защищённом носителе, получаемом владельцем электронной подписи при оформлении сертификата.
Так на практике выглядит документооборот с ЭП, для которого и нужны СКЗИ:
Какими бывают СКЗИ
Основные типы СКЗИ — программные и аппаратные. Первые создаются в виде отдельной программы, для использования которой нужно её скачать, установить на рабочее место и настроить. Дополнительно устанавливается плагин — программа-посредник для исполнения функций формирования и проверки ЭП при помощи СКЗИ. Аппаратные, точнее программно-аппаратные СКЗИ, уже «вшиты» в токены, на которые дополнительно записываются другие средства (ключи) для ЭП, а также информация о сертификате ЭП и его владельце.
Как выбрать СКЗИ
Созданием СКЗИ занимаются компании, обладающие лицензией на разработку криптографических средств. Самые распространённые и проверенные временем программные криптопровайдеры для работы с электронной подписью — ViPNet CSP и КриптоПро CSP.
Одно из преимуществ первого в том, что он бесплатно предоставляется в удостоверяющем центре «Инфотекс Интернет Траст» при оформлении сертификата электронной подписи. КриптоПро CSP нужно скачивать отдельно. Бесплатно он предоставляется только для ознакомления, затем необходимо покупать лицензию.
В большинстве систем и направлений, в которых используется электронная подпись, альтернативно можно работать и с ViPNet CSP, и с КриптоПро CSP. Но при необходимости использования разных СКЗИ (ограничение может быть установлено сайтом или системой) каждый из криптопровайдеров предпочтительно установить на отдельное рабочее место, чтобы избежать возможной несовместимости и технических сбоев.
Федеральная служба безопасности осуществляет проверку операторов в том случае, если в примененных средствах защиты используется криптография. Федеральный закон № 152-ФЗ «О персональных данных» (далее – ФЗ № 152-ФЗ) обязует оператора персональных данных (далее – ПДн) обеспечивать конфиденциальность ПДн.
Стоит понимать, что обеспечение конфиденциальности не подразумевает обязательное применение средств шифрования. Применение средств криптографической защиты информации (далее – СКЗИ) актуально в том случае, если это установлено в техническом задании, следует из Модели угроз (МУ) и/или Модели нарушителя, а также при передаче персональных данных по линиям связи, выходящим за пределы контролируемой зоны оператора.
Правильный выбор средств криптографической защиты информации позволяет обеспечить не только соблюдение нормативно-правовых актов, но и безопасность персональных данных, передаваемых по каналам связи с использованием таких средств. Подбор СКЗИ должен осуществляться с учетом требований нормативно-правовых актов, особенностей инфраструктуры информационной системы персональных данных, выявленных актуальных угроз персональным данным и необходимых функциональных характеристик СКЗИ.
Классы СКЗИ
СКЗИ определенного класса применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных для предыдущего класса и не менее одной данного класса.
Каждый следующий класс СКЗИ включает в себя возможности нарушителей предыдущего класса.
Таблица 1 – Классы СКЗИ и соответствующие возможности нарушителей
Создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ
Создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ
Проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак:
Проведение атак на этапе эксплуатации СКЗИ на:
Получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть «Интернет») информации об информационной системе, в которой используется СКЗИ. При этом может быть получена следующая информация:
Использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки:
Проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети.
Проведение атаки при нахождении в пределах контролируемой зоны.
Проведение атак на этапе эксплуатации СКЗИ на следующие объекты:
Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:
Использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
Физический доступ к СВТ, на которых реализованы СКЗИ и СФ.
Возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО.
Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.
Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.
Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО.
Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ.
Возможность располагать всеми аппаратными компонентами СКЗИ и СФ.
Контроль и проверка использования СКЗИ
Федеральная служба безопасности проверяет условия обработки и защиты персональных данных с использованием средств криптографической защиты информации. Более детальная информация приведена в таблице 2.
Таблица 2 – Соответствие требований и перечня предоставляемых документов
Перечень предоставляемых документов
Организация системы организационных мер защиты персональных данных.
Смысл данного приказа заключается в обосновании выбора класса СКЗИ.
Организация системы криптографических мер защиты информации.
Разрешительная и эксплуатационная документация на СКЗИ.
Следует предоставлять в печатном виде.
Требования к обслуживающему персоналу (требование к лицам, допущенным к работе).
В процессе изучения актов проверяющими будут интервьюироваться сотрудники, работающие с данными информационными системами. Тут уже важно то, насколько уместно и корректно они будут отвечать на задаваемые им вопросы.
Следует опечатать рабочие станции
Оценка соответствия применяемых СКЗИ
Необходимо иметь сигнализацию и сейфы во всех помещениях, где установлены средства криптографической защиты.
Мероприятия для обеспечения безопасности ПДн
При подготовке к проверке регулятора к типовым нарушениям относятся:
— Отсутствие актуального сертификата соответствия СКЗИ;
— Отсутствие журналов учета или нерегулярное их заполнение;
— Отсутствие дистрибутивов СКЗИ, формуляров, документов;
— Недостаточные меры по обеспечению физической защиты;
— Использование СКЗИ класса ниже необходимого.
Что такое СКЗИ
Использовать электронную подпись не получится без средств криптографической защиты информации (СКЗИ). В статье расскажем, для чего нужны СКЗИ и какими они бывают.
Средствами криптографической защиты информации (СКЗИ) называют специальные программы для шифрования данных. СКЗИ используют в разных сферах, например, для доверенного хранения документов или передачи информации по защищенным каналам связи. В статье рассмотрим только средства, которые нужны для работы с электронной подписью.
Чаще всего пользователи используют СКЗИ двух разработчиков — КриптоПро CSP и ViPNet CSP.
СКЗИ не могут работать сами по себе. Для того, чтобы они выполняли свои функции нужна специальная программа-посредник. Это может быть плагин для браузера или локально устанавливаемая программа. Так, чтобы использовать ЭП в сервисах Контура потребуется установить Контур.Плагин. Многие порталы, информационные системы и электронные торговые площадки используют КриптоПро ЭЦП Browser plug-in. Чтобы подписывать электронные документы на компьютере, подойдет программа Криптопро АРМ. А для работы на портале Госуслуг нужно установить специальный плагин.
Для чего нужны СКЗИ при работе с электронными подписями
Без СКЗИ не получится провести ни одно действие с электронной подписью. Так, средства криптозащиты помогут:
Подписывать документы
С помощью закрытого ключа СКЗИ создает электронную подпись и прикрепляет ее к документу вместе с сертификатом проверки.
Проверять подлинность ЭП
Для этого вам понадобятся СКЗИ, документ с электронной подписью, сертификат ключа проверки и программа, которая умеет проверять ЭП, например, Контур.Крипто или КриптоАРМ. Загрузите сертификат и документ в такую программу, и вы узнаете:
Шифровать и расшифровывать документы
Чтобы защитить документ от посторонних глаз, его можно зашифровать с помощью СКЗИ. Для этого нужно запросить сертификат открытого ключа ЭП получателя. На его основе СКЗИ создадут специальный код и заархивируют документ с помощью криптографических алгоритмов.
Открыть зашифрованный документ сможет только владелец закрытого ключа ЭП получателя и отправителя. Для расшифровки он также использует СКЗИ.
Виды СКЗИ
Программные СКЗИ
Программными называют СКЗИ, которые устанавливаются на компьютер и проводят все действия в его оперативной памяти.
Чаще всего, чтобы работать с программными СКЗИ, нужно купить лицензию. Срок действия лицензии может быть ограниченным, например, на один год, или бессрочным. Некоторые разработчики предлагают бесплатный тестовый период на несколько месяцев. Однако после истечения этого срока вы сможете продолжить работать с СКЗИ только после оплаты лицензии.
Если вы используете ЭП на нескольких компьютерах, придется приобрести несколько лицензий на СКЗИ для каждого рабочего места.
Аппаратные СКЗИ
Такие СКЗИ встраиваются в специальное устройство, например, токен, и считаются более безопасными. Все операции они проводят в памяти устройства и закрытый ключ сертификата ЭП не попадает в память компьютера.
Работать с аппаратными СКЗИ проще — их не нужно устанавливать на компьютер и покупать лицензию. Программа уже предустановлена в устройство и вы сможете сразу ее использовать. При этом СКЗИ не привязана к определенной электронной подписи. Так, после окончания действия ЭП вы можете удалить ее и загрузить на устройство новую. СКЗИ переустанавливать не нужно — они продолжат работу и с новой подписью.
Наши электронные подписи работают с СКЗИ, которые отвечают всем требованиям законодательства. Вам не нужно самостоятельно искать лицензию. Просто выберите вид СКЗИ, который вам подходит, при оформлении заявки на подпись.
Как получить карту водителя для тахографа
Карта водителя для тахографа — это пластиковая карточка со встроенным микрочипом, которая контролирует работу человека, находящегося за рулем автотранспортного средства.
Что такое тахограф и зачем его необходимо устанавливать
Владельцы коммерческого автотранспорта, занимающиеся грузовыми и пассажирскими перевозками, в обязательном порядке должны оснастить каждый автомобиль тахографом. Приказ Минтранса России №440 от 28.10.2020 указывает, что устройство необходимо установить на:
В приказе есть и длинный перечень исключений (не обязаны устанавливать прибор, например, троллейбусы, автокраны, машины скорой помощи и другие специализированные транспортные средства).
Тахограф (или самописец) представляет собой устройство, которое устанавливается в салоне автотранспортного средства и фиксирует такие показатели движения, как скорость, пройденное расстояние, время движения автомобиля в автоматическом режиме, пробег, время, которое водитель тратит на труд и на отдых. Эти приборы помогают проанализировать качество работы шофера и разрешить спорные ситуации, которые возникают в случае дорожно-транспортного происшествия.
В соответствии с приказом Минтранса РФ №440 от 28.10.2020 в России ТС оснащаются тахографами с блоком СКЗИ (программа криптографической защиты данных), для международных маршрутов используются ЕСТР (а водители используют карточки СКЗИ И ЕСТР). В законах и подзаконных актах нет определения, что такое карта водителя СКЗИ, понять это можно из названия, рекомендованный образец внешнего вида утвержден вышеуказанным приказом. Это пластиковый прямоугольник с микрочипом, вставляемый в тахограф для идентификации водителя перед каждым использованием ТС. Без карты самописец не эксплуатируется.
Кто устанавливает тахограф и обеспечивает водителей карточками
Такая обязанность лежит на работодателе — юридическом лице или индивидуальном предпринимателе, осуществляющем грузовые и пассажирские перевозки с использованием транспортных средств, перечисленных выше. Он покупает оборудование, включающее и пластиковые свидетельства, за собственный счет и устанавливает его в соответствии со ст. 20 ФЗ-196 от 10.12.1995.
При желании работник вправе получить свидетельство самостоятельно; как получить карту водителя для тахографа частному лицу или организации, установлено в законодательстве, порядок дополнительно уточнен и на официальном сайте Минтранса.
Если трудоустроен работник, у которого такое пластиковое свидетельство уже есть, проходить процедуру заново не нужно. Карта является персонализированной, и в случае увольнения сотрудника работодатель, даже если потратил средства на оформление документа, не вправе отобрать ее у работника. Порядок взаимодействия в этом случае регулируется в контракте или коллективном договоре.
Алгоритм действий, как получить карту СКЗИ самостоятельно, установлен в новом Приказе Минтранса РФ №440 от 28.10.2020 (действует с 01.01.2021 по 01.01.2027). Для этого обращаются в организацию, изготавливающую и выдающую пластик (перечень опубликован на сайте ФБУ «Росавтотранс»), с заявлением и пакетом документов. Занимаются приемом заявлений и многофункциональные центры (МФЦ).
Чтобы узнать, где получить карту тахографа для водителя на международных перевозках (ЕСТР), обращаются к порядку выдачи, утвержденному Приказом Минтранса РФ №435 от 23.10.2020. В этом документе установлена одна организация — ФБУ «Росавтотранс».
Эксперты КонсультантПлюс разобрали, как получить карту водителя для тахографа. Используйте эти инструкции бесплатно.
Что такое карточка водителя
Водители, работающие в транспортных компаниях, сталкиваясь с необходимостью взаимодействовать с этим прибором, нередко не знают, для чего нужна карта тахографа и что это. Определенным категориям автоработников ее необходимо оформлять и получать в обязательном порядке (в зависимости от того, на каких ТС они работают).
Карточка водителя для тахографа обеспечивает идентификацию и аутентификацию с применением шифровальных средств. Она содержит в себе полную информацию о манере вождения, соблюдении норм трудового распорядка, скоростном режиме, соблюдаемом шофером, и времени, которое он потратил на поездку.
Информация с карточки является неоспоримым доказательством в суде, так как является персональной. В соответствии с «Требованиями к тахографам, устанавливаемым на транспортные средства», утвержденными Приказом Минтранса РФ №440 от 28.10.2020, срок ее эксплуатации составляет три года, после чего она подлежит замене. Получить новую необходимо и тогда, когда действующая утеряна или украдена, пластик поврежден, появился дефект и она работает со сбоями, либо изменились персональные данные владельца. В случае увольнения с места работы тахокарту возвращают в бюро по выдаче.
Кому нужна карта водителя для тахографа
Не все водители автотранспорта вправе получить подобный пластиковый идентификатор личности. Он выдается, если водитель:
Какие бывают водительские карты для тахографа
Пластиковые свидетельства различаются в зависимости от устройства, которым оборудовано транспортное средство. Если в салоне автомобиля установлен прибор, отвечающий требованиям Европейского соглашения, касающегося работы экипажа во время международных перевозок, то выдается карточка водителя ЕСТР, то есть европейского образца. А если тахограф оборудован блоком, соответствующим нормам Технического регламента «О безопасности колесных ТС», то шофер получает тахокарту СКЗИ, то есть российский пластик.
Кроме того, существует несколько разновидностей карточек:
Чем отличаются тахографы СКЗИ и ЕСТР
Для осуществления международных перевозок необходимо оформлять карту водителя для тахографа европейского образца ЕСТР, а при движении автотранспортного средства в пределах Российской Федерации — тахокарту СКЗИ. Выполняя по своей сути одинаковые функции, тахографы предполагают различные методы шифрования данных. Помимо этого, они имеют ряд существенных отличий:
Где и как оформить карту водителя
Должностные лица, на которых возложена обязанность оснастить транспорт нужным оборудованием, нередко задаются вопросом: где сделать карту водителя для тахографа и что для этого нужно. Способов три:
Какие документы необходимы для оформления тахокарты
Для оформления потребуется пакет документов, конкретно, какие документы нужны для оформления карты водителя для тахографа:
Образец заявления
На обороте приклеивается фото работника, дается образец его подписи, отдельно заполняется согласие на обработку персональных данных.
Какова стоимость оформления водительских карточек
Вопрос, сколько стоит карта водителя для тахографа, уточняется у изготовителя или в МФЦ.
Срок изготовления тахокарты
Изготовление пластика занимает от 10 до 25 рабочих дней со дня приема заявления и полной оплаты.
Штрафные санкции, предусмотренные в 2021 году
Отсутствие в салоне грузовой машины тахографа, в соответствии со статьей 11.23 КоАП РФ, расценивается как административное правонарушение, которое влечет за собой штрафные санкции на всех лиц, причастных к перевозке. Для водителей предполагается штраф в размере от 3000 до 5000 рублей; за выпуск на линию, для сотрудников автотранспортного предприятия, которые выпустили машину в рейс, предусмотрен штраф в размере — от 7000 до 10 000 рублей, для ИП — от 15 000 до 25 000 рублей, а для юридических лиц — от 20 000 до 50 000 рублей. Санкции накладываются и за отсутствие тахографической документации, и за неправильную эксплуатацию устройства.
Во избежание штрафов компании-перевозчику следует в обязательном порядке установить в грузовом и пассажирском автотранспорте тахограф, где хранится карточка водителя.
В документообороте предприятия для внутреннего учета и контроля оборудования может использоваться ведомость выдачи.