Когда и как вывести СКЗИ из эксплуатации?

На авито и других подобных сайтах полно объявлений о продаже криптошлюзов. Незадачливые продавцы не задумываются, что в соответствии с Постановлением Правительства №313 (п. 21) передача СКЗИ – это лицензируемая деятельность. Отсутствие лицензии потенциально грозит продавцу административной, а иногда и уголовной ответственностью. У покупателя тоже могут быть проблемы – как он объяснит появление у него СКЗИ, которое изначально продано другому клиенту?

Как же быть тем, кто хочет избавиться от этих ненужных «коробок» и не нарушить закон? Очень просто – предварительно удалить СКЗИ и ограничиться продажей аппаратной платформы. Аналогично нужно действовать перед передачей аппаратных средств, на которых установлено СКЗИ, для ремонта в стороннюю организацию.

В отдельных случаях могут быть специальные «отраслевые» требования, например, для тахографов и ККТ.
В соответствии с действующим приказом ФАПСИ №152:

43. СКЗИ уничтожают (утилизируют) в соответствии с требованиями Положения ПКЗ-99 по решению обладателя конфиденциальной информации, владеющего СКЗИ, и по согласованию с лицензиатом ФАПСИ.
Намеченные к уничтожению (утилизации) СКЗИ подлежат изъятию из аппаратных средств, с которыми они функционировали. При этом СКЗИ считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к СКЗИ процедура удаления программного обеспечения СКЗИ, и они полностью отсоединены от аппаратных средств.
44. Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций СКЗИ, а также совместно работающее с СКЗИ оборудование (мониторы, принтеры, сканеры, клавиатура и т.п.) разрешается использовать после уничтожения СКЗИ без ограничений. При этом информация, которая может оставаться в устройствах памяти оборудования (например, в принтерах, сканерах), должна быть надежно удалена (стерта).

Положение ПКЗ-99 уже не действует, вместо него введено ПКЗ-2005, которое не предъявляет требований к утилизации СКЗИ. Таким образом, требуется «изъять» СКЗИ из аппаратных средств, и далее можно использовать эти аппаратные средства без ограничений.
При этом нужно учесть еще два момента:
  • Пользователь СКЗИ должен вести поэкземплярный учет используемых СКЗИ. В форме, указанной в Приложениях 1 и 2 приказа ФАПСИ №152, необходима отметка об изъятии СКЗИ из аппаратных средств и уничтожении ключевых документов. Эти действия, а также весь процесс вывода из эксплуатации, должны быть отражены в инструкции, регламентирующей обращение с СКЗИ.
  • Для воспрепятствования использованию ключевой информации утилизируемых СКЗИ необходимо её аннулировать (например, CRL в PKI-инфраструктуре).

Резюме

Вывод СКЗИ из эксплуатации производится согласно приказу ФАПСИ №152 и эксплуатационной документации конкретного СКЗИ. Он необходим в следующих случаях:
  • СКЗИ больше не будет использоваться на данной аппаратной платформе. Например, на текущую версию СКЗИ закончился сертификат соответствия, а новая не может быть установлена на эту платформу. После удаления СКЗИ платформу можно использовать повторно – установить на неё другое ПО или списать и продать 🙂
  • Нужно передать аппаратную платформу, на которой установлено СКЗИ, для ремонта в стороннюю организацию.
Поделиться:

One thought on “Когда и как вывести СКЗИ из эксплуатации?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *