es.edu.cap.ru – Вход – Электронный журнал Что такое журналы учета ключей?
Журналом учета ключей или других средств криптозащиты называют документ для отслеживания использования ЭЦП внутри организации.
В нем фиксируют, когда и кому были оформлены и выданы электронные подписи, сдачу криптографических ключей при переводе сотрудника на другую должность или в случае увольнения, ознакомление персонала с порядком использования данных криптографических элементов защиты конфиденциальности.
Кому нужно вести журналы учета ключей электронной подписи?
Необходимость ведения журналов учета электронных подписей установлена в отношении следующих организаций:
лицензиатов ФСБ – сюда входят УЦ и прочие субъекты, род деятельности которых предполагает оказание платных услуг по разработке, распространению, установке ключей, ПО и других средств СКЗИ; к перечисленной категории специализированных организаций предъявляются наиболее жесткие требования относительно ведения отчетной документации и использования ЭЦП, с необходимостью разработки детального внутреннего регламента;
других компаний и предприятий, применяющих электронную подпись в документообороте, но не входящих в число лицензиатов ФСБ – несмотря на рекомендательный характер ведения журналов, отчетная документация позволит обеспечить контроль использования криптографических средств защиты в организациях.
Требования к отчетной документации по ЭЦП регламентирует приказ ФАПСИ за № 152, подписанный в июне 2001 года и утверждающий инструкцию по форме и порядку ведения необходимых журналов.
Образцы журналов учета ЭЦП
Отмеченная инструкция предусматривает ведение нескольких видов журналов учета ЭЦП, устанавливая форму указанной документации. Соответствующие таблицы приведены в приложениях данного норматива.
Образцы с примерами заполнения для каждой разновидности отчетных документов не составит труда найти в интернете, чтобы использовать в качестве наглядного руководства.
Журнал поэкземплярного учета
В журналах поэкземплярного учета отображают информацию о движении всех криптографических средств, задействованных организацией, с указанием следующей информации:
Действующая инструкция предусматривает формы журналов поэкземплярного учета, которые различны, в зависимости от статуса компании – отдельно для лицензиатов ФСБ и компаний, использующих ЭЦП в целях соблюдения конфиденциальности.
Эти различия обусловлены спецификой деятельности указанных организаций и выполняемыми функциями.
Технический или аппаратный журнал
Назначение технического или аппаратного журнала учета предполагает фиксацию операций по обращению и допуску к работе со средствами криптозащиты, установленными на серверном компьютерном оборудовании.
Форма документа предусматривает указание следующей информации в соответствующих колонках:
Как и любая другая отчетная документация, перечисленные журналы должны быть прошиты, с пронумерованными страницами. На первом листе указывают наименование документа, даты начала и окончания ведения, ФИО и должность ответственного лица.
При ведении исключено внесение исправлений, использование забеливания при ошибочных записях.
Что будет, если не соблюдать инструкцию и не вести журналы учета
Организация, использующая в работе криптографические средства защиты, должна обеспечить выполнение следующих мероприятий, направленных на сохранение конфиденциальности информации:
Перечисленные меры утверждают в регламенте, действующем внутри организации.
Руководство многих организаций полагает содержание вышеупомянутого приказа № 152 неактуальным, ввиду давности утверждения данного документа. Но такое мнение ошибочно, поскольку норматив никто не отменял.
Не стоит забывать, что контроль исполнения законодательных норм по обращению криптографических средств защиты осуществляет ФСБ, проводя плановые и внеплановые проверки.
Нарушителей могут привлечь к административной ответственности, на основании ст. 13.12 КоАП РФ, предполагающей назначение штрафов следующим категориям нарушителей:
Специалист отдела технической поддержки
Точные размеры штрафа определит суд, исходя из характера нарушения, предусмотренного соответствующей частью указанной статьи, и степенью тяжести допущенных отступлений от законодательных норм.
По результатам проверки, предприятие получит обязательное к исполнению предписание об устранении выявленных недостатков, с установленными сроками.
Соблюдение конфиденциальности криптографических средств защиты информации в учреждении или компании требует ведения установленной законом документации. Заполнение указанных журналов организовать несложно.
А выполнение условий по контролю за обращением ЭЦП избавит руководство и персонал организации от серьезных проблем с государственными контролирующими органами.
Понятие журналов учета ключей электронной подписи
Журналом учета ключей электронной (цифровой) подписи (далее – ЭП, ЭЦП) или средств криптографический защиты (далее – СКЗИ) называют документ, который позволяет отслеживать использование ЭЦП и СКЗИ внутри организации.
Такие журналы содержат информацию о том, кто и в какое время получал ключи электронных подписей, кто сдал их назад в случае перехода сотрудника на другую должность или же в случае его увольнения, было ли совершено уничтожение средства, а также позволяют определить, какие работники были ознакомлены с порядком работы со средствами криптографической защиты.
Кому необходимо вести журналы учета ключей электронной подписи?
Ведение журналов учета ЭЦП обязательно для следующих организаций:
Журналы учета СКЗИ и ЭЦП
В Инструкции о безопасности хранения, обработки и передачи информации с использованием криптографических средств обозначены формы определенных видов журналов учета СКЗИ и ЭЦП и представлены в приложениях документа.
Первым является журнал поэкземплярного учета средств криптографической защиты информации. Чтобы его заполнить, необходимо внести сведения о выданных ЭЦП сотрудникам: какие средства используются, кто их получил, когда и в каком месте, когда начато было использование и завершено, когда уничтожены и другая необходимая информация.
В зависимости от того, кто ведет журнал учета, приказ ФАПСИ №152 разделяет формы типовых документов.
Форма журнала поэкземплярного учета для органа криптографической защиты, т. для лицензиатов ФCБ
Форма журнала поэкземплярного учета для обладателей конфиденциальной информации
Вторым необходимым журналом является технический или аппаратный журнал. С его помощью можно отслеживать операции по работе с СКЗИ, которые установлены на серверах.
В него вносится информация о том, с помощью какого СКЗИ и какая проводится операция, когда и какие используются криптоключи, когда и кем была уничтожена подпись и так далее.
Приказ ФАПСИ №152 устанавливает форму технического или аппаратного журнала:
Регламент использования и хранения ключей СКЗИ и ЭЦП
Компаниям необходимо не только подготовить журналы учета ЭП и СКЗИ, но еще и регламент действий, которые позволят держать информацию конфиденциальной. Различными нормативно-правовыми актами не предусмотрена для таких документов специальная форма, поэтому организации могут самостоятельно сформулировать удобный для себя регламент, проанализировав инструкцию из Приказа.
Создание регламента должно учитывать общие требования, которые должны быть обязательно отражены в документах:
Ответственность за несоблюдение требований инструкций и ведения журналов учета
Организации, которые работают с СКЗИ, должны соблюдать требования по регламенту, а также правильно заполнять журналы. Все мероприятия осуществляются с учетом Приказа ФАПСИ №152.
ФСБ России как ведомство, контролирующее исполнение норм в сфере использования конфиденциальных данных с использованием СКЗИ, проводит проверки (плановые/внеплановые) для того, чтобы отследить, применяют ли компании в своей деятельности сформированные документы, правильно ли они делают, как используют средства защиты.
В случае несоблюдения требований нормативов, а также нахождения иных недостатков при проверке, организация несет ответственность в соответствии со статьей 13.12 КоАП РФ.
Предусмотренными санкциями являются:
После проведения проверки организации от ФСБ будет предоставлено предписание об устранении выявленных недостатков, которое необходимо исполнить в обозначенный срок.
Чтобы избежать наложения штрафов и приостановления деятельности организации, необходимо соблюдать приказ ФАПСИ №152, принятый регламент, работать с сертифицированными СКЗИ.
Можно ли вести учет СКЗИ в электронном виде? Какие требования при этом предъявляются?
Требования к учету
После двадцатилетнего юбилея инструкции ФАПСИ №152 требованиями про учет СКЗИ уже никого не удивишь. Кратко: все перемещения СКЗИ между различными организациями — участниками процесса (и даже собственными сотрудниками) должны логироваться. Более подробно процесс учета описан в статье моего коллеги на хабре.
К реализации требований по учету все подходят по разному — кто-то действительно ведет журнал в бумажном виде, кто-то — табличку в excel, которую распечатывает «при необходимости» (за час до прихода проверяющего). В некоторых организациях используются самописные системы учеты, а иногда специализированные продукты.
В статье рассмотрены несколько вариантов ведения журналов учета в электронном виде, а также мнение регулятора на этот счет (читайте до конца).
Варианты оцифровки
Менеджмент безопасности — это специализированная конфигурация для платформы 1С:Предприятие 8. Авторскими правами обладает imbasoft.ru, продукт бесплатный при использовании по назначению (freeware).
Отличный бесплатный вариант для работы в паре с 1С.
X-Control от Spacebit
X-Control — коммерческий продукт, предназначенный специально для тех, кто хочет оцифровать учет СКЗИ. Работа администраторов осуществляется через веб-интерфейс.
На сайте продукта есть маркетинговые материалы, которые наглядно демонстрируют сложности учета.
Жизненный цикл СКЗИ в теории
Жизненный цикл СКЗИ на самом деле
Реализация в виде отдельной системы требует множества интеграций: с 1С для актов поступления продуктов на баланс, с AD/УЦ — для учета пользовательских СКЗИ. И тут могут быть свои нюансы. Продукт активно развивается, есть возможность тюнинга под заказчика.
Avanpost PKI от Avanpost
Avanpost PKI — это система управления элементами инфраструктуры открытых ключей. Продукт разрабатывался для связки с удостоверяющим центром и поэтому больше нацелен на пользовательские СКЗИ.
Реализовано множество интеграций — с различными УЦ, производителями токенов, кадровым системами.
В продукте есть шаблоны различных актов, напоминалки об окончании срока действия ключевой информации, а также сертификатов ФСБ. Информацию из базы данных можно распечатать в формате, указанном в инструкции ФАПСИ.
При наличии в организации собственного удостоверяющего центра Avanpost PKI отлично подойдет, чтобы организовать учет СКЗИ. При отсутствии — выглядит довольно громоздким.
Альфа-Док и ИТ-Коннектор
Альфа-Док — продукт для управления процессами ИБ с упором на комплаенс.
Он позволяет автоматизировать разработку и актуализацию документации, вести журналы учета СКЗИ, мониторить сроки действия сертификатов ФСБ.
ИТ-Коннектор — платформа для поддержки процессов жизненного цикла информационных систем. Особенно это актуально для организаций, которые централизованно приобретают СКЗИ для последующей передачи подведам или предоставляют услуги с СКЗИ своим клиентам. Продукт существенно упрощает работу Органа Криптографической Защиты (ОКЗ) таких организаций.
Реализована система заявок от подведов к головной организации на различные действия с СКЗИ. Журналы учета можно вести в электронном виде, далее экспортировать в формат для печати или подписать электронной подписью.
КИТ-Журнал
КИТ-Журнал для меня продукт новый, узнал про него совсем недавно. Разработкой занимается компания КИТ-Дистрибуция из Екатеринбурга. Специализация компании — автоматизация процессов в различных областях, акцент на оцифровку журналов.
Помимо журналов поддерживаются и другие смежные сценарии. Например, проведение инструктажей пользователей по работе с СКЗИ. Поддержка ЭП — на борту.
Ответ регулятора
Учитывая возраст инструкции ФАПСИ, довольно часто возникают вопросы о возможности ведения журналов учета в электронном виде. Для ясности запросил разъяснение регулятора по этому поводу.
Таким образом, ведение журналов в электронном виде возможно с применением усиленной квалифицированной ЭП. А еще систему, которая реализует учет СКЗИ, нужно бекапить 🙂
Данные требования при желании можно реализовать на любой из указанных выше систем.
Продолжение в следующей заметке Учет СКЗИ: еще системы