Журнал учета сертификатов электронной подписи

Что такое журналы учета ключей?

Журналом учета ключей или других средств криптозащиты называют документ для отслеживания использования ЭЦП внутри организации.

В нем фиксируют, когда и кому были оформлены и выданы электронные подписи, сдачу криптографических ключей при переводе сотрудника на другую должность или в случае увольнения, ознакомление персонала с порядком использования данных криптографических элементов защиты конфиденциальности.

Кому нужно вести журналы учета ключей электронной подписи?

Необходимость ведения журналов учета электронных подписей установлена в отношении следующих организаций:

лицензиатов ФСБ – сюда входят УЦ и прочие субъекты, род деятельности которых предполагает оказание платных услуг по разработке, распространению, установке ключей, ПО и других средств СКЗИ; к перечисленной категории специализированных организаций предъявляются наиболее жесткие требования относительно ведения отчетной документации и использования ЭЦП, с необходимостью разработки детального внутреннего регламента;

других компаний и предприятий, применяющих электронную подпись в документообороте, но не входящих в число лицензиатов ФСБ – несмотря на рекомендательный характер ведения журналов, отчетная документация позволит обеспечить контроль использования криптографических средств защиты в организациях.

Требования к отчетной документации по ЭЦП регламентирует приказ ФАПСИ за № 152, подписанный в июне 2001 года и утверждающий инструкцию по форме и порядку ведения необходимых журналов.

Образцы журналов учета ЭЦП

Отмеченная инструкция предусматривает ведение нескольких видов журналов учета ЭЦП, устанавливая форму указанной документации. Соответствующие таблицы приведены в приложениях данного норматива.

Образцы с примерами заполнения для каждой разновидности отчетных документов не составит труда найти в интернете, чтобы использовать в качестве наглядного руководства.

Журнал поэкземплярного учета

В журналах поэкземплярного учета отображают информацию о движении всех криптографических средств, задействованных организацией, с указанием следующей информации:

• полного перечня выданных и действующих ЭЦП и прочих элементов защиты конфиденциальности;
• фамилий и инициалов, должностей сотрудников, получивших электронные подписи;
• сведений о лицах, выдавших средства СКЗИ, включая место и дату выдачи;
• информации об уничтожении подписей и прочие важные данные.

Действующая инструкция предусматривает формы журналов поэкземплярного учета, которые различны, в зависимости от статуса компании – отдельно для лицензиатов ФСБ и компаний, использующих ЭЦП в целях соблюдения конфиденциальности.

Эти различия обусловлены спецификой деятельности указанных организаций и выполняемыми функциями.

Технический или аппаратный журнал

Назначение технического или аппаратного журнала учета предполагает фиксацию операций по обращению и допуску к работе со средствами криптозащиты, установленными на серверном компьютерном оборудовании.

Форма документа предусматривает указание следующей информации в соответствующих колонках:

• даты и порядкового номера проводимой операции;
• типа и серийного номера ключа;
• записи о характере обслуживания криптографического средства;
• используемых криптоключей, с отражением в отдельных столбцах типа, серии и номера задействованного экземпляра, данных о флешке или другом носителе для размещения выданной ЭЦП;
• отметки, указывающей на уничтожение подписи, подтверждения ответственного сотрудника, отмечающего дату ликвидации криптоключа.

Как и любая другая отчетная документация, перечисленные журналы должны быть прошиты, с пронумерованными страницами. На первом листе указывают наименование документа, даты начала и окончания ведения, ФИО и должность ответственного лица.

При ведении исключено внесение исправлений, использование забеливания при ошибочных записях.

Что будет, если не соблюдать инструкцию и не вести журналы учета

Организация, использующая в работе криптографические средства защиты, должна обеспечить выполнение следующих мероприятий, направленных на сохранение конфиденциальности информации:

• назначения сотрудников, которым поручено ведение журналов и контроль применения ЭЦП;
• осуществления поэкземплярного учета электронных подписей;
• обучения персонала, допущенного к работе с ключами, с проведением инструктажей о том, как правильно обращаться с данными средствами защиты;
• соблюдения установленного законом порядка действий при утере или подозрениях на неправомерное применение криптоключей.

Перечисленные меры утверждают в регламенте, действующем внутри организации.

Руководство многих организаций полагает содержание вышеупомянутого приказа № 152 неактуальным, ввиду давности утверждения данного документа. Но такое мнение ошибочно, поскольку норматив никто не отменял.

Не стоит забывать, что контроль исполнения законодательных норм по обращению криптографических средств защиты осуществляет ФСБ, проводя плановые и внеплановые проверки.

Нарушителей могут привлечь к административной ответственности, на основании ст. 13.12 КоАП РФ, предполагающей назначение штрафов следующим категориям нарушителей:

• физическим лицам – от 500 до 2 500 руб.;
• ответственным сотрудникам предприятий – от 1 000 до 4 000 руб.;
• организациям – от 10 000 до 25 000 руб.

Специалист отдела технической поддержки

Точные размеры штрафа определит суд, исходя из характера нарушения, предусмотренного соответствующей частью указанной статьи, и степенью тяжести допущенных отступлений от законодательных норм.

По результатам проверки, предприятие получит обязательное к исполнению предписание об устранении выявленных недостатков, с установленными сроками.

Соблюдение конфиденциальности криптографических средств защиты информации в учреждении или компании требует ведения установленной законом документации. Заполнение указанных журналов организовать несложно.

А выполнение условий по контролю за обращением ЭЦП избавит руководство и персонал организации от серьезных проблем с государственными контролирующими органами.

Можно ли вести учет СКЗИ в электронном виде? Какие требования при этом предъявляются?

Требования к учету

После двадцатилетнего юбилея инструкции ФАПСИ №152 требованиями про учет СКЗИ уже никого не удивишь. Кратко: все перемещения СКЗИ между различными организациями — участниками процесса (и даже собственными сотрудниками) должны логироваться. Более подробно процесс учета описан в статье моего коллеги на хабре.

К реализации требований по учету все подходят по разному — кто-то действительно ведет журнал в бумажном виде, кто-то — табличку в excel, которую распечатывает «при необходимости» (за час до прихода проверяющего). В некоторых организациях используются самописные системы учеты, а иногда специализированные продукты.

В статье рассмотрены несколько вариантов ведения журналов учета в электронном виде, а также мнение регулятора на этот счет (читайте до конца).

Варианты оцифровки

Менеджмент безопасности от Imbasoft

Менеджмент безопасности — это специализированная конфигурация для платформы 1С:Предприятие 8. Авторскими правами обладает imbasoft.ru, продукт бесплатный при использовании по назначению (freeware).

Отличный бесплатный вариант для работы в паре с 1С.

X-Control от Spacebit

X-Control — коммерческий продукт, предназначенный специально для тех, кто хочет оцифровать учет СКЗИ. Работа администраторов осуществляется через веб-интерфейс.

На сайте продукта есть маркетинговые материалы, которые наглядно демонстрируют сложности учета.

Реализация в виде отдельной системы требует множества интеграций: с 1С для актов поступления продуктов на баланс, с AD/УЦ — для учета пользовательских СКЗИ. И тут могут быть свои нюансы. Продукт активно развивается, есть возможность тюнинга под заказчика.

Avanpost PKI от Avanpost

Avanpost PKI — это система управления элементами инфраструктуры открытых ключей. Продукт разрабатывался для связки с удостоверяющим центром и поэтому больше нацелен на пользовательские СКЗИ.

Реализовано множество интеграций — с различными УЦ, производителями токенов, кадровым системами.

В продукте есть шаблоны различных актов, напоминалки об окончании срока действия ключевой информации, а также сертификатов ФСБ. Информацию из базы данных можно распечатать в формате, указанном в инструкции ФАПСИ.

При наличии в организации собственного удостоверяющего центра Avanpost PKI отлично подойдет, чтобы организовать учет СКЗИ. При отсутствии — выглядит довольно громоздким.

Альфа-Док и ИТ-Коннектор

Альфа-Док — продукт для управления процессами ИБ с упором на комплаенс.

Он позволяет автоматизировать разработку и актуализацию документации, вести журналы учета СКЗИ, мониторить сроки действия сертификатов ФСБ.

ИТ-Коннектор — платформа для поддержки процессов жизненного цикла информационных систем. Особенно это актуально для организаций, которые централизованно приобретают СКЗИ для последующей передачи подведам или предоставляют услуги с СКЗИ своим клиентам. Продукт существенно упрощает работу Органа Криптографической Защиты (ОКЗ) таких организаций.

Реализована система заявок от подведов к головной организации на различные действия с СКЗИ. Журналы учета можно вести в электронном виде, далее экспортировать в формат для печати или подписать электронной подписью.

КИТ-Журнал

КИТ-Журнал для меня продукт новый, узнал про него совсем недавно. Разработкой занимается компания КИТ-Дистрибуция из Екатеринбурга. Специализация компании — автоматизация процессов в различных областях, акцент на оцифровку журналов.

Помимо журналов поддерживаются и другие смежные сценарии. Например, проведение инструктажей пользователей по работе с СКЗИ. Поддержка ЭП — на борту.

Ответ регулятора

Учитывая возраст инструкции ФАПСИ, довольно часто возникают вопросы о возможности ведения журналов учета в электронном виде. Для ясности запросил разъяснение регулятора по этому поводу.

Таким образом, ведение журналов в электронном виде возможно с применением усиленной квалифицированной ЭП. А еще систему, которая реализует учет СКЗИ, нужно бекапить 🙂

Данные требования при желании можно реализовать на любой из указанных выше систем.

Продолжение в следующей заметке Учет СКЗИ: еще системы

Автоматизируем учёт электронных подписей

Я думаю, каждый системный администратор задавался вопросом автоматизации учёта электронных подписей в своей организации. Потому что вопросы «Какие у нас есть электронные подписи?», «На каких компьютерах они установлены?», «Когда они заканчиваются?» и т.д. возникают регулярно.

Иногда на них отвечает юридический отдел, иногда их адресуют нам, системным администраторам. А кто в вашей организации ведёт учёт электронных подписей? Расскажите об этом в комментариях, будет интересно почитать.

Начнём с постановки задачи. Здесь, лучше всего, задачу разбить на подзадачи. И для каждой подзадачи использовать какой-то универсальный инструмент. Хорошо бы уже кем-то созданный, но если такого инструмента нету, то можно и самому попрограммировать. Когда дело доходит до программирования, я стараюсь смотреть на задачу шире. И программируя, делаю инструмент универсальнее, чтобы потом его можно было применить и для других схожих задач. Как говориться «универсальное празднует победу над любым частным». И так, наши задачи:

1. Нам нужен инструмент, который будет доставлять наш код (скрипт) на компьютер, исполнять его и возвращать результат его работы обратно. Результатом работы может быть просто код возврата, но в нашем случае результатом будут файлы сертификатов. Т.к. лучше забирать открытые части электронных подписей (сертификаты) целиком и потом с ними работать.

2. Нам нужно приложение (скрипт), которое будет из указанных сертификатов получать нужную нам информацию.

3. И вероятно нам потребуется третий инструмент, который будет агрегировать эту полученную информацию в таблицу, с которой более удобно работать.

Приступим к реализации поставленных задач.

Выполнение кода на удалённых компьютерах

К счастью, эта задача весьма распространённая. И существует множество инструментов для решения такой задачи. Я расскажу о тех, которые мне нравятся больше всего. А вы напишите о своих любимых инструментах, которые решают такие задачи, в комментариях.

1. Logon скрипт в Group Policy Object

В групповых политиках (GPO) Active Directory есть возможность указать скрипт, который будет срабатывать при входе, выходе пользователя или при включении, выключении компьютера. В нашем случае подойдёт событие входа пользователя.

• Выполняется по событию, т.е. как бы параллельно на нескольких компьютерах.

• Сразу в нужном контексте, в контексте пользователя с сертификатами.

• Нельзя выполнить скрипт по желанию, нужно ждать наступления события.

• Нужно тонко настраивать права на папку с результатами работы скрипта.

• Если компьютер на удалёнке, то можно никогда не получить результат.

2. Инсталляционный пакет в Kaspersky Security Center

Если у вас используется Kaspersky Security Center, то вы можете в нём создать инсталляционный пакет. В него вложить свой скрипт и выполнить его на нужной выборке компьютеров.

• Выполняется параллельно на нескольких компьютерах.

• Можно выполнить скрипт по желанию, запустив задачу вручную.

• Удобный и приятный интерфейс.

• Выполняется не в контексте пользователя (об этом чуть позже).

• Нужно самому думать, как собирать результаты выполнения.

3. Командлет Invoke-Command в PowerShell

Можно воспользоваться командлетом Invoke-Command в PowerShell, который позволяет выполнить нужный нам код на удалённых компьютерах. В чистом виде командлет Invoke-Command не очень интересен, т.к. он не имеет каких-либо преимуществ над описанными выше вариантами. Но если с ним поработать, сделать обвязку, добавить параллельное исполнение и другие полезные опции, то получается не плохой вариант.

Так собственно и появился скрипт Invoke-TaskCommand.ps1, который вы можете найти в моём репозитории на GitHub. Скрипт выполняет команду -Command на списке удалённых компьютеров -ComputerName в контексте заданной учётной записи -AccountSID. При этом скрипт может доставить на удалённый компьютер вспомогательные файлы из папки -InputPath и вернуть обратно в другую папку -OutputPath файлы, как результат работы команды. Так же есть WMI фильтры -IncludeWQL и -ExcludeWQL, в которых можно написать WQL запросы. С помощью них можно гибко исключать не нужные нам компьютеры из списка и не делать лишнюю работу по доставке вспомогательных файлов на эти компьютеры. В скрипте задействован PowerShell модуль ThreadJob что распараллеливает обход компьютеров в 16 потоков. И благодаря этому пробежка по 1000 компьютеров занимает не 1,5 часа, а 15 – 20 минут. Нужная нам команда выглядит следующим образом:

$ComputerNames = Get-Content -Path '..\Data\List\Computer\All.txt' -Encoding 'Unicode';
$Command = 'powershell.exe -Command Get-ChildItem -Path CERT:\CurrentUser\My | ForEach-Object { Export-Certificate -Cert $PSItem -FilePath ($PSItem.Thumbprint + .cer);};';
.\Invoke-TaskCommand.ps1 -TaskName "Export Certificate" -Command $Command -ComputerName $ComputerNames -AccountSID "S-1-5-32-545" -OutputPath $ExportLocation;

Так же стоит упомянуть, что список компьютеров для обхода мы не будем создавать вручную, мы просто выгрузим его из Active Directory. В данном случае, я использую другой мой скрипт env.search.min.js, про который я рассказывал в другой статье Скрипт так же опубликован на GitHub.

cscript /nologo /u env.search.min.js ldap {ABCD1234-111B-14DC-ABAC-4578F1145541} search= noalign > All.txt

Получение данных из сертификата электронной подписи

И так, мы получили файлы сертификатов, которые аккуратно сложены по папочкам с именами компьютеров. Теперь нам нужно их переименовать в удобный нам вид и получить из них данные. Для этого я написал скрипт Get-CertificateData.ps1, который вы то же можете найти в моём репозитории на GitHub.

Он принимает на вход сертификат и возвращает на выходе PSCustomObject с наиболее интересными нам атрибутами. Из интересного стоит отметить OID с идентификатором 1.2.643.2.2.49.2 его присутствие в сертификате означает наличие встроенной лицензии КриптоПРО. А чтобы переименовать файл, просто воспользуемся атрибутом CER-NAME возвращаемого объекта, он как раз создан для этой задачи.

$Certificate = Get-PfxCertificate -FilePath $File.FullName;
$CertificateName = .\Get-CertificateData.ps1 -Certificate $Certificate -DataKey "CER-NAME" -Expanded -FixExpire;
Rename-Item -Path $File.FullName -NewName ($CertificateName + $File.Extension);

Агрегируем информацию из сертификатов в таблицу

В этой задачи ничего сложного нет, мы вообще её выполним одной строкой, просто передавая объекты по конвейеру в PowerShell. Сначала получим файлы сертификатов из папок. Затем из них создадим стандартные PfxCertificate объекты. Их направим в наш скрипт Get-CertificateData.ps1 и получим PSCustomObject объекты с нашими атрибутами. Их сконвертируем в CSV строки и направим в результирующий файл.

Get-ChildItem -Path $Folder.FullName -File | Get-PfxCertificate | .\Get-CertificateData.ps1 -DataKey "NET-HOST" -DataValue $ComputerName -FixExpire | ConvertTo-Csv -Delimiter "`t" -UseQuotes "Never" | Out-File -FilePath "Report.csv" -Encoding "Unicode";

Из интересного отмечу командлет Out-GridView в PowerShell. Он позволяет достаточно удобно представлять табличные данные в графическом виде. Воспользуемся им для отображения данных.

Import-Csv -Path "Report.csv" -Encoding "Unicode" -Delimiter "`t" | Out-GridView -Wait -Title "Реестр сертификатов";

Заключение

Как видите, задача автоматизации учёта электронных подписей не такая и сложная. Комбинируя разные скрипты, мы как из кубиков строим решение нужной нам задачи.

Вы можете начать с малого, просто создайте несколько папок, например Архив и Действующие. Положите в них файлы сертификатов. Рядом с папками создайте ярлычок Отчёт со следующей командой:

powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -File Show-Certificates.ps1 -Rename

Спасибо за внимание, надеюсь данная статья будет вам полезна. Делитесь своим мнением в комментариях.

<#
  .DESCRIPTION
  Отображает отчёт по реестру сертификатов.

  .PARAMETER Rename
  Переименовать сертефикаты перед построением отчёта.

  .NOTES
  Версия: 0.1.0
  Автор: @ViPiC
#>

[CmdletBinding()]
Param (
    [switch]$Rename
);

$Items = @();
$Folders = Get-ChildItem -Directory;
foreach ($Folder in $Folders) {
    $Files = Get-ChildItem -Path $Folder.FullName -Filter "*.cer" -File -Recurse;
    foreach ($File in $Files) {
        $Certificate = Get-PfxCertificate -FilePath $File.FullName;
        $Items += .\Get-CertificateData.ps1 -Certificate $Certificate -DataKey "CER-CATEGORY" -DataValue $Folder.BaseName -FixExpire;
        if ($Rename) {
            $CertificateName = .\Get-CertificateData.ps1 -Certificate $Certificate -DataKey "CER-NAME" -Expanded -FixExpire;
            if ($File.BaseName -ne $CertificateName) { Rename-Item -Path $File.FullName -NewName ($CertificateName + $File.Extension); };
        };
    };
};
$Items | Out-GridView -Wait -Title "Реестр электронных подписей";

Кто, что и зачем пишет в журнале учета СКЗИ

Скорее всего, вы знаете, что учет СКЗИ регламентирован «Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащих сведений, составляющих государственную тайну». Этот документ невиданной силы утвержден приказом Федерального агентства правительственной связи и информации при президенте Российской Федерации (ФАПСИ) от 13.06.2001 № 152.  

Тогда, 20 лет назад, сертифицированные СКЗИ применялись крайне редко, а большинство организаций не имели такой разрозненной и распределенной по всей стране ИТ-инфраструктуры. В итоге инструкция, например, до сих пор не предусматривает возможность удаленной передачи ключей шифрования, а журнал учета требуется хранить в отдельном помещении. Вести учет в электронном виде можно, но только с применением квалифицированной ЭП (учет СКЗИ в электронном виде – это тема для отдельной статьи, и об этом мы поговорим следующий раз), либо сопровождать каждое действие соответствующими актами.

Кстати, само ФАПСИ было расформировано в 2003 году. Его функции были распределены между ФСО, ФСБ, СВР и Службой специальной связи и информации при ФСО. Но написанный агентством документ не утратил силы.

Кто и как ведет учет

Если организация является обладателем конфиденциальной информации, то ей, скорее всего, требуется обеспечить безопасную передачу, обработку и хранение этой информации с помощью СКЗИ. К слову, к последним инструкция относит как сами программные или аппаратно-программные средства, так и информацию, необходимую для их работы, ключи, техническую документацию.

Организует и контролирует все работы с СКЗИ орган криптографической защиты (ОКЗ). Это может быть как структурное подразделение (или конкретный сотрудник) внутри организации (обладателе конфиденциальной информации), так и внешний подрядчик (например, сервис-провайдер).

В первом случае организация должна издать приказ о создании ОКЗ, определить его структуру и обязанности сотрудников. Например:

• начальник отдела занимается организацией и совершенствованием системы управления работой своих сотрудников;

•   администратор безопасности обеспечивает сохранность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники.

Все работники, которые занимаются установкой и настройкой СКЗИ и в принципе имеют к ним доступ, должны быть внесены в приказ и ознакомлены с ним. Для каждой должности нужно разработать должностную инструкцию и ознакомить пользователей с порядком применения СКЗИ.

В итоге перечень необходимых документов состоит из: 

• приказа о создании ОКЗ;

• утвержденных форм журналов учета;

• шаблонов заявлений, актов;

• инструкции для пользователей по работе с СКЗИ.

Мы помним, что по всем СКЗИ должен вестись поэкземплярный учет, а их движение (формирование, выдача, установка, передача, уничтожение) должно быть документально подтверждено. Для этого и обладатель конфиденциальной информации, и орган криптографической защиты должны вести журналы (каждый свой) поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.

Но если орган криптографической защиты информации – это структурное подразделение организации, на его плечи ложится ведение обоих журналов. Дело в том, что в этом случае организация не только является обладателем конфиденциальной информации, но и выполняет часть функций ОКЗ. Например, крупные холдинги, как правило, выделяют в своем составе ИТ-компанию, которая в том числе отвечает за информационную безопасность с использованием СКЗИ. Она ведет все журналы и сопутствующую документацию и является для своего холдинга поставщиком услуг.

Если услуги оказывает сервис-провайдер, то он заполняет журнал учета для органа криптографической защиты, а организация – журнал для обладателя конфиденциальной информации.

Вы еще тут? Надеемся, не запутались!

Журналы учета хранятся в течение 5 лет. Сами СКЗИ и документация к ним должны находиться за семью замками в специальном помещении, а доступ туда могут иметь только сотрудники ОКЗ.

Операции с СКЗИ: взятие на учет

Рассмотрим порядок учета на конкретном примере (данные в таблицах ниже вымышленные все совпадения случайны).  Организация N – обладатель конфиденциальной информации – хочет использовать СКЗИ компании «КриптоПро». При этом организация N не готова создавать у себя ОКЗ и обращается к сервис-провайдеру, который будет предоставлять ей соответствующие услуги. Итак, для начала вендор ПАК должен предоставить организации N исходные данные для учета. Выглядит это так:

В 1–6 графы журнала поэкземплярного учета должна попасть информация о:

• диске с дистрибутивом;

• серийном номере лицензии на СКЗИ.

После заполнения всех этих данных СКЗИ выдаются пользователям, то есть тем работникам в организации, для которых они закупались. Это может быть как сотрудник бухгалтерии, который применяет ЭП для подписания и отправки документов, так и другой ответственный специалист, взявший на себя обязательства по сохранности СЗКИ.

На этом этапе заполняются 7 и 8 графы журнала (кому и когда выдается СКЗИ – с обязательной росписью пользователя). Если возможности расписаться в журнале нет, то можно заполнить акт передачи, где в свободной форме указывается, кто (администратор безопасности) и кому (пользователю) передает СКЗИ. При этом обе стороны расписываются, а номер акта вносится в 8 графу («Дата и номер сопроводительного письма»).

В 9 графу записывается имя сотрудника, производившего установку СКЗИ. Чаще всего это делает специалист технической поддержки, который также является администратором безопасности. Но это может быть и пользователь, если он обладает соответствующими навыками и правами доступа в сеть.  В 11 графе указывается серийный номер материнской платы или номер опечатывающей пломбы системного блока.

Если сотрудник, который производил установку, уволился, то СКЗИ нужно изъять и составить акт, в котором указывается предмет и способ изъятия (например, удаление ключевой информации с носителя). Все это фиксируются в 12, 13, 14 графах.

При уничтожении СКЗИ также составляется соответствующий акт. В нем должны быть указаны предмет и способ уничтожения. Программные СКЗИ стирают с носителя ключевой информации (чистка реестра), а ПО деинсталлируют. С аппаратных СКЗИ можно удалить ключевую информацию либо уничтожить их физически. 

Ниже пример журнала, заполненного организацией – обладателем конфиденциальной информации. ООО «Компания» – это сервис-провайдер, который выполняет функции органа криптографической защиты для организации.

Заглянуть в журнал учета

Журнал учета СКЗИ для органа криптографической защиты во многих пунктах перекликается с аналогичным документом для организации и заполняется по такому же принципу, поэтому не будем подробно останавливаться на его разборе. В примере ниже ООО «Организация» – это обладатель конфиденциальной информации, который воспользовался услугами сервис-провайдера.

Заглянуть в журнал еще раз

Что в итоге?

Сложно не согласиться с тем, что все эти требования уже давно морально устарели и Инструкция нуждается в актуальных корректировках, но пока мы вынуждены выполнять требования ее текущей редакции. Обратите внимание, что для ведения журнала поэкземплярного учета СКЗИ в электронном виде требуется подписывать документы только квалифицированной ЭП либо сопровождать каждое действие соответствующими актами. Если же речь идет о физическом документе, то все данные и подписи должны быть внесены в него всеми ответственными лично.

Безусловно, учет СКЗИ – это только один из множества обязательных к исполнению процессов, описанных в документе. В будущем мы постараемся подробно описать процесс опломбирования СКЗИ, технологию их уничтожения и многое другое.

Надеемся, эта памятка была для вас полезной.

Понятие журналов учета ключей электронной подписи

Журналом учета ключей электронной (цифровой) подписи (далее – ЭП, ЭЦП) или средств криптографический защиты (далее – СКЗИ) называют документ, который позволяет отслеживать использование ЭЦП и СКЗИ внутри организации.

Такие журналы содержат информацию о том, кто и в какое время получал ключи электронных подписей, кто сдал их назад в случае перехода сотрудника на другую должность или же в случае его увольнения, было ли совершено уничтожение средства, а также позволяют определить, какие работники были ознакомлены с порядком работы со средствами криптографической защиты.

Кому необходимо вести журналы учета ключей электронной подписи?

Ведение журналов учета ЭЦП обязательно для следующих организаций:

• Лицензиаты Федеральной службы безопасности (далее – ФСБ) – различные субъекты, деятельность которых направлена на оказание платных услуг, связанных с использованием СКЗИ. К числу таковых относятся разработка, распространение, установка программного обеспечения, средств СКЗИ и другое.
  Для того, чтобы быть лицензиатом ФСБ, необходимо выполнить все требования, предусмотренные законом, к документации, а также ее ведению и соблюдению. Помимо этого, требуется создать орган криптографической защиты, который следит за соблюдением организацией Инструкции о безопасности хранения, обработки и передачи информации с использованием криптографических средств, принятой в соответствии с приказом Федерального агентства правительственной связи и информации (далее – ФАПСИ) № 152 от 13.06.2001 г. Несмотря на то, что приказ был принят более 20 лет назад, а агентство распущено еще в 2003 году, документ является действующим, что неоднократно подтверждалось ФСБ РФ;
• Иные организации, которые не являются лицензиатами ФСБ, но использующие ЭЦП в документообороте или СКЗИ для защиты конфиденциальной информации в случае необходимости защиты таковой по закону. Если законом не установлен обязательный характер защиты определенной информации, то правила инструкции из приказа ФАПСИ лишь рекомендуется учитывать.

Журналы учета СКЗИ и ЭЦП

В Инструкции о безопасности хранения, обработки и передачи информации с использованием криптографических средств обозначены формы определенных видов журналов учета СКЗИ и ЭЦП и представлены в приложениях документа.
Первым является журнал поэкземплярного учета средств криптографической защиты информации. Чтобы его заполнить, необходимо внести сведения о выданных ЭЦП сотрудникам: какие средства используются, кто их получил, когда и в каком месте, когда начато было использование и завершено, когда уничтожены и другая необходимая информация.
В зависимости от того, кто ведет журнал учета, приказ ФАПСИ №152 разделяет формы типовых документов.

1. Форма журнала поэкземплярного учета для органа криптографической защиты, т.е. для лицензиатов ФCБ

2. Форма журнала поэкземплярного учета для обладателей конфиденциальной информации

Вторым необходимым журналом является технический или аппаратный журнал. С его помощью можно отслеживать операции по работе с СКЗИ, которые установлены на серверах.

В него вносится информация о том, с помощью какого СКЗИ и какая проводится операция, когда и какие используются криптоключи, когда и кем была уничтожена подпись и так далее.

Приказ ФАПСИ №152 устанавливает форму технического или аппаратного журнала:

Регламент использования и хранения ключей СКЗИ и ЭЦП

Компаниям необходимо не только подготовить журналы учета ЭП и СКЗИ, но еще и регламент действий, которые позволят держать информацию конфиденциальной. Различными нормативно-правовыми актами не предусмотрена для таких документов специальная форма, поэтому организации могут самостоятельно сформулировать удобный для себя регламент, проанализировав инструкцию из Приказа.

Создание регламента должно учитывать общие требования, которые должны быть обязательно отражены в документах:

• Установление правил надзора за соблюдением требований регламента в компании;
• Определение сотрудников, которые будут заниматься заполнением журналов, вести учет СКЗИ и ЭЦП;
• Формирование правил обучения работе с СКЗИ и ЭЦП, а также определения допуска к работе с таковыми средствами;
• Контроль за правильностью использования СКЗИ и ЭП;
• Правила установки и настройки СКЗИ;
• Порядок действий в случае неправомерного использования ключей и СКЗИ, а также в ситуациях их потери.

Ответственность за несоблюдение требований инструкций и ведения журналов учета

Организации, которые работают с СКЗИ, должны соблюдать требования по регламенту, а также правильно заполнять журналы. Все мероприятия осуществляются с учетом Приказа ФАПСИ №152.

ФСБ России как ведомство, контролирующее исполнение норм в сфере использования конфиденциальных данных с использованием СКЗИ, проводит проверки (плановые/внеплановые) для того, чтобы отследить, применяют ли компании в своей деятельности сформированные документы, правильно ли они делают, как используют средства защиты.

В случае несоблюдения требований нормативов, а также нахождения иных недостатков при проверке, организация несет ответственность в соответствии со статьей 13.12 КоАП РФ.
Предусмотренными санкциями являются:

• Штрафы для физических лиц. В указанной статье суммы варьируются от 500 до 2500 рублей. Штраф может быть как с конфискацией несертифицированных средств защиты информации, так и без таковой;
• Штрафы для индивидуальных предпринимателей. В указанной статье суммы варьируются от 2000 до 3000 рублей. Также предусмотрена санкция в виде административного приостановления деятельности на срок до 90 суток;
• Штрафы для должностных лиц. В указанной статье суммы варьируются от 1000 до 4000 рублей;
• Штрафы для юридических лиц. В указанной статье суммы варьируются от 10000 до 30000 рублей. Штраф может быть как с конфискацией несертифицированных средств защиты информации, так и без таковой. Также предусмотрена санкция в виде административного приостановления деятельности на срок до 90 суток.

После проведения проверки организации от ФСБ будет предоставлено предписание об устранении выявленных недостатков, которое необходимо исполнить в обозначенный срок.
Чтобы избежать наложения штрафов и приостановления деятельности организации, необходимо соблюдать приказ ФАПСИ №152, принятый регламент, работать с сертифицированными СКЗИ.

В большинстве организаций использование ЭЦП (электронно-цифровая подпись) стало неотъемлемой частью работы. Соответственно возникает потребность во введении учета данной номенклатуры, что естественно возможно реализовать в нашей конфигурации. Перед тем, как приступить к рассмотрению практического примера. Давайте определим список важных параметров, которые необходимо контролировать при ведении учета:

• Срок действия;
• Кем выдан;
• Владелец подписи;
• Область применения.

Теперь давайте приступим. Первое, что необходимо сделать, это создать новый вид номенклатуры, перейдем в раздел «Номенклатура и склад» -> «Виды номенклатуры». Так как наиболее важный параметр, это срок действия ЭЦП, то тип вида номенклатуры выбираем «Программное обеспечение». Данный тип позволит вести контроль сроков действия электронной подписи. Также, чтобы появилась возможность отслеживать ее статус (активно, неактивно, просрочено и т.д.) необходимо отметить чек-бокс «Может иметь статус» и «Вести историю изменения статусов», при этом данный вид номенклатуры должен вести учет по карточкам. В результате должно получиться следующее:

Следующим шагом будет создание новой номенклатуры с видом «ЭЦП» в разделе «Номенклатура и склад».

Далее нужно создать карточку номенклатуры. В поле «Номенклатура» указываем новую номенклатуру «ЭЦП», на закладке «Лицензия и обновления» устанавливаем чек-бокс «Есть ограничения по сроку действия лицензии». После чего, становятся доступные поля для указания срока действия нашей электронно-цифровой подписи. Также можем указать реквизит «Дату установки ПО», если нам необходимо учитывать дату установки данного ключа.

Так как мы хотим отслеживать в каком состоянии (т.е. активна или просрочена) данная подпись, тогда перейдем к созданию статусов. В разделе «Справочники» откроем справочник «Статусы карточек номенклатуры» и нажмем кнопку «Создать». Вводим наименование статуса, например, «Активно» и выбираем из набора картинку для данного статуса. Таким образом создаем весь необходимый список статусов для учета ЭЦП. В результате получаем список, состоящий из активно, активно (осталось меньше месяца), неактивно, просрочено. Благодаря этим статусам легко определить в каком состоянии на текущий момент находится подпись. Например, активно (осталось меньше месяца) говорит о том, что пора бы заняться продлением данной подписи, ведь скоро заканчивается срок ее действия. 

После того, как все статусы готовы, возвращаемся в карточку ЭЦП и переходим на вкладку «Статусы карточки». Где с помощью кнопки «Установить статус» установим актуальный на текущий момент статус (активно) для этой электронной подписи. В дальнейшем этот статус следует изменять вручную.

И так, на данный момент мы настроили отслеживание срока действия подписи, теперь необходимо добавить дополнительные параметры. Все также в карточки ЭЦП открываем вкладку «Характеристики» и нажимаем кнопку «Добавить характеристику».  Откроется список предопределенных видов характеристик. Так как по умолчанию характеристики для электронной подписи не предусмотрены их нужно создать. В списке видов характеристик создаем параметры: кем выдан, владелец подписи, область применения. 

В результате проделанных действий, оприходовав данную номенклатуру, будем видеть на месте хранение статус подписи, а также дополнительные характеристики для учета.

С помощью специального отчета «Отчет по лицензиям» можем быстро определить, где установлена та или иная электронная подпись. Увидеть сколько дней осталось до окончания срока действия. При чем за 30 дней до окончания действия, соответствующее поле будет подсвечиваться синим цветом, красным если до окончания действия остается меньше 10 дней. 

Используя правила событий, настроим оповещение на электронную почту, которое сообщало бы нам, что до окончания срока действия электронной подписи осталось 7 дней. Для этого создадим новое правило событий с типом «Периодическое событие». В реквизите «Имя объекта» укажем справочник «Карточки номенклатуры», а в условие «Окончание срока действия лицензии». В поле «Выполнить действия до события по условию за» укажем значение 168 часов (7 дней), также в отборах у вида номенклатуры выберем вид «ЭЦП». Далее добавим новое действие, которое будет отправлять оповещения. В результате за семь дней до окончания срока действия электронной подписи мы получим оповещение на электронную почту. Аналогично можно настроить отправку SMS на телефон.

Таким образом осуществляется контроль сроков действия электронно-цифровых подписей (ЭЦП) в конфигурации.