Облік засобів криптографічного захисту інформації. Журнал обліку ЗКЗІ, експлуатаційної та технічної документації до них, ключових документів. Тип і реєстраційний номер ЗКЗІ
Ця стаття буде цікава як фахівцям, що мають тривалий досвід в ІБ, так і людям, які були поставлені перед фактом або звалили на себе тягар відповідальності за проведення робіт із захисту.
Перевірка в окремо взятій організації
вступ
Вихідні дані: Повна відсутність проведених робіт по захисту ПДН, в тому числі, з використанням ЗКЗІ. Невелика мережу на 40 АРМ. Нічого надприродного в плані ІСПДн та іншого інформаційного взаємодії. Все як у всіх. Є бухгалтерія, відділ кадрів, адміністрація і кілька відділів за профілем організації.
Глава перша. Документи по ПДН
Комісія звертає увагу на опис інформаційних систем: на підставі чого створені, що обробляється (категорії ПДН) і з якою метою, структура систем і призначення підсистем.
Але головний документ, за яким вони дуже багато працювали це Перелік ІС (по ПП211). Мені доводилося бачити цей документ, в якому крім шапки організації та підписи начальника було всього 2 рядки: ІСПДн «Бухгалтерія», ІСПДн «Відділ кадрів». Я пропрацював цей документ і зробив його більш зручним. У ньому було детально розписано для кожної ІС:
призначення(Наприклад - Підсистема, призначена для автоматизації податкового та бухгалтерського обліку та складання обов'язкової звітності, а також розрахунку зарплати, обчислення податків, формування звітів і довідок в державні органи і соціальні фонди);
Реалізація(Наприклад - Підсистема реалізована у вигляді файлів стандартних офісних додатків MS Office і системи автоматизації документообігу і діловодстваСЕД «справа-Web»);
Ввід вивід(Наприклад - Інформація надходить впідсистему шляхом введення даних операторамиа також у вигляді електронних поштових повідомлень);
Обробка(Наприклад - Режим обробки передбачає наступні дії зданими: збір, систематизацію, уточнення ...);
зберігання(Наприклад - Дані зберігаються на АРМ оператора);
взаємодія(Наприклад - Вихідна інформація передається у вигляді звітів в ... із застосуванням електронно-цифрового підпису та програмної бібліотеки захисту інформації «КріптоПро» в електронному вигляді по каналах в мережі Інтернет за допомогою «НВІС».).
Так само вказані основні характеристики ІС (режим обробки ПДН ( розрахований на багато користувачів), Розмежування прав доступу ( з розмежуванням), Масштаб ІС, клас захищеності ...) в загальному, як показала перевірка, він дуже сподобався панам з ФСБ, і як результат, виявився «зам'ято».
Так само докладно розглядалися такі документи як Моделі угрознарушітелей, інструкції пользователяадміністратора і документи відображають визначення рівня захищеності ПДН (і все що випливають звідси обсяги ПДН, типи загроз, і категорії ПДН-все повинно бути відображено в документах).
Глава друга. Виконання вимог до ЗКЗІ
Основними документами в цій області є 152 ФАПСИ і 378 ФСБ. В цьому році ми відзначаємо круглу дату- 15 років з моменту розформування ФАПСИ.
Також перевірялася наявність журналів. Особисто у мене Журнал для обліку журналів викликав посмішку (вершина бюрократії).
Відповідно до п.30 ФАПСИ необхідно вести поекземплярний облік ЗКЗІ і ключових документів.
Основні документи: Акт визначення рівня криптографічного захисту інформації в якому визначається клас використовуваного ЗКЗІ. Журнал поекземплярного обліку ЗКЗІ і технічної документації. Журнал обліку ключової документації.
Що стосується зберігання ключових документів і дистрибутивів ЗКЗІ, то тут все цікаво. Електронних підписів у нас в організації багато. Організувати кожному користувачеві персональний залізний ящик реально, але затратно. Та й часу було обмаль. Однак, відсутність безконтрольного доступу до ЗКЗІ все-таки ми забезпечили. На кожного користувача були закуплені пластикові тубуси для ключів (50 рублів) і металеві печатки (400 рублів). Видача печаток користувачеві відображається в Журналі пломбувальни. Кожен користувач був проінструктований про те, що в кінці робочого дня, він повинен вміщувати е-токен в тубус, опечатувати його і замикати в своєму ящику від столу. Перший екземпляри ключів від столів зберігався в конвертах в сейфі у керівника організації, другий-користувач забирав із собою. Крім того, закупилися чашки для опечатування та розроблені Переліки осіб мають вільний доступ в приміщення з ЗКЗІ (А перед цим Перелік осіб, які мають право обробляти ПДН, Перелік осіб допущених в приміщення де ведеться обробка ПДН (п.8а 8б П№378), і Перелік користувачів ЗКЗІ). В кінці робочого дня, приміщення опечатується одним з користувачів ЗКЗІ.
Всі автоматизовані робочі місця з встановленими ЗКЗІ і програмно-апаратні ЗКЗІ обладнані засобами контролю за їх розкриттям на виконання пункту 31 ФАПСИ. Тут у нагоді досвід з минулого місця роботи. Системні блоки опечатувати треба. Але чим? Який печаткою? Де її взяти? Як враховувати? Надійшли в такий спосіб: в Word була розроблена синя печатка з назвою організації, датою і місцем під підпис відповідальної особи, яка проводила установку Кріпто-про на АРМ. Куплений лист самоклеящейся паперу формату А4, і надруковано на кольоровому струменевому принтері (не друкуйте на лазерному, це погана ідея). За результатами, системні блоки з встановленим Кріпто-про були опечатані в двох місцях що б не було безконтрольного розкриття. Користувач кожен день візуально перевіряв ці наклейки і це було прописано в Положенні про використання СКЗИ в організації, Інструкції пользователяадміністратора ЗКЗІ.
На всі використовувані ЗКЗІ і ключові носії є документи, що підтверджують дотримання заходів, що виключають безконтрольний доступ до них під час доставки. Необхідно надати акти прийому-передачі, супровідні листи і доручення (про них докладно нижче), акти введення в експлуатацію.
У нашій організації був розроблений Наказ в якому призначався відповідальний за ЗКЗІ, який отримував Кріпто-про і е-токени, а потім видавав їх користувачам по Журналу поекземплярного обліку ЗКЗІ, експлуатаційної та технічної документації до них, ключових документів.
Не знаю як у вашій організації, але в нашій у керівника близько 5 ЕЦП для роботи в різних системах. АЛЕ! Саме він, особисто нічого не підписує. За нього це роблять в приймальні, бухгалтер, відділ кадрів ... Як же бути?
Оформляється довіреність, в якій працівник уповноважується використовувати ЕЦП для роботи в таких-то ІС з такими-то цілями. Не забудьте визначаються терміни довіреності.
Визначено порядок дій при компрометації (п5.0 ФАПСИ), і порядок знищення ЗКЗІ (п.4.14 ФАПСИ). Все це було описано в «Положенні про порядок використання засобів криптографічного захисту інформації та ключової інформації до них».
Крім того, використання ЗКЗІ здійснюється відповідно формулярами до них (заповнилися таблиця закріплення ЗКЗІ за користувачем).
Глава третя. Вимоги до приміщень
Як я вже писав, приміщення з ЗКЗІ у нас опечатуються (п.59 ФАПСИ) в кінці робочого дня. Так само мають міцні замки і пожежну сигналізацію (п. 6а П№378).
Крім всіх Переліків допущених в приміщення (п.6в П№378) про які я писав вище, є ще Регламенті доступу в приміщення з компонентами ЗКЗІ визначає правила доступу в приміщення в робочий і неробочий час, а також у позаштатних ситуаціях. (П.6а П№378). Відповідно до цього ж регламентом організована охорона (для перевірки потрібно було показати договір з охоронною фірмою) (п.54,63 ФАПСИ).
Глава четверта. персонал
Комісії були надані документи, що підтверджують, що відповідальні користувачі ЗКЗІ мають необхідний рівень кваліфікації для забезпечення захисту персональних даних з використанням ЗКЗІ (п.13 ФАПСИ). Адміністратор ІБ і відповідальний за ЗКЗІ пройшли курси підвищення кваліфікації (надали документи для комісії) (п.17 ФАПСИ). Так само були надані документи, що підтверджують письмове ознайомлення відповідальних користувачів ЗКЗІ з Інструкцією користувача ЗКЗІ, Регламентом доступу в приміщення з ЗКЗІ, Положенням про порядок використання СКЗИ.
Перевірялося і наявність затверджених функціональних обов'язків співробітників ОКЗІ (п.18 ФАПСИ). Всі вони були закріплені в наказі про ЗКЗІ. У ньому вводився режим захисту інформації з використанням ЗКЗІ, призначалися відповідальні особи (інструкція адміністратора ЗКЗІ-окремим документом) і комісія для визначення класу ЗКЗІ. Крім того, в посадові інструкції так само були внесені зміни.
Що стосується виконання п.21 ФАПСИ, то можливість допуску співробітників до самостійної роботи з СКЗИ відбивається в «Акті введення в експлуатацію ЗКЗІ», який створювався в 2х примірниках, один зберігався у користувача, другий у відповідального за ЗКЗІ.
З усіма користувачами було проведено детальний інструктаж, і комісія провела бесіду з кожним. Питали основні моменти знання інструкції користувача, для чого використовують ЕЦП, в яких програмах працюють, куди передають, як зберігають ЕЦП і як опечатують. А також, хто виробляв установку крипто-про на АРМ.
У бухгалтера попросили договір з банком і поцікавилися процесом передачі в банк даних про нарахування заробітної плати. Окремої уваги заслужила програма НВІС.
З приводу використовуваних програм. За допомогою спеціального ПО був складений перелік дозволеного до іспользиванія ПО на кожен АРМ. Кожен АРМ мав свій інвентарний номер.
Глава п'ята. організаційні заходи
Здебільшого в нашій організації електронний документообіг і всі файли ганяються по мережі. Але в бухгалтерії є одна флешка на яку вони вивантажують звіти. Поекземплярний облік машинних носіїв персональних даних ведеться в «Журналі обліку машинних носіїв інформації». Флешка видана під розпис для виконання службових обов'язків співробітнику. По закінченню робочого дня він зберігає її разом з е-токеном. В інструкції користувача / адміністратора прописані відповідні пункти з обліку, зберігання, передачі та знищення цієї флешки.
Крім того, були враховані всі жорсткі диски в відповідному журналі. Як це зроблено? Ні-ні, я не став розбирати кожен АРМ і клеїти на нього номер, або дивитися номер на ньому самому. Тієї ж Аїдою 64 можна подивитися унікальний номер диска.
Серед інших зауважень це стояло особняком. Справа стосувалася Методичних рекомендації від 1 березня 2015 року №149 / 7/2 / 6-432. Зверніть на цей документ увагу, він є у відкритому доступі на сайті ФСБ. Відповідно до нього потрібно розробити документ, в якому будуть визначені узагальнені можливості джерел атак і як наслідок Перелік організаційно-технічних заходів, реалізація яких дозволяє нейтралізувати загрози безпеці ПДН.
Післямова
Використання цифрових сертифікатів і ключових носіїв для багатьох компаній є обов'язковою практикою. Вони застосовуються як для внутрішніх цілей - захисту електронної пошти, внутрішній документообіг, аутентифікація користувачів, так для спілкування зі сторонніми організаціями при роботі на торгових майданчиках, в ДБО і для формування кваліфікованої електронного цифрового підпису (ЕЦП). Сертифікати електронних ключів можуть випускатися як на власних засвідчують центрах компанії, так і в сторонніх акредитованих організаціях. Управління розрізненої популяцією ключових носіїв стає складним завданням, вирішити яку покликані спеціалізовані системи. Indeed Certificate Manager пропонує централізоване і ефективне рішення цієї задачі.
опис завдання
У загальному вигляді можна сформулювати наступні завдання управління носіями і сертифікатами:
- Контролювання використання сертифікатів і ключових носіїв співробітниками компанії
- Облік сторонніх сертифікатів, що випускаються зовнішніми УЦ для роботи в ДБО, торгових майданчиках, ЕГАИС тощо.
- Ведення електронного журналу обліку ЗКЗІ
Рішення
Для вирішення всіх зазначених завдань в Indeed Certificate Manager реалізовані відповідні функції.
Контроль використання сертифікатів і ключових носіїв
Для вирішення завдання контролю використання смарт-карт, токенів і сертифікатів в Indeed CM реалізований спеціалізований модуль - клієнтський агент Indeed CM. Агент встановлюється на ПК користувачів і дозволяє віддалено виконувати ряд операцій:
- Передавати на сервер Indeed CM інформацію про використовувані ключових носіях - до якого ПК в даний момент підключені токени і який користувач працює на ПК
- Блокувати сесію Windows або ключовий носій, в разі порушення правил використання. Наприклад, смарт-карта ЗКЗІ (токен) може бути прив'язана до облікового запису користувача або ПК; якщо поточний користувач або ПК не збігається з призначеними, агент може заблокувати смарт-карту
- Зміна PIN-коду на вимогу адміністратора
- Блокування носія на вимогу адміністратора
- Оновлення сертифікатів на носії
- Видалення інформації з ключового носія
Таким чином, агент дозволяє адміністраторам вести аудит використання смарт-карт і токенов і віддалено виконувати операції з ключовими носіями на ПК користувача. Також агент може запобігати несанкціонованому використанню носіїв.
Додатково до агента, Indeed CM може відстежувати стан облікового запису користувача в каталозі Active Directory і припиняти дію сертифікатів користувачів, чиї облікові записи були відключені. Це дозволяє припинити можливість використання сертифікатів на період відпустки або звільнення співробітника.
Облік сторонніх сертифікатів
Інформація про вже записаних на носій сертифікатах зчитується в момент закріплення носія за користувачем і відображається в його профілі. При наближенні закінчення терміну дії таких сертифікатів, система повідомить користувача і / або адміністратора про необхідність поновлення сертифіката.
Ведення електронного журналу ЗКЗІ
Для виконання вимог регуляторів організації може знадобитися вести журнал обліку ЗКЗІ. Indeed CM дозволяє вести такий журнал в електронному вигляді. При випуску сертифікатів в журнал автоматично додаватимуться нові ЗКЗІ. Також адміністратор може вручну додати додаткові ЗКЗІ різних типів, включаючи свої власні, що не входять в стандартний набір. Перегляд журналу доступний в інтерфейсі адміністратора Indeed CM, журнал також можна експортувати в окремий документ, формат якого налаштовується під вимоги організації.
Нижче наведена загальна схема рішення.
До складу Indeed Certificate Manager входять наступні основні компоненти:
Indeed CM Server- основний компонент інфраструктури Indeed CM. Являє собою ASP.Net додаток, що працює на сервері Internet Information Services (IIS). Indeed CM Server забезпечує централізоване управління користувачами системи, репозиторієм карт, журналом ЗКЗІ і політиками безпеки. Також Indeed CM Server забезпечує отримання інформації від агентів і виконання операцій розблокування смарт-карт і журналирования подій.
Журнал подій- сховище подій Indeed CM. У журналі фіксуються всі події, пов'язані з життєвим циклом смарт-карт і зміною параметрів системи. Перегляд журналу доступний в інтерфейсі консолі адміністратора Indeed CM, там же можлива побудова звітів за різними критеріями.
Журнал ЗКЗІ- електронний журнал обліку засобів криптографічного захисту інформації. Журнал дозволяє виконати вимоги регуляторів в частині обліку ЗКЗІ. Перегляд журналу доступний в інтерфейсі консолі адміністратора Indeed CM.
Реєстр ключових носіївмістить інформацію по всім зареєстрованим в системі пристроїв. Перегляд реєстру доступний в інтерфейсі консолі адміністратора Indeed CM.
Агент Indeed CM- клієнтський компонент, який реалізує функції контролю і моніторингу використання ключових носіїв. Також агент забезпечує віддалене виконання операцій зі смарт-картами і токенами: блокування, зміна PIN, оновлення сертифікатів ключа електронного підпису та ін.
Інструкція
про порядок обліку, видачі та передачі засобів криптографічного захисту
інформації, електронного підпису, експлуатаційно-технічної
документації та ключових документів
1. Облік засобів криптографічного захисту інформації (СКЗИ), експлуатаційно-технічної документації на ЗКЗІ, ключових документів і ЕП організовується відповідно до вимог «Інструкції про організацію та забезпечення безпеки зберігання, обробки і передачі по каналах зв'язку з використанням засобів криптографічного захисту інформації з обмеженим доступом, що не містять відомостей, що становлять державну таємницю », затвердженої наказом Федерального агентства урядового зв'язку та інформації (ФАПСИ) при Президентові Російської Федерації від 01.01.2001 № 152 (далі - Інструкція № 152), Правилами використання СКЗИ, затвердженими розробником ЗКЗІ.
2. Доставка ЗКЗІ в організацію повинна здійснюватися фельд'єгерської зв'язком (спецзв'язок), або безпосередньо співробітником самої організації, в такому ж порядку повинна здійснюватися передача ЗКЗІ кінцевому користувачеві, згідно п.32 Інструкції № 000.
3. Порядок упаковки ЗКЗІ повинен відповідати вимогам п.33, п.34 Інструкції № 000.
4. Передача ЗКЗІ оформляється актами прийому-передачі, або підтверджується супровідними відвантаження документами.
5. При передачі ЗКЗІ уповноваженим нарочним, посланець розписується в актах прийому-передачі ЗКЗІ, дата і номер акта заносяться до відповідних журнали обліку.
6. Поекземплярний облік ЗКЗІ, що надходять від розробників, виробників і постачальників ЗКЗІ необхідно вести в Журналі поекземплярного обліку ЗКЗІ, експлуатаційної та технічної документації до них, ключових документів (для володаря конфіденційної інформації) (п.26, Додаток Інструкції № 000). Облік ведеться відповідальним користувачем кріптосредств.
7. Приклад внесення запису в Журналі поекземплярного обліку ЗКЗІ, експлуатаційної та технічної документації до них, ключових документів (для володаря конфіденційної інформації) представлений в таблиці 1.
Таблиця 1.
№ п / п | Відмітка про одержання | Відмітка про видачу | Відмітка про підключення (встановлення) ЗКЗІ | Відмітка про вилучення ЗКЗІ з апаратних засобів, знищення ключових документів | Примітка |
||||||||||
| Від кого отримано | Дата і номер супровідного листа | ПІБ користувача ЗКЗІ | ПІБ співробітників органу криптографічного захисту, користувача ЗКЗІ, які провели підключення (установку) | Дата підключення (установки) і підписи осіб які провели підключення (установку) | Номер апаратних засобів, в які встановлені або до яких підключені ЗКЗІ | Дата вилучення (знищення) | ПІБ співробітників органу криптографічного захисту, користувача ЗКЗІ, які провели вилучення (знищення) | Примітка |
|||||||
Тахограф Меркурій ТА-001 | 19С3А00113906524 | ТОВ "Інфоцентр" | № 000 від 14.04.15 | ||||||||||||
USB-пристрій С-Терра «Пост» | 8544391000321DFA | ТОВ "Інфоцентр" | № 000 від 14.04.15 | Термінальна станція Kraftway | |||||||||||
Карта тахографа «Діамант» | RUX1234567891234 | ТОВ "Інфоцентр" | № 000 від 14.04.15 | Акт прийому-передачі від 01.01.2001 |
8. Всі передані стороннім організаціям екземпляри ЗКЗІ, експлуатаційної та технічної документації до них, ключових документів повинні бути видані за актом прийому-передачі та враховані у відповідному Журналі поекземплярного обліку ЗКЗІ, експлуатаційної та технічної документації до них, ключових документів (для органу криптографічного захисту) (п.26, Додаток до Інструкції № 152). Облік ведеться відповідальним користувачем кріптосредств.
9. Приклад внесення запису по обліку ЗКЗІ при передачі сторонній організації представлений в таблиці 2.
Таблиця 2.
№ п / п | Найменування ЗКЗІ, експлуатаційної та технічної документації до них, ключових документів | Серійні номери ЗКЗІ, експлуатаційної та технічної документації до них, номери серій ключових документів | Номери примірників (криптографічні номера) ключових документів | Відмітка про одержання | Відмітка про повернення | Дата введення в дію | Дата виведення з дії | Відмітка про знищення ЗКЗІ, ключових документів | Примітка |
|||||||
| Від кого отримано або ПІБ сотруднікаОКЗ, який виготовив Ключові документи | Дата і номер супровідного листа або дата виготовлення ключових документів і розписка в виготовленні | Кому розіслані | Дата і номер супровідного документа | Дата і номер підтвердження або розписка в отриманні | Дата і номер супровідного документа | Дата і номер підтвердження | Дата знищення | Номер акта або розписки про знищення | Примітка |
|||||||
Тахограф Меркурій ТА-001 | 19С3А00113906524 | ТОВ "Інфоцентр" | № 000 від 14.04.15 | Акт видачі / повернення обладнання / ПО / Карт 000000027 від 01.01.2001 10:04:59 | Акт видачі / повернення обладнання / ПО / Карт 000000027 від 01.01.2001 10:04:59 | |||||||||||
Штірх ККМ | ТОВ "Інфоцентр" | № 000 від 14.04.15 | ||||||||||||||
Тахограф Меркурій ТА-002 | 15С3А0078906111 | ТОВ "Інфоцентр" | № 000 від 14.04.15 |
10. Відповідальний користувач кріптосредств заводить і веде на кожного користувача ЗКЗІ, (кожну організацію, кому передається ЗКЗІ) особовий рахунок, в якому реєструє значаться за ними ЗКЗІ, експлуатаційну та технічну документацію до них, ключові документи. Рекомендована типова форма особового рахунку користувача ЗКЗІ представлена в додатку до цієї Інструкції.
11. Приклад ведення особового рахунку користувача ЗКЗІ представлений в таблиці 3.
Таблиця 3
Найменування ЗКЗІ, експлуатаційної та технічної документації до них, ключових документів | Номери примірників (криптографічні номера) ключових документів | Відповідальний виконавець | Примітка |
|||||
Тахограф Меркурій ТА-001 | 19С3А00113906524 | № 000 від 14.04.15 | Акт видачі / повернення обладнання / ПО / Карт 000000027 від 01.01.2001 10:04:59 | |||||
Штірх ККМ | № 000 від 14.04.15 | |||||||
Тахограф Меркурій ТА-002 | 15С3А0078906111 | № 000 від 14.04.15 |
12. Всі отримані, використовувані, збережені або передані ЗКЗІ, експлуатаційна і технічна документація до них, ключові документи підлягають поекземплярному обліку. Одиницею поекземплярного обліку ключових документів вважається ключовою носій багаторазового використання, ключовий блокнот. Якщо один і той же ключовий носій багаторазово використовують для запису кріптоключа, то його кожен раз слід реєструвати окремо.
Одиницями поекземплярного обліку можуть бути:
eToken (шт.) - ключовий носій;
JKarta (шт.) - ключовий носій;
Тахограф (шт.) - апаратний засіб, в яке встановлено або до яких підключені ЗКЗІ;
Блок НКМ (шт.) - апаратне ЗКЗІ;
Формуляр ЗКЗІ (прим.) - експлуатаційна або технічна документація.
13. Приклад внесення запису в Технічний (апаратний) журнал представлений в таблиці 4.
Таблиця 4
№ | Дата | Тип і реєстраційний номер ЗКЗІ | Запис по обслуговуванню | використовувані кріптоключа | Відмітка про знищення (стирання) | Примітка | ||||
Тип ключового документа | Серійний номер і екземпляр ключового документа | Номер носія кріпто- | Дата знищення | Відповідальний за знищення | ||||||
USB-пристрій С-Терра «Пост» Реєстраційний номер 2 | Зміна PIN-коду | USB-пристрій | 8544391000321DFA екземпляр 1 | |||||||
14. Облік ЗКЗІ, засобів ЕП, експлуатаційної та технічної документації, ключових документів та інформації повинен бути організований на паперових носіях або в електронному вигляді за допомогою автоматизованої інформаційної системи, яка повинна бути визначена наказом керівника організації, див. Рис. 1.
15. Передача ЗКЗІ, експлуатаційної та технічної документації до них, ключових документів допускається тільки за актом прийому-передачі та внесення запису в відповідних журналах поекземплярного обліку.
16. Відповідальним користувачем кріптосредств в організації рекомендовано призначати відповідального за забезпечення безпеки персональних даних в інформаційній системі персональних даних.
17. Ведення безпосередніх операцій з обліку ЗКЗІ, експлуатаційної та технічної документації до них, ключових документів, відповідно до функціональних обов'язків та інструкціями, покладається на адміністратора безпеки інформації або особа з відповідними функціональними обов'язками.
______________________
додаток
до Інструкції про порядок обліку видачі і передачі засобів криптографічного захисту
інформації, електронного підпису, експлуатаційно-технічної документації та ключових документів
ЛИЦЬОВОЇ РАХУНОК КОРИСТУВАЧА КРІПТОСРЕДСТВ
_____________________________________________________________________________________________
(Найменування організації або ПІБ та посада співробітника)
№ п \ п | Найменування ЗКЗІ, експлуатаційної та технічної документації до них, ключових документів | Реєстраційні номери ЗКЗІ, експлуатаційної та технічної документації до них, номери серій ключових документів | Номери примірників (криптографічні номера) ключових документів | Номер і дата супровідного документа при отриманні | Номер і дата супровідного документа при передачі | Відповідальний виконавець | Примітка |
|
___________________________
ЛИСТ ОЗНАЙОМЛЕННЯ
Засоби криптографічного захисту інформації (СКЗИ)на сьогоднішній день застосовуються практично у всіх компаніях, будь то при обміні даними з контрагентами, або при зв'язку і відправці платіжних доручень в банк, програмою банк клієнт.
Але не всі знають, що відповідно до закону ключі шифрування повинні враховуватися.
У даній статті я розповім про облік засобів криптографічного захисту інформації та приведу посилання на законні акти Російської Федерації.
Основними законами які регулює ЗКЗІ є:
Наказ ФСБ РФ від 9 лютого 2005 р N 66 "Про затвердження Положення про розробку, виробництво, реалізацію та експлуатації шифрувальних (криптографічних) засобів захисту інформації (Положення ПКЗ-2005)"
Наказ ФАПСИ від 13 червня 2001 N 152 "Про затвердження Інструкції про організацію та забезпечення безпеки зберігання, обробки і передачі по каналах зв'язку з використанням засобів криптографічного захисту інформації з обмеженим доступом, яка не містить відомостей, що становлять державну таємницю" та Додаток до наказу ФАПСИ РФ від 13 червня 2001 N 152
Якщо подивитися наказ ФСБ №66 в додатку в пункті 48, можна побачити такий зміст:
48. ЗКЗІ і їх дослідні зразки підлягають поекземплярному обліку з використанням індексів або умовних найменувань і реєстраційних номерів. Перелік індексів (умовних найменувань) і реєстраційних номерів поекземплярного обліку ЗКЗІ і їх дослідних зразків визначає ФСБ Росії.
Організація поекземплярного обліку дослідних зразків ЗКЗІ покладається на розробника ЗКЗІ.
Організація поекземплярного обліку виготовлених ЗКЗІ покладається на виробника ЗКЗІ.
Організація поекземплярного обліку використовуваних ЗКЗІ покладається на замовника ЗКЗІ.
Це означає, що навіть якщо проста компанія, яка не займається створенням і продажем засобів криптографічного захисту інформації вирішила придбати кілька USB-ключів eToken, то вони все одно повинні бути враховані і закріплені за кінцевим користувачем, тобто співробітником. Причому на цілком законних підставах перевірити облік може ФСБ, приїхавши в офіс будь-якої компанії.
Даний облік засобів криптографічного захисту інформації повинен вестися в спеціальному журналі, а ще краще в добавок і в електронному вигляді, де повинні бути врахована наступна інформація:
1. що видали
2. на чому видали
3. хто отримав
4. хто здав
5. відмітка про знищення
Враховувати треба самі електронні ключі, ключові носії, програмне забезпечення яке робить криптографічні перетворення інформації, ліцензії на право використання СКЗИ.
Таким чином ЗКЗІ для обліку слід розділити на:
ключовий носій- фізичний носій певної структури, призначений для розміщення на ньому ключової інформації (вихідної ключової інформації). Розрізняють разовий ключовий носій (таблиця, перфолента, перфокарта тощо) і ключовий носій багаторазового використання (магнітна стрічка, дискета, компакт-диск, Data Key, Smart Card, Touch Memory і т. П.).
ключовий документ- фізичний носій певної структури, що містить ключову інформацію (вихідну ключову інформацію), а при необхідності - контрольну, службову і технологічну інформацію; (По суті це носій із записаним секретним ключем)
дистрибутив ЗКЗІ- саме програмне забезпечення (наприклад КріптоПро CSP, тут слід врахувати номер дистрибутива, який можна знайти в формулярі на ЗКЗІ)
Ліцензія ЗКЗІ- сама по собі не є засобом шифрування, але її теж слід врахувати в журналі, так як були інциденти, коли компанії через це штрафували, а ще я чув випадки про порушення кримінальних справ.
До речі кажучи у багатьох виникає суперечка, в чому ж різниця між ключовим документом і ключовим носієм. Хтось дотримується думки, що ключовий документ це сам по собі ключове контейнер або ключова інформація, і в принципі це логічно, але то опис яке я навів вище, було взяти з додатка до Наказу ФАПСИ від 13 червня 2001 N 152, де чітко прописано, що це фізичний носій.
Тому особисто з моєї точки зору це слід мати на увазі, що не просто ключова інформація в електронному вигляді, а фізичний носій із записаною на нього ключовою інформацією. В принципі це не складає труднощів врахувати, так як можна в журналі вказати номер носія та ідентифікатор секретного ключа в одному пункті.
У додатку до наказом ФАПСИ РФ від 13 червня 2001 N 152, Можна знайти приклади типових журналів з обліку засобів криптографічного захисту інформації. http://base.garant.ru/183628/#block_1000
Моє і не тільки моя думка для обліку найкраще вести кілька журналів:
Журнал поекземплярного обліку дистрибутивів ЗКЗІ.
Журнал поекземплярного обліку ліцензій на право використання СКЗИ.
Журнал поекземплярного обліку ключових документів ЗКЗІ.
Журнал поекземплярного обліку апаратних ключових носіїв ЗКЗІ.
У журналі поекземплярного обліку дистрибутивів засобів криптографічного захисту інформації, ЗКЗІ враховуються за номерами дистрибутивів, записаних в формулярі на виріб.
У журналі поекземплярного обліку ліцензій на право використання засобів криптографічного захисту інформації, ЗКЗІ враховуються за серійними номерами ліцензій.
У журналі поекземплярного обліку ключових документів засобів криптографічного захисту інформації, ЗКЗІ враховуються за номерами токенов (а вони надруковані на кожному токені) або за номерами дискет / флешок (серійним номерам томів, які можна побачити по команді DIR), так само в цьому журналі прописується ім'я крипто-контейнера або серійний номер ключа.
У журналі поекземплярного обліку апаратних ключових носіїв засобів криптографічного захисту інформації, ЗКЗІ враховуються за номерами токенов (а вони надруковані на кожному токені). Даний журнал доцільно використовувати, чисто по зберігаються токені, які надійшли на склад, але нікому не видаються і не містять ключової інформації, або були передані, але без ключової інформації.
З метою спрощення обліку, при отриманні великої кількості ЗКЗІ, слід запросити облікову інформацію в електронному вигляді, у постачальника або криптографічного органу, що б не передруковувати ці серійні номери вручну.
Приклади журналів обліку ЗКЗІ, можна знайти в кінці додатку до наказу ФАПСИ РФ від 13 червня 2001 N 152.
кількість:
Ціна: 35
Знижка:%?
У нас діє система знижок
бери більше - плати менше
при замовленні від 50 шт. - знижка 5%
при замовленні від 100 шт. - знижка 10%
при замовленні від 300 шт. - знижка 15%
при замовленні від 500 шт. - знижка 20%
при замовленні від 1000 шт. - знижка 25%
сума:
включаючи ПДВ 20%
X
Ви знову замовили тонкий журнал.
Можливо, Вам потрібен журнал з великою кількістю сторінок і іншими характеристиками.
просимо скористатисякалькулятором