Привет из прошлого: кто, что и зачем пишет в журнале учета СКЗИ

    Скорее всего, вы знаете, что учет СКЗИ регламентирован «Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащих сведений, составляющих государственную тайну». Этот документ невиданной силы утвержден приказом Федерального агентства правительственной связи и информации при президенте Российской Федерации (ФАПСИ) от 13.06.2001 № 152.  

    Тогда, 20 лет назад, сертифицированные СКЗИ применялись крайне редко, а большинство организаций не имели такой разрозненной и распределенной по всей стране ИТ-инфраструктуры. В итоге инструкция, например, до сих пор не предусматривает возможность удаленной передачи ключей шифрования, а журнал учета требуется хранить в отдельном помещении. Вести учет в электронном виде можно, но только с применением квалифицированной ЭП (учет СКЗИ в электронном виде – это тема для отдельной статьи, и об этом мы поговорим следующий раз), либо сопровождать каждое действие соответствующими актами.

    Кстати, само ФАПСИ было расформировано в 2003 году. Его функции были распределены между ФСО, ФСБ, СВР и Службой специальной связи и информации при ФСО. Но написанный агентством документ не утратил силы.

    Кто и как ведет учет

    Если организация является обладателем конфиденциальной информации, то ей, скорее всего, требуется обеспечить безопасную передачу, обработку и хранение этой информации с помощью СКЗИ. К слову, к последним инструкция относит как сами программные или аппаратно-программные средства, так и информацию, необходимую для их работы, ключи, техническую документацию.

    Организует и контролирует все работы с СКЗИ орган криптографической защиты (ОКЗ). Это может быть как структурное подразделение (или конкретный сотрудник) внутри организации (обладателе конфиденциальной информации), так и внешний подрядчик (например, сервис-провайдер).

    В первом случае организация должна издать приказ о создании ОКЗ, определить его структуру и обязанности сотрудников. Например:

    • начальник отдела занимается организацией и совершенствованием системы управления работой своих сотрудников;

    •   администратор безопасности обеспечивает сохранность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники.

    Все работники, которые занимаются установкой и настройкой СКЗИ и в принципе имеют к ним доступ, должны быть внесены в приказ и ознакомлены с ним. Для каждой должности нужно разработать должностную инструкцию и ознакомить пользователей с порядком применения СКЗИ.

    В итоге перечень необходимых документов состоит из: 

    • приказа о создании ОКЗ;

    • должностных инструкций;

    • утвержденных форм журналов учета;

    • шаблонов заявлений, актов;

    • инструкции для пользователей по работе с СКЗИ.

    Мы помним, что по всем СКЗИ должен вестись поэкземплярный учет, а их движение (формирование, выдача, установка, передача, уничтожение) должно быть документально подтверждено. Для этого и обладатель конфиденциальной информации, и орган криптографической защиты должны вести журналы (каждый свой) поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.

    Но если орган криптографической защиты информации – это структурное подразделение организации, на его плечи ложится ведение обоих журналов. Дело в том, что в этом случае организация не только является обладателем конфиденциальной информации, но и выполняет часть функций ОКЗ. Например, крупные холдинги, как правило, выделяют в своем составе ИТ-компанию, которая в том числе отвечает за информационную безопасность с использованием СКЗИ. Она ведет все журналы и сопутствующую документацию и является для своего холдинга поставщиком услуг.

    Если услуги оказывает сервис-провайдер, то он заполняет журнал учета для органа криптографической защиты, а организация – журнал для обладателя конфиденциальной информации.

    Вы еще тут? Надеемся, не запутались!

    Журналы учета хранятся в течение 5 лет. Сами СКЗИ и документация к ним должны находиться за семью замками в специальном помещении, а доступ туда могут иметь только сотрудники ОКЗ.

    Операции с СКЗИ: взятие на учет

    Рассмотрим порядок учета на конкретном примере (данные в таблицах ниже вымышленные все совпадения случайны).  Организация N – обладатель конфиденциальной информации – хочет использовать СКЗИ компании «КриптоПро». При этом организация N не готова создавать у себя ОКЗ и обращается к сервис-провайдеру, который будет предоставлять ей соответствующие услуги. Итак, для начала вендор ПАК должен предоставить организации N исходные данные для учета. Выглядит это так:

    Предмет

    Данные

    с/н лицензии СКЗИ

    Сопроводительное письмо

    т/н № 44313 от 22.02.2020

    -

    Формуляр СКЗИ «КриптоПро CSP» версии 4.2

    ЖТЯИ.00002-02 30 10

    -

    Диск CD-ROM с дистрибутивом СКЗИ

    Инв.№ 5421

    34DR-4231-4123-0003-1200

    HR9J-EEWR-45W3-VL4Q-842Q

    4454-NG96-8421-6401-WQRG

    В 1–6 графы журнала поэкземплярного учета должна попасть информация о:

    • диске с дистрибутивом;

    • формуляре;

    • серийном номере лицензии на СКЗИ.

    После заполнения всех этих данных СКЗИ выдаются пользователям, то есть тем работникам в организации, для которых они закупались. Это может быть как сотрудник бухгалтерии, который применяет ЭП для подписания и отправки документов, так и другой ответственный специалист, взявший на себя обязательства по сохранности СЗКИ.

    На этом этапе заполняются 7 и 8 графы журнала (кому и когда выдается СКЗИ – с обязательной росписью пользователя). Если возможности расписаться в журнале нет, то можно заполнить акт передачи, где в свободной форме указывается, кто (администратор безопасности) и кому (пользователю) передает СКЗИ. При этом обе стороны расписываются, а номер акта вносится в 8 графу («Дата и номер сопроводительного письма»).

    В 9 графу записывается имя сотрудника, производившего установку СКЗИ. Чаще всего это делает специалист технической поддержки, который также является администратором безопасности. Но это может быть и пользователь, если он обладает соответствующими навыками и правами доступа в сеть.  В 11 графе указывается серийный номер материнской платы или номер опечатывающей пломбы системного блока.

    Если сотрудник, который производил установку, уволился, то СКЗИ нужно изъять и составить акт, в котором указывается предмет и способ изъятия (например, удаление ключевой информации с носителя). Все это фиксируются в 12, 13, 14 графах.

    При уничтожении СКЗИ также составляется соответствующий акт. В нем должны быть указаны предмет и способ уничтожения. Программные СКЗИ стирают с носителя ключевой информации (чистка реестра), а ПО деинсталлируют. С аппаратных СКЗИ можно удалить ключевую информацию либо уничтожить их физически. 

    Ниже пример журнала, заполненного организацией – обладателем конфиденциальной информации. ООО «Компания» – это сервис-провайдер, который выполняет функции органа криптографической защиты для организации.

    Заглянуть в журнал учета
    Журнал поэкземплярного учета СКЗИ для обладателя конфиденциальной информации
    Журнал поэкземплярного учета СКЗИ для обладателя конфиденциальной информации

    Журнал учета СКЗИ для органа криптографической защиты во многих пунктах перекликается с аналогичным документом для организации и заполняется по такому же принципу, поэтому не будем подробно останавливаться на его разборе. В примере ниже ООО «Организация» – это обладатель конфиденциальной информации, который воспользовался услугами сервис-провайдера.

    Заглянуть в журнал еще раз
    Журнал поэкземплярного учета СКЗИ для органа криптографической защиты
    Журнал поэкземплярного учета СКЗИ для органа криптографической защиты

    Что в итоге?

    Сложно не согласиться с тем, что все эти требования уже давно морально устарели и Инструкция нуждается в актуальных корректировках, но пока мы вынуждены выполнять требования ее текущей редакции. Обратите внимание, что для ведения журнала поэкземплярного учета СКЗИ в электронном виде требуется подписывать документы только квалифицированной ЭП либо сопровождать каждое действие соответствующими актами. Если же речь идет о физическом документе, то все данные и подписи должны быть внесены в него всеми ответственными лично.

    Безусловно, учет СКЗИ – это только один из множества обязательных к исполнению процессов, описанных в документе. В будущем мы постараемся подробно описать процесс опломбирования СКЗИ, технологию их уничтожения и многое другое.

    Надеемся, эта памятка была для вас полезной.

    Автор: Никита Никиточкин, администратор реестра СКЗИ Solar JSOC «Ростелеком-Солар»

    Ростелеком-Солар
    Безопасность по имени Солнце

    Comments 18

      0
      В пункте 3 Приказа ФАПСИ от 13 июня 2001 г. N 152 написано:
      Безопасность хранения и обработки с использованием СКЗИ конфиденциальной информации, передаваемой вне сетей конфиденциальной связи, организуют и обеспечивают лица, имеющие лицензию ФАПСИ.

      Подскажите, есть ли нормативный документ, определяющий правоприемственность ФСБ перед ФАПСИ по данному вопросу, а главное документ, в котором бы лицензии ФАПСИ (не думаю, что сейчас остались действующие) приравнивались к лицензиям ФСБ в части качающейся.
        +1
        Нет приказа, который бы отменил указанный выше приказ ФАПСИ, он остается актуален и по сей день. Сейчас в области обеспечения безопасности персональных данных действует несколько нормативно-методических документов ФСБ России. www.fsb.ru/fsb/science/single.htm%21id%3D10437725%40fsbResearchart.html

        При этом согласно указу президента от 11 марта 2003 года № 308 все обязанности ФАПСИ были распределены между несколькими службами, включая ФСБ. Поэтому лицензия ФСБ фактически заменяет лицензию ФАПСИ.
          0
          К сожалению вы не ответили на мой вопрос. Это всё и так можно прочитать.
          Какой документ однозначно определяет, что лицензия, выданная ФАПСИ = лицензии ФСБ?
            0
            Документа, который бы прямо говорил, что лицензия, выданная ФАПСИ, = лицензии ФСБ, нет. Но, повторимся, что все обязанности ФАПСИ в области криптографической защиты информации переданы ФСБ России. Лицензированием деятельности, связанной с СКЗИ, также сейчас занимается ФСБ. При этом сама ФСБ ссылается на Инструкцию ФАПСИ в части учета СКЗИ – в этом и заключается парадокс ситуации и проблематика устаревшей инструкции. Очевидно, что сейчас вопрос с лицензиями решается скорее «по умолчанию» (ФАПСИ=ФСБ)
              0
              Спасибо, мои мысли подтвердились. Если посмотреть на виды деятельности, которые выдавались в лицензии ФАПСИ и какие сейчас выдаются в лицензии ФСБ, то они не стыкуются.
              Мало того, что инструкция устарела, так ещё нет однозначности, а просто ссылки к старому документу.
        0

        И ещё интересно определение конфединциальной информации ( кому все эти вилы из инструкции в итоге нужны, а кому нет).

          0
          Да помню как надо было регаться в какойто системе
          ЭЦП гендиректора была у кого-то сотрудника, который ее сам и получил тоже для работы.
          Сходил к нему, взял ключ, скопировал себе, отдал обратно.
            0
            Вопрос для обсуждения: нужно ли заносить в журнал поэкземплярного учета ПАК типа Континента или Vipnet HW?
              +1
              Нужно, ведь с ПАК идет сертификат соответствия, и по факту вы приобретаете СКЗИ.
              0

              Задачи, достойные Ростелекома.


              Алсо:
              СКЗИ — коммит 97323587a534369e19d7083aa81c1e2f1a134dee. Выдан git@git.internal Wed Dec 30 17:10:38 2020 +0200 по адресу /projects/foo.git

                0
                Серийник не забыли подтереть?
                  0
                  Все указанные в посте данные вымышленные. Имена, номера лицензий и т.п. только для примера, а все совпадения, как говорится, случайны.
                  0
                  А в чём моральное устаревание учёта?
                  ЗЫ: вы как то тактично забыли про журнал учёта ключевых носителей, ( а в конце статьи смешали удаление СКЗИ с АРМ с удалением ключевой информации с ключевого носителя) с которым намного интереснее, либо я упустил. Так же упустили другие требования к АРМ с СКЗИ, которые тоже должны отражаться в журнале, правда в другом (третьем).
                    0
                    Мы не про моральное устаревание учета, а про устаревание требований к его ведению.

                    Действительно, журналом учета СКЗИ все не ограничивается. Есть еще типовая форма технического (аппаратного) журнала, в котором как раз ведется учет АРМ с СКЗИ. В нем отмечаются все действия, проводимые с СКЗИ (например, обновление). Там тоже есть свои особенности, но как мы написали выше, все, что нужно делать с СКЗИ в одном посте не уместишь.
                    А вот журнала ключевых носителей в инструкциях ФАПСИ (ФСБ) нет, поэтому каждая организация может вести его по своему усмотрению.
                    0
                    А что писать в журнале, если СКЗИ скачано с сайта производителя?
                      +1
                      Дистрибутив с СКЗИ надо проверить на целостность контрольной суммы. Вместе с дистрибутивами СКЗИ на странице загрузки размещаются контрольные суммы установочных модулей и документации. Контрольные суммы рассчитываются в соответствии с ГОСТ Р 34.11 94 с учётом RFC 4357, а также md5.
                      Установка СКЗИ на рабочее место осуществляется только в случае подтверждения целостности полученных установочных модулей СКЗИ и эксплуатационной документации.
                      Проверка должна быть осуществлена с помощью утилиты cpverify.exe, входящей в состав СКЗИ «КриптоПро CSP» cpverify -mk , либо иным другим сертифицированным ФСБ шифровальным (криптографическим) средством, реализующим ГОСТ Р 34.11-94.
                      После дистрибутив можно записать на диск и учесть его, как эталонный экземпляр.

                      А если имеется в виду, что пользователь сам взял, скачал и установил, то это, конечно, должно расцениваться, как инцидент ИБ. Но обычно в комплекте с СКЗИ всегда идет дистрибутив.
                        0
                        К сожалению он, дистрибутив, обычно идет за отдельную стоимость. Причем не малую.
                      0
                      Довольно долго занимался практическим учетом СКЗИ и криптоключей. На самом деле вещь полезная, довольно неплохо повышает внутреннюю дисциплину в компании, а соответственно и безопасность.

                      На самом деле если автоматизировать процесс, то все становится очень быстрым и простым.
                      Бесплатные системы учета и автоматизации этого процесса доступны в Интернете.

                      Хотя конечно Приказ ФАПСИ 152 сильно устарел. Он покрывает все особенности современной криптографии. Например, передачу ключей без носителей (когда вы скидываете *.pfx вашему хостинг провайдеру для организации HTTPS) вашего корпоративного сайта, разделение ключей, работа с сертификатами и многое другое.

                      Only users with full accounts can post comments. Log in, please.