Використання цифрових сертифікатівта ключових носіїв для багатьох компаній є обов'язковою практикою. Вони застосовуються як для внутрішніх цілей - захисту електронної пошти, внутрішній документообіг, автентифікація користувачів, так для спілкування з сторонніми організаціями під час роботи на торгових майданчиках, у ДПВ та для формування кваліфікованої електронної цифровий підпис(ЕЦП). Сертифікати електронних ключів можуть випускатися як на власних центрах компанії, що засвідчують, так і в сторонніх акредитованих організаціях. Управління розрізненою популяцією ключових носіїв стає складним завданням, вирішити яку покликані спеціалізовані системи. Indeed Certificate Manager пропонує централізоване та ефективне вирішення цього завдання.
Опис завдання
У загальному виглядіможна сформулювати такі завдання керування носіями та сертифікатами:
- Контролювання використання сертифікатів та ключових носіїв співробітниками компанії
- Врахування сторонніх сертифікатів, що випускаються зовнішніми УЦ для роботи в ДБО, торгових майданчиках, ЄДАІС та ін.
- Ведення електронного журналу обліку СКЗІ
Рішення
Для вирішення всіх зазначених завдань у Indeed Certificate Manager реалізовано відповідні функції.
Контроль використання сертифікатів та ключових носіїв
Для вирішення завдання контролю використання смарт-карт, токенів та сертифікатів у Indeed CM реалізовано спеціалізований модуль – клієнтський агент Indeed CM. Агент встановлюється на ПК користувачів та дозволяє віддалено виконувати ряд операцій:
- Передавати на сервер Indeed CM інформацію про ключові носії, що використовуються - до якого ПК в даний момент підключені токени і який користувач працює на ПК
- Блокувати сесію Windows або ключовий носій у разі порушення правил використання. Наприклад, смарт-карта СКЗІ(токен) може бути прив'язана до облікового запису користувача або ПК; якщо поточний користувач або ПК не збігаються з призначеними, агент може заблокувати смарт-картку
- Зміна PIN-коду на вимогу адміністратора
- Блокування носія на вимогу адміністратора
- Оновлення сертифікатів на носії
- Видалення інформації з ключового носія
Таким чином, агент дозволяє адміністраторам вести аудит використання смарт-карток та токенів та віддалено виконувати операції з ключовими носіями на ПК користувача. Також агент може запобігати несанкціонованому використанню носіїв.
Додатково до агента Indeed CM може відстежувати стан облікового запису користувача в каталозі Active Directoryта зупиняти дію сертифікатів користувачів, чиї облікові записибули відключені. Це дозволяє припинити можливість використання сертифікатів на період відпустки чи звільнення працівника.
Облік сторонніх сертифікатів
Інформація про вже записані на носій сертифікати зчитується в момент закріплення носія за користувачем та відображається у його профілі. При наближенні закінчення терміну дії таких сертифікатів система повідомить користувача та/або адміністратора про необхідність оновлення сертифіката.
Ведення електронного журналу СКЗІ
Для виконання вимог регуляторів організації може знадобитися вести журнал обліку СКЗІ. Indeed CM дозволяє вести такий журнал у електронному вигляді. Під час випуску сертифікатів до журналу автоматично додаватимуться нові СКЗІ. Також адміністратор може вручну додати додаткові СКЗІ різних типів, включаючи власні, що не входять до стандартного набору. Перегляд журналу доступний в інтерфейсі адміністратора Indeed CM, журнал можна експортувати в окремий документ, формат якого налаштовується під вимоги організації.
Нижче наведено загальна схемарішення.
До складу Indeed Certificate Manager входять такі основні компоненти:
Indeed CM Server- Основний компонент інфраструктури Indeed CM. Є ASP.Net додаток, що працює на сервері Internet Information Services (IIS). Indeed CM Server забезпечує централізоване управління користувачами системи, репозиторієм карток, журналом СКЗІ та політиками безпеки. Також Indeed CM Server забезпечує отримання інформації від агентів та виконання операцій розблокування смарт-карт та журналування подій.
Журнал подій- Сховище подій Indeed CM. У журналі фіксуються всі події, пов'язані з життєвим циклом смарт-карток та зміною параметрів системи. Перегляд журналу доступний в інтерфейсі консолі адміністратора Indeed CM, там же можлива побудова звітів за різними критеріями.
Журнал СКЗІ- електронний журнал обліку засобів криптографічного захисту інформації. Журнал дозволяє виконати вимоги регуляторів щодо обліку СКЗІ. Перегляд журналу доступний в інтерфейсі консолі адміністратора Indeed CM.
Реєстр ключових носіївмістить інформацію щодо всіх зареєстрованих у системі пристроїв. Перегляд реєстру доступний в інтерфейсі консолі адміністратора Indeed CM.
Агент Indeed CM- клієнтський компонент, що реалізує функції контролю та моніторингу використання ключових носіїв. Також агент забезпечує віддалене виконання операцій зі смарт-картами та токенами: блокування, зміна PIN, оновлення сертифікатів ключа електронного підписута ін.
Кількість:
Ціна: 35
Знижка: %?
У нас діє система знижок
бери більше - плати менше
на замовлення від 50 шт. - знижка 5%
при замовленні від 100 шт. - знижка 10%
на замовлення від 300 шт. - знижка 15%
на замовлення від 500 шт. - знижка 20%
при замовленні від 1000 шт. - знижка 25%
Сума:
включаючи ПДВ 20%
X
Ви знову замовили тонкий журнал.
Можливо, Вам потрібен журнал із великою кількістю сторінок та іншими характеристиками.
Просимо скористатисякалькулятором
Засоби криптографічного захисту інформації (СКЗД)на сьогоднішній день застосовуються практично у всіх компаніях, чи то при обміні даними з контрагентами, чи при зв'язку та відправці платіжних доручень до банку, програмою банк клієнт.
Але не всі знають, що згідно із законом ключі шифрування мають враховуватися.
У цій статті я розповім про облік засобів криптографічного захисту інформації та наведу посилання на законні акти Російської Федерації.
Основними законами, які регулює СКЗІ, є:
Наказ ФСБ РФ від 9 лютого 2005 р. N 66 "Про затвердження Положення про розробку, виробництво, реалізацію та експлуатацію шифрувальних (криптографічних) засобів захисту інформації (Положення ПКЗ-2005)"
Наказ ФАПСІ від 13 червня 2001 р. N 152 "Про затвердження Інструкції про організацію та забезпечення безпеки зберігання, обробки та передачі каналами зв'язку з використанням засобів криптографічного захисту інформації з обмеженим доступом, що не містить відомостей, що становлять державну таємницюі Додаток до наказу ФАПСІ РФ від 13 червня 2001 р. N 152
Якщо подивитися наказ ФСБ №66 у додатку до пункту 48, можна побачити такий зміст:
48. СКЗІ та їх дослідні зразки підлягають поекземплярному обліку з використанням індексів або умовних найменувань та реєстраційних номерів. Перелік індексів (умовних найменувань) та реєстраційних номерів поекземплярного обліку СКЗІ та їх дослідних зразків визначає ФСБ Росії.
Організація поекземплярного обліку досвідчених зразків СКЗІ доручається розробника СКЗИ.
Організація поекземплярного обліку виготовлених СКЗІ покладається на виробника СКЗІ.
Організація поекземплярного обліку СКЗІ покладається на замовника СКЗІ.
Це означає, що навіть якщо проста компанія, яка не займається створенням та продажем засобів криптографічного захисту інформації, вирішила придбати кілька USB-ключів eToken, то вони все одно повинні бути враховані і закріплені за кінцевим користувачем, тобто співробітником. Причому на цілком законних підставах перевірити облік може ФСБ, приїхавши до офісу будь-якої компанії.
Даний облік засобів криптографічного захисту інформації повинен вестись у спеціальному журналі, а ще краще на додаток та в електронному вигляді, де мають бути враховані такі дані:
1. що видали
2. на чому видали
3. хто отримав
4. хто здав
5. відмітка про знищення
Враховувати слід самі електронні ключі, ключові носії, програмне забезпеченняяке робить криптографічні перетворенняінформації, ліцензії на право використання СКЗІ.
Таким чином, СКЗІ для обліку слід розділити на:
Ключовий носій- фізичний носій певної структури, призначений розміщувати у ньому ключової інформації (початкової ключової інформації). Розрізняють разовий ключовий носій (таблиця, перфострічка, перфокарта тощо) та ключовий носій багаторазового використання (магнітна стрічка, дискета, компакт-диск, Data Key, Smart Card, Touch Memory тощо).
Ключовий документ- фізичний носій певної структури, що містить ключову інформацію (вихідну ключову інформацію), а за необхідності – контрольну, службову та технологічну інформацію; (по суті це носій із записаним секретним ключем)
Дистрибутив СКЗІ- саме програмне забезпечення (наприклад КриптоПро CSPтут слід врахувати номер дистрибутива, який можна знайти у формулярі на СКЗІ)
Ліцензія СКЗІ— сама по собі не є засобом шифрування, але її теж слід врахувати в журналі, оскільки були інциденти, коли компанії через це штрафували, а ще я чув випадки про порушення кримінальних справ.
До речі, у багатьох виникає суперечка, в чому ж різниця між ключовим документом і ключовим носієм. Хтось дотримується думки, що ключовий документ це сам собою ключовий контейнерабо ключова інформація, і в принципі це логічно, але той опис, який я навів вище, було взяти із додатка до Наказу ФАПСІ від 13 червня 2001 р. N 152, де чітко прописано, що це фізичний носій.
Тому особисто на мій погляд це слід мати на увазі, як не просто ключова інформація в електронному вигляді, а фізичний носій із записаною на нього ключовою інформацією. У принципі це не важко врахувати, оскільки можна в журналі вказати номер носія та ідентифікатор секретного ключа в одному пункті.
У додатку до наказом ФАПСІ РФ від 13 червня 2001 р. N 152, можна знайти приклади типових журналів з обліку засобів криптографічного захисту інформації http://base.garant.ru/183628/#block_1000
Моя і не тільки моя думка для обліку найкраще вести кілька журналів:
Журнал поекземплярного обліку дистрибутивів СКЗД.
Журнал поекземплярного обліку ліцензій право використання СКЗИ.
Журнал поекземплярного обліку ключових документів СКЗД.
Журнал поекземплярного обліку апаратних ключових носіїв СКЗД.
У журналі поекземплярного обліку дистрибутивів засобів криптографічного захисту інформаціїСКЗІ враховуються за номерами дистрибутивів, записаних у формулярі на виріб.
У журналі поекземплярного обліку ліцензій на право використання засобів криптографічного захисту інформації СКЗІ враховуються за серійними номерами ліцензій.
У журналі поекземплярного обліку ключових документів засобів криптографічного захисту інформації, СКЗІ враховуються за номерами токенів (а вони надруковані на кожному токені) або за номерами дискет/флешок (серійними номерами томів, які можна побачити за командою DIR), також у цьому журналі прописується ім'я крипто-контейнера або серійний номер ключа.
У журналі поекземплярного обліку апаратних ключових носіїв засобів криптографічного захисту інформації СКЗІ враховуються за номерами токенів (а вони надруковані на кожному токені). Цей журнал доцільно використовувати, чисто по токенам, що надійшли на склад, але нікому не видаються і не містять ключової інформації, або були передані, але без ключової інформації.
З метою спрощення обліку при отриманні великої кількості СКЗІ слід запитати облікову інформацію в електронному вигляді, у постачальника або криптографічного органу, щоб не передруковувати ці серійні номери вручну.
Приклади журналів обліку СКЗІ можна знайти наприкінці додатку до наказу ФАПСІ РФ від 13 червня 2001 р. N 152.
Інструкція
про порядок обліку, видачі та передачі засобів криптографічного захисту
інформації, електронного підпису, експлуатаційно-технічного
документації та ключових документів
1. Облік засобів криптографічного захисту інформації (СКЗІ), експлуатаційно- технічної документаціїна СКЗІ, ключових документів та ЕП організується відповідно до вимог «Інструкції про організацію та забезпечення безпеки зберігання, обробки та передачі каналами зв'язку з використанням засобів криптографічного захисту інформації з обмеженим доступом, що не містять відомостей, що становлять державну таємницю», затвердженої наказом Федерального агентстваурядового зв'язку та інформації (ФАПСІ) за Президента Російської Федерації від 01.01.2001 № 152 (далі – Інструкція № 152), Правилами використання СКЗІ, затвердженими розробником СКЗІ.
2. Доставка СКЗІ в організацію повинна здійснюватися фельд'єгерським зв'язком (спецзв'язок), або безпосередньо співробітником самої організації, в такому ж порядку повинна здійснюватись передача СКЗІ кінцевому користувачеві, згідно з п.32 Інструкції № 000.
3. Порядок упаковки СКЗІ має відповідати вимогам п.33, п.34 Інструкції №000.
4. Передача СКЗІ оформляється актами приймання-передачі або підтверджується супровідними відвантажувальними документами.
5. При передачі СКЗІ уповноваженим нарочним, нарочный розписується в актах приймання-передачі СКЗІ, дата та номер акта заносяться до відповідних журналів обліку.
6. Поекземплярний облік СКЗІ, що надходять від розробників, виробників та постачальників СКЗІ, необхідно вести в Журналі поекземплярного обліку СКЗІ, експлуатаційної та технічної документації до них, ключових документів (для власника конфіденційної інформації) (п.26, Додаток Інструкції №000). Облік ведеться відповідальним користувачем криптосредств.
7. Приклад внесення запису до Журналу поекземплярного обліку СКЗІ, експлуатаційної та технічної документації до них, ключових документів (для власника конфіденційної інформації) наведено в таблиці 1.
Таблиця 1.
№ п/п | Відмітка про отримання | Відмітка про видачу | Позначка про підключення (встановлення) СКЗІ | Відмітка про вилучення СКЗІ з апаратних засобів, знищення ключових документів | Примітка |
||||||||||
| Від кого отримано | Дата та номер супровідного листа | ПІБ користувача СКЗІ | ПІБ співробітників органу криптографічного захисту, користувача СКЗІ, які здійснили підключення (установку) | Дата підключення (установки) та підписи осіб, що здійснили підключення (установку) | Номер апаратних засобів, до яких встановлені або до яких підключені СКЗІ | Дата вилучення (знищення) | ПІБ співробітників органу криптографічного захисту, користувача СКЗІ, які здійснили вилучення (знищення) | Примітка |
|||||||
Тахограф Меркурій ТА-001 | 19С3А00113906524 | ТОВ "Інфоцентр" | №000 від 14.04.15 | ||||||||||||
USB-пристрій С-Терра «Пост» | 8544391000321DFA | ТОВ "Інфоцентр" | №000 від 14.04.15 | Термінальна станція Kraftway | |||||||||||
Карта тахографа «Діамант» | RUX1234567891234 | ТОВ "Інфоцентр" | №000 від 14.04.15 | Акт приймання-передачі від 01.01.2001 |
8. Усі передані стороннім організаціям екземпляри СКЗІ, експлуатаційної та технічної документації до них, ключових документів повинні бути видані за актом приймання-передачі та враховані у відповідному Журналі поекземплярного обліку СКЗІ, експлуатаційної та технічної документації до них, ключових документів (для органу (П.26, Додаток до Інструкції № 152). Облік ведеться відповідальним користувачем криптосредств.
9. Приклад внесення запису з обліку СКЗІ під час передачі сторонньої організації представлено таблиці 2.
Таблиця 2.
№ п/п | Найменування СКЗІ, експлуатаційної та технічної документації до них, ключових документів | Серійні номери СКЗІ, експлуатаційної та технічної документації до них, номери серій ключових документів | Номери екземплярів (криптографічні номери) ключових документів | Відмітка про отримання | Відмітка про повернення | Дата введення в дію | Дата виведення з дії | Відмітка про знищення СКЗІ, ключових документів | Примітка |
|||||||
| Від кого отримано або ПІБ співробітника ОКЗ, який виготовив ключові документи | Дата та номер супровідного листа або дата виготовлення ключових документів та розписка у виготовленні | Кому розіслані | Дата та номер супровідного документа | Дата та номер підтвердження або розписка в отриманні | Дата та номер супровідного документа | Дата та номер підтвердження | Дата знищення | Номер акта чи розписки про знищення | Примітка |
|||||||
Тахограф Меркурій ТА-001 | 19С3А00113906524 | ТОВ "Інфоцентр" | №000 від 14.04.15 | Акт видачі/повернення обладнання/ПЗ/Карт 000000027 від 01.01.2001 10:04:59 | Акт видачі/повернення обладнання/ПЗ/Карт 000000027 від 01.01.2001 10:04:59 | |||||||||||
Штірх ККМ | ТОВ "Інфоцентр" | №000 від 14.04.15 | ||||||||||||||
Тахограф Меркурій ТА-002 | 15С3А0078906111 | ТОВ "Інфоцентр" | №000 від 14.04.15 |
10. Відповідальний користувач криптосредств заводить і веде на кожного користувача СКЗІ, (кожну організацію, кому передається СКЗІ) особовий рахунок, в якому реєструє СКЗІ, що числяться за ними, експлуатаційну і технічну документацію до них, ключові документи. Типова форма особового рахунку користувача СКЗІ, що рекомендується, представлена в додатку до цієї Інструкції.
11. Приклад ведення особового рахунку користувача СКЗД представлений у таблиці 3.
Таблиця 3
Найменування СКЗІ, експлуатаційної та технічної документації до них, ключових документів | Номери екземплярів (криптографічні номери) ключових документів | Відповідальний виконавець | Примітка |
|||||
Тахограф Меркурій ТА-001 | 19С3А00113906524 | №000 від 14.04.15 | Акт видачі/повернення обладнання/ПЗ/Карт 000000027 від 01.01.2001 10:04:59 | |||||
Штірх ККМ | №000 від 14.04.15 | |||||||
Тахограф Меркурій ТА-002 | 15С3А0078906111 | №000 від 14.04.15 |
12. Усі отримані, використовувані, що зберігаються або передаються СКЗІ, експлуатаційна та технічна документація до них, ключові документи підлягають поекземплярному обліку. Одиницею поекземплярного обліку ключових документів вважається ключовий носій багаторазового використання, ключовий блокнот. Якщо той самий ключовий носій багаторазово використовують із запису криптоключей, його щоразу слід реєструвати окремо.
Одиницями поекземплярного обліку можуть бути:
eToken (шт.) – ключовий носій;
JKarta (шт.) – ключовий носій;
Тахограф (шт.) - апаратний засіб, у який встановлені або до яких підключені СКЗІ;
Блок НКМ (шт.) - Апаратне СКЗІ;
Формуляр СКЗІ (екз.) - Експлуатаційна або технічна документація.
13. Приклад внесення запису до Технічного (апаратного) журналу наведено в таблиці 4.
Таблиця 4
№ | Дата | Тип та реєстраційний номер СКЗІ | Запис з обслуговування | Використовувані кріптоключі | Позначка про знищення (прання) | Примітка | ||||
Тип ключового документа | Серійний номер та екземпляр ключового документа | Номер носія крипто- | Дата знищення | Відповідальний за знищення | ||||||
USB-пристрій С-Терра «Пост» Реєстраційний номер 2 | Зміна PIN-коду | USB-пристрій | 8544391000321DFA екземпляр 1 | |||||||
14. Облік СКЗІ, засобів ЕП, експлуатаційної та технічної документації, ключових документів та інформації повинен бути організований на паперових носіях або в електронному вигляді за допомогою автоматизованої інформаційної системи, яка має бути визначена наказом керівника організації, див. рис. 1.
15. Передача СКЗІ, експлуатаційної та технічної документації до них, ключових документів допускається лише за актом приймання-передачі та внесення запису у відповідних журналах поекземплярного обліку.
16. Відповідальним користувачем криптосредств в організації рекомендовано призначати відповідального за безпеку персональних даних в інформаційній системі персональних даних.
17. Ведення безпосередніх операцій з обліку СКЗІ, експлуатаційної та технічної документації до них, ключових документів відповідно до функціональних обов'язків та інструкцій покладається на адміністратора безпеки інформації або особу з відповідними функціональними обов'язками.
______________________
додаток
до Інструкції про порядок обліку видачі та передачі засобів криптографічного захисту
інформації, електронного підпису, експлуатаційно-технічної документації та ключових документів
ОБЛИЧНИЙ РАХУНОК КОРИСТУВАЧА КРИПТОЗАКОВ
_____________________________________________________________________________________________
(найменування організації або ПІБ та посада співробітника)
№п\п | Найменування СКЗІ, експлуатаційної та технічної документації до них, ключових документів | Реєстраційні номери СКЗІ, експлуатаційної та технічної документації до них, номери серій ключових документів | Номери екземплярів (криптографічні номери) ключових документів | Номер та дата супровідного документа при отриманні | Номер та дата супровідного документа під час передачі | Відповідальний виконавець | Примітка |
|
___________________________
ЛИСТ ОЗНАЙОМЛЕННЯ
Ця стаття буде цікавою як фахівцям, які мають тривалий досвід в ІБ, так і людям, які були поставлені перед фактом або звалили на себе тягар відповідальності за проведення робіт із захисту.
Перевірка в окремо взятій організації
Вступ
Вихідні дані: Повна відсутність проведених робіт із захисту ПДН, у тому числі з використанням СКЗІ. Невелика мережа на 40 АРМ. Нічого надприродного щодо ІСПДн та іншого інформаційного взаємодії. Усі як у всіх. Є бухгалтерія, відділ кадрів, адміністрація та кілька відділів за профілем організації.
Глава перша. Документи з ПДН
Комісія звертає увагу на опис інформаційних систем: на підставі чого створено, що обробляється (категорії ПДн) та з якою метою, структура систем та призначення підсистем.
Але головний документ, по якому вони дуже багато працювали це Перелік ІВ (по ПП211). Мені доводилося бачити цей документ, в якому, крім шапки організації та підпису начальника, було всього 2 рядки: ІСПДн «Бухгалтерія», ІСПДн «Відділ кадрів». Я пропрацював цей документ і зробив його зручнішим. У ньому було детально розписано для кожної ІВ:
Призначення(наприклад – Підсистема, призначена для автоматизації податкового та бухгалтерського облікута підготовки обов'язкової звітності, а також розрахунку зарплати, обчислення податків, формування звітів та довідок у державні органита соціальні фонди);
Реалізація(наприклад - Підсистема реалізована у вигляді файлів стандартних офісних програм MS Office та системи автоматизації документообігу та діловодстваСЕД «Дело-Web»);
Ввід вивід(наприклад - Інформація надходить упідсистему шляхом введення даних операторамиа також у вигляді електронних поштових повідомлень);
Обробка(наприклад - Режим обробки передбачає наступні дії зданими: збирання, систематизацію, уточнення ...);
Зберігання(наприклад - Дані зберігаються на АРМ оператора);
Взаємодія(наприклад - Вихідна інформація передається у вигляді звітів до … із застосуванням електронно-цифрового підписута програмної бібліотеки захисту інформації «КриптоПро» в електронному вигляді каналами в мережі Інтернет за допомогою «СВІС».).
Також вказані основні характеристики ІВ (режим обробки ПДн ( розрахований на багато користувачів) , розмежування прав доступу ( з розмежуванням), масштаб ІС, клас захищеності ...) загалом, як показала перевірка, він дуже сподобався панам з ФСБ, і як результат, виявився «зам'ятим».
Так само докладно розглядалися такі документи як Моделі загроз порушників, інструкції користувача адміністратора та документи, що відображають визначення рівня захищеності ПДн (і всі обсяги ПДн, що випливають звідси, типи загроз, і категорії ПДн-все має бути відображено в документах).
Розділ другий. Виконання вимог до СКЗД
Основними документами у цій галузі є 152 ФАПСІ та 378 ФСБ. Цього року ми відзначаємо круглу дату-15 років з моменту розформування ФАПСІ.
Також перевіряли наявність журналів. Особисто у мене журнал для обліку журналів викликав посмішку (вершина бюрократії).
Відповідно до п.30 ФАПСІ необхідно вести поекземплярний облік СКЗІ та ключових документів.
Основні документи: Акт визначення рівня криптографічного захисту інформації в якому визначається клас СКЗІ, що використовується. Журнал поекземплярного обліку СКЗІ та технічної документації. Журнал обліку ключової документації.
Що стосується зберігання ключових документів та дистрибутивів СКЗД, то тут все цікаво. Електронних підписів у нашій організації багато. Організувати кожному користувачеві персональну залізну скриньку реально, але витратно. Та й часу було обмаль. Проте відсутність безконтрольного доступу до СКЗІ все-таки ми забезпечили. На кожного користувача були закуплені пластикові тубуси для ключів (50 рублів) та металеві печатки (400 рублів). Видача печаток користувачеві відображається у Журналі пломбірів. Кожен користувач був проінструктований про те, що наприкінці робочого дня, він повинен поміщати е-токен у тубус, опечатувати його та замикати у своїй ящику від столу. Перший екземпляри ключів від столів зберігався в конвертах у сейфі у керівника організації, другий-користувач забирав із собою. Крім того, закупилися чашки для опечатування та розроблено Переліки осіб, які мають вільний доступ до приміщення з СКЗІ (А перед цим Перелік осіб, які мають право обробляти ПДн, Перелік осіб допущених до приміщення де ведеться обробка ПДн (п.8а 8б П№378), та Перелік користувачів СКЗІ). Наприкінці робочого дня приміщення опечатувалося одним з користувачів СКЗІ.
Усі автоматизовані робочі місця із встановленими СКЗІ та програмно-апаратні СКЗІ обладнані засобами контролю за їх розкриттям на виконання пункту 31 ФАПСІ. Тут став у нагоді досвід з минулого місця роботи. Системні блоки опечатувати треба. Але що? Якою печаткою? Де її взяти? Як враховувати? Вчинили так: Word була розроблена синя печатка з назвою організації, датою та місцем під підпис відповідальної особи, яка проводила встановлення Крипто-про на АРМ. Куплено аркуш самоклеючого паперу формату А4, і надруковано на кольоровому струменевому принтері (не друкуйте на лазерному, це погана ідея). За результатами, системні блоки з встановленим Крипто-про були опечатані у двох місцях, щоб не було безконтрольного розтину. Користувач щодня візуально перевіряв ці наклейки і це було прописано в Положенні про використання СКЗІ в організації Інструкції користувача адміністратора СКЗІ.
На всі СКЗІ та ключові носії, що використовуються, є документи, що підтверджують дотримання заходів, що виключають безконтрольний доступ до них під час доставки. Необхідно надати акти приймання-передачі, супровідні листи та довіреності (про них докладно нижче), акти введення в експлуатацію.
У нашій організації було розроблено Наказ, в якому призначався відповідальний за СКЗІ, який отримував Крипто-про та е-токени, а потім видавав їх користувачам за Журналом поекземплярного обліку СКЗІ, експлуатаційної та технічної документації до них, ключових документів.
Не знаю як у вашій організації, але в нашій керівник близько 5 ЕЦП для роботи в різних системах. АЛЕ! Саме він особисто нічого не підписує. За нього це роблять у приймальні, бухгалтер, відділ кадрів… Як же бути?
Оформляється довіреність, в якій працівник уповноважується використовувати ЕЦП для роботи в таких ІС з такими цілями. Не забудьте, визначаються терміни довіреності.
Визначено порядок дій при компрометації (п5.0 ФАПСІ) та порядок знищення СКЗІ (п.4.14 ФАПСІ). Все це було описано в «Положенні про порядок використання засобів криптографічного захисту інформації та ключової інформації до них».
Крім того, використання СКЗІ здійснюється відповідно до формулярів до них (заповнилися таблиця закріплення СКЗІ за користувачем).
Розділ третій. Вимоги до приміщень
Як я вже писав, приміщення з СКЗІ у нас опечатуються (п.59 ФАПСІ) наприкінці робочого дня. Так само мають міцні замки та пожежну сигналізацію(П. 6а П№378).
Крім всіх Переліків допущених до приміщень (п.6в П№378) про які я писав вище, є ще Регламент доступу до приміщень з компонентами СКЗІ, що визначає правила доступу до приміщень у робочий та неробочий час, а також у позаштатних ситуаціях. (П.6а П№378). Відповідно до цього ж регламенту організовано охорону (для перевірки потрібно було показати договір з охоронною фірмою) (п.54,63 ФАПСІ).
Розділ четвертий. Персонал
Комісії було надано документи, що підтверджують, що відповідальні користувачі СКЗІ мають необхідний рівень кваліфікації для забезпечення захисту персональних даних з використанням СКЗІ (п.13 ФАПСІ). Адміністратор ІБ та відповідальний за СКЗІ пройшли курси підвищення кваліфікації (надали документи для комісії) (п.17 ФАПСІ). Також були надані документи, що підтверджують письмове ознайомлення відповідальних користувачів СКЗІ з Інструкцією користувача СКЗІ, Регламентом доступу до приміщень із СКЗІ, Положення про порядок використання СКЗІ.
Перевірялося і наявність затверджених функціональних обов'язківспівробітників ОКЗІ (п.18 ФАПСІ). Усі вони були закріплені у наказі про СКЗІ. У ньому вводився режим захисту з використанням СКЗІ, призначалися відповідальні особи (інструкція адміністратора СКЗИ-окремим документом) і комісія визначення класу СКЗИ. Крім того, в посадові інструкціїтак само було внесено зміни.
Щодо виконання п.21 ФАПСІ, то можливість допуску співробітників до самостійної роботи з СКЗІ відображається в «Акті введення в експлуатацію СКЗІ», який створювався в 2-х примірниках, один зберігався у користувача, другий у відповідального за СКЗІ.
З усіма користувачами було проведено докладний інструктаж і комісія провела бесіду з кожним. Запитували основні моменти знання інструкції користувача, навіщо використовують ЕЦП, у яких програмах працюють, куди передають, як зберігають ЕЦП і як опечатують. А також, хто робив установку крипто-про на АРМ.
У бухгалтера попросили договір з банком та поцікавилися процесом передачі до банку даних про нарахування заробітної плати. На окрему увагу заслужила програма НВІС.
Щодо використовуваних програм. За допомогою спеціального програмного забезпечення було складено перелік дозволеного до використання програмного забезпечення на кожен АРМ. Кожен АРМ мав свій інвентарний номер.
Розділ п'ятий. Організаційні заходи
Здебільшого у нашій організації електронний документооберті всі файли ганяються по мережі. Але в бухгалтерії є одна флешка, на яку вони вивантажують звіти. Поекземплярний облік машинних носіїв персональних даних ведеться у «Журналі обліку машинних носіїв інформації». Флешку видано під розпис для виконання службових обов'язків співробітнику. Після закінчення робочого дня він зберігає її разом із е-токеном. В інструкції користувача /адміністратора прописані відповідні пункти з обліку, зберігання, передачі та знищення цієї флешки.
Крім того, було враховано всі жорсткі диски у відповідному журналі. Як це зроблено? Ні-ні, я не став розбирати кожен АРМ і клеїти на нього номер або дивитися номер на ньому самому. Тієї ж АІДОЙ 64 можна переглянути унікальний номер диска.
Серед інших зауважень це було особняком. Справа стосувалася Методичні рекомендаціївід 1 березня 2015 року №149/7/2/6-432. Зверніть увагу на цей документ, він є у відкритому доступі на сайті ФСБ. Відповідно до нього потрібно розробити документ, у якому буде визначено узагальнені можливості джерел атак та як наслідок Перелік організаційно-технічних заходів, реалізація яких дозволяє нейтралізувати загрози безпеці ПДН.
Післямова