криптографический номер ключевого документа
Привет из прошлого: кто, что и зачем пишет в журнале учета СКЗИ
Скорее всего, вы знаете, что учет СКЗИ регламентирован «Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащих сведений, составляющих государственную тайну». Этот документ невиданной силы утвержден приказом Федерального агентства правительственной связи и информации при президенте Российской Федерации (ФАПСИ) от 13.06.2001 № 152.
Тогда, 20 лет назад, сертифицированные СКЗИ применялись крайне редко, а большинство организаций не имели такой разрозненной и распределенной по всей стране ИТ-инфраструктуры. В итоге инструкция, например, до сих пор не предусматривает возможность удаленной передачи ключей шифрования, а журнал учета требуется хранить в отдельном помещении. Вести учет в электронном виде можно, но только с применением квалифицированной ЭП (учет СКЗИ в электронном виде – это тема для отдельной статьи, и об этом мы поговорим следующий раз), либо сопровождать каждое действие соответствующими актами.
Кто и как ведет учет
Если организация является обладателем конфиденциальной информации, то ей, скорее всего, требуется обеспечить безопасную передачу, обработку и хранение этой информации с помощью СКЗИ. К слову, к последним инструкция относит как сами программные или аппаратно-программные средства, так и информацию, необходимую для их работы, ключи, техническую документацию.
Организует и контролирует все работы с СКЗИ орган криптографической защиты (ОКЗ). Это может быть как структурное подразделение (или конкретный сотрудник) внутри организации (обладателе конфиденциальной информации), так и внешний подрядчик (например, сервис-провайдер).
В первом случае организация должна издать приказ о создании ОКЗ, определить его структуру и обязанности сотрудников. Например:
начальник отдела занимается организацией и совершенствованием системы управления работой своих сотрудников;
администратор безопасности обеспечивает сохранность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники.
Все работники, которые занимаются установкой и настройкой СКЗИ и в принципе имеют к ним доступ, должны быть внесены в приказ и ознакомлены с ним. Для каждой должности нужно разработать должностную инструкцию и ознакомить пользователей с порядком применения СКЗИ.
В итоге перечень необходимых документов состоит из:
приказа о создании ОКЗ;
утвержденных форм журналов учета;
шаблонов заявлений, актов;
инструкции для пользователей по работе с СКЗИ.
Мы помним, что по всем СКЗИ должен вестись поэкземплярный учет, а их движение (формирование, выдача, установка, передача, уничтожение) должно быть документально подтверждено. Для этого и обладатель конфиденциальной информации, и орган криптографической защиты должны вести журналы (каждый свой) поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов.
Но если орган криптографической защиты информации – это структурное подразделение организации, на его плечи ложится ведение обоих журналов. Дело в том, что в этом случае организация не только является обладателем конфиденциальной информации, но и выполняет часть функций ОКЗ. Например, крупные холдинги, как правило, выделяют в своем составе ИТ-компанию, которая в том числе отвечает за информационную безопасность с использованием СКЗИ. Она ведет все журналы и сопутствующую документацию и является для своего холдинга поставщиком услуг.
Если услуги оказывает сервис-провайдер, то он заполняет журнал учета для органа криптографической защиты, а организация – журнал для обладателя конфиденциальной информации.
Вы еще тут? Надеемся, не запутались!
Журналы учета хранятся в течение 5 лет. Сами СКЗИ и документация к ним должны находиться за семью замками в специальном помещении, а доступ туда могут иметь только сотрудники ОКЗ.
Операции с СКЗИ: взятие на учет
Рассмотрим порядок учета на конкретном примере (данные в таблицах ниже вымышленные все совпадения случайны). Организация N – обладатель конфиденциальной информации – хочет использовать СКЗИ компании «КриптоПро». При этом организация N не готова создавать у себя ОКЗ и обращается к сервис-провайдеру, который будет предоставлять ей соответствующие услуги. Итак, для начала вендор ПАК должен предоставить организации N исходные данные для учета. Выглядит это так:
Предмет
Данные
с/н лицензии СКЗИ
т/н № 44313 от 22.02.2020
Формуляр СКЗИ «КриптоПро CSP» версии 4.2
Диск CD-ROM с дистрибутивом СКЗИ
В 1–6 графы журнала поэкземплярного учета должна попасть информация о:
диске с дистрибутивом;
серийном номере лицензии на СКЗИ.
После заполнения всех этих данных СКЗИ выдаются пользователям, то есть тем работникам в организации, для которых они закупались. Это может быть как сотрудник бухгалтерии, который применяет ЭП для подписания и отправки документов, так и другой ответственный специалист, взявший на себя обязательства по сохранности СЗКИ.
На этом этапе заполняются 7 и 8 графы журнала (кому и когда выдается СКЗИ – с обязательной росписью пользователя). Если возможности расписаться в журнале нет, то можно заполнить акт передачи, где в свободной форме указывается, кто (администратор безопасности) и кому (пользователю) передает СКЗИ. При этом обе стороны расписываются, а номер акта вносится в 8 графу («Дата и номер сопроводительного письма»).
В 9 графу записывается имя сотрудника, производившего установку СКЗИ. Чаще всего это делает специалист технической поддержки, который также является администратором безопасности. Но это может быть и пользователь, если он обладает соответствующими навыками и правами доступа в сеть. В 11 графе указывается серийный номер материнской платы или номер опечатывающей пломбы системного блока.
Если сотрудник, который производил установку, уволился, то СКЗИ нужно изъять и составить акт, в котором указывается предмет и способ изъятия (например, удаление ключевой информации с носителя). Все это фиксируются в 12, 13, 14 графах.
При уничтожении СКЗИ также составляется соответствующий акт. В нем должны быть указаны предмет и способ уничтожения. Программные СКЗИ стирают с носителя ключевой информации (чистка реестра), а ПО деинсталлируют. С аппаратных СКЗИ можно удалить ключевую информацию либо уничтожить их физически.
Ниже пример журнала, заполненного организацией – обладателем конфиденциальной информации. ООО «Компания» – это сервис-провайдер, который выполняет функции органа криптографической защиты для организации.
Заглянуть в журнал учета
Журнал учета СКЗИ для органа криптографической защиты во многих пунктах перекликается с аналогичным документом для организации и заполняется по такому же принципу, поэтому не будем подробно останавливаться на его разборе. В примере ниже ООО «Организация» – это обладатель конфиденциальной информации, который воспользовался услугами сервис-провайдера.
Заглянуть в журнал еще раз
Что в итоге?
Сложно не согласиться с тем, что все эти требования уже давно морально устарели и Инструкция нуждается в актуальных корректировках, но пока мы вынуждены выполнять требования ее текущей редакции. Обратите внимание, что для ведения журнала поэкземплярного учета СКЗИ в электронном виде требуется подписывать документы только квалифицированной ЭП либо сопровождать каждое действие соответствующими актами. Если же речь идет о физическом документе, то все данные и подписи должны быть внесены в него всеми ответственными лично.
Безусловно, учет СКЗИ – это только один из множества обязательных к исполнению процессов, описанных в документе. В будущем мы постараемся подробно описать процесс опломбирования СКЗИ, технологию их уничтожения и многое другое.
Надеемся, эта памятка была для вас полезной.
Автор: Никита Никиточкин, администратор реестра СКЗИ Solar JSOC «Ростелеком-Солар»
Инструкция о порядке учета, выдачи и передачи средств криптографической защиты информации, электронной подписи, эксплуатационно-технической документации и ключевых документов
о порядке учета, выдачи и передачи средств криптографической защиты
информации, электронной подписи, эксплуатационно-технической
документации и ключевых документов
1. Учет средств криптографической защиты информации (СКЗИ), эксплуатационно-технической документации на СКЗИ, ключевых документов и ЭП организуется в соответствии с требованиями «Инструкции об организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащих сведений, составляющих государственную тайну», утвержденной приказом Федерального агентства правительственной связи и информации (ФАПСИ) при Президенте Российской Федерации от 01.01.2001 № 152 (далее – Инструкция № 152), Правилами использования СКЗИ, утвержденными разработчиком СКЗИ.
2. Доставка СКЗИ в организацию должна осуществляться фельдъегерской связью (спецсвязь), либо непосредственно сотрудником самой организации, в таком же порядке должна осуществляться передача СКЗИ конечному пользователю, согласно п.32 Инструкции № 000.
3. Порядок упаковки СКЗИ должен соответствовать требованиям п.33, п.34 Инструкции № 000.
4. Передача СКЗИ оформляется актами приема-передачи, либо подтверждается сопроводительными отгрузочными документами.
5. При передаче СКЗИ уполномоченным нарочным, нарочный расписывается в актах приема-передачи СКЗИ, дата и номер акта заносятся в соответствующие журналы учета.
6. Поэкземплярный учет СКЗИ, поступающих от разработчиков, изготовителей и поставщиков СКЗИ необходимо вести в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации) (п.26, Приложение Инструкции № 000). Учет ведется ответственным пользователем криптосредств.
7. Пример внесения записи в Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации) представлен в таблице 1.
Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов
Номера экземпляров (криптографические номера) ключевых документов
Отметка о получении
Отметка о подключении (установке) СКЗИ
Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов
№ п/пНаименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документовСерийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документовНомера экземпляров (криптографические номера) ключевых документов
Дата и номер сопроводительного письма
ФИО пользователя СКЗИ
Дата и номер сопроводительного документа
ФИО сотрудников органа криптографической защиты, пользователя СКЗИ, произведших подключение (установку)
Дата подключения (установки) и подписи лиц произведших подключение (установку)
Номер аппаратных средств, в которые установлены или к которым подключены СКЗИ
Дата изъятия (уничтожения)
ФИО сотрудников органа криптографической защиты, пользователя СКЗИ, произведших изъятие (уничтожение)
Номер акта или расписки об уничтожении
Аудит СКЗИ и криптоключей
С точки зрения информационной безопасности криптографические ключи являются критически важными данными. Если раньше, чтобы обокрасть компанию, злоумышленникам приходилось проникать на ее территорию, вскрывать помещения и сейфы, то теперь достаточно похитить токен с криптографическим ключом и сделать перевод через систему Интернет Клиент-Банк. Фундаментом обеспечения безопасности с помощью систем криптографической защиты информации (СКЗИ) является поддержание конфиденциальности криптографических ключей.
А как обеспечить конфиденциальность того, о существования чего вы не догадываетесь? Чтобы убрать токен с ключом в сейф, надо знать о существовании токена и сейфа. Как это не парадоксально звучит, очень мало компаний обладают представлением о точном количестве ключевых документов, которыми они пользуются. Это может происходить по целому ряду причин, например, недооценка угроз информационной безопасности, отсутствие налаженных бизнес-процессов, недостаточная квалификация персонала в вопросах безопасности и т.д. Вспоминают про данную задачу обычно уже после инцидентов, таких как например этот.
В данной статье будет описан первый шаг на пути совершенствования защиты информации с помощью криптосредств, а если точнее, то рассмотрим один из подходов к проведению аудита СКЗИ и криптоключей. Повествование будет вестись от лица специалиста по информационной безопасности, при этом будем считать, что работы проводятся с нуля.
Термины и определения
В начале статьи, дабы не пугать неподготовленного читателя сложными определениями, мы широко использовали термины криптографический ключ или криптоключ, теперь настало время усовершенствовать наш понятийный аппарат и привести его в соответствие действующему законодательству. Это очень важный шаг, поскольку он позволит эффективно структурировать информацию, полученную по результатам аудита.
Методика аудита и ожидаемые результаты
Основными особенностями предлагаемой в данной статье методике аудита являются постулаты о том, что:
Приведем основные зависимости, которые нам в этом помогут:
По каждому элементу перечня фиксируем следующие данные:
По каждому элементу перечня фиксируем следующие данные:
По каждому элементу перечня фиксируем следующие данные:
План аудита
Криптографический номер ключевого документа
по учету, уничтожению и отчетности по СКЗИ
(Для клиентов органов Федерального казначейства)
В соответствии с разделом 4 Правил электронного документооборота в системе электронного документооборота Федерального казначейства ( Приложение к Договору «Об обмене электронными документами» ), каждый пользователь СКЗИ (клиент СЭД ФК) обязан выполнять требования «Инструкции об организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащих сведений, составляющих государственную тайну», утвержденной приказом Федерального агентства правительственной связи и информации ( ФАПСИ ) при Президенте Российской Федерации от 13.06.2001 № 152 (далее – Инструкция № 152).
К СКЗИ относятся как сами программные или аппаратно-программные средства, так и ключевая информация необходимая для их работы и техническая документация на СКЗИ. В соответствии с Инструкцией № 152 все СКЗИ должны браться на поэкземплярный учет и их движение (выдача, установка, передача, уничтожение) должны быть документально отслежены. Для этих целей пользователь ведет журнал учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (Приложение № 2 к Инструкции № 152 ).
По разделу 1: пример заполнения на программе СКЗИ крипто-про
1. номер по порядку
4. 1 (так как лицензионное соглашение подразумевает одну установку)
5. УФК по РК (в случае если установку проводили сотрудники УФК) или ОФК
6. Указывается дата установки
7. Ф.И.О. лица, на чьем компьютере проведена установка СКЗИ
8. расписка лица п.7
9. Ф.И.О. лица производившего установку СКЗИ
11. Серийный или инвентарный номер компьютера
12. Дата изъятия ( деинсталяции )
13. Ф.И.О. лиц, производивших деинсталляцию СКЗИ
14. Расписки лиц п. 13 за уничтожение деинсталлированного СКЗИ. Под уничтожением понимается удаление (стирание) дистрибутива программы, лицензии и ключа активации, без возможности восстановления. Если осуществляется перенос СКЗИ на новый компьютер, то данная графа не заполняется, а производится регистрация данного СКЗИ под следующим порядковым номером.
Раздел 2 «Ключевая информация»
Ключевая информация формируется непосредственно пользователем в соответствии с «Порядком генерации ключей электронной цифровой подписи и запросов на получение сертификата открытого ключа ЭЦП» от 19 декабря 2007 года.
1. номер по порядку
4. 1 (Первый экземпляр)
5. изготовлен самостоятельно
6. дата формирования ключа
7. Ф.И.О. владельца ключа (физическое лицо, для которого изготовлен данный ключ)
8. дата и расписка в получении лица п.7
Графы 9, 10, 11 не заполняются
12. Дата уничтожения ключа по окончании срока действия или другим причинам (порча ключа, лишения владельца прав ЭЦП и т.п.)
13. Ф.И.О. лиц, производивших уничтожение ключа (2 человека, из числа лиц, наделенных правом использования ЭЦП, включая администратора СЭД)
14. Подписи лиц, указанный в п.13
Таким образом наклейка дискеты должна содержать следующие идентификационные признаки:
SHAPE \* MERGEFORMAT
По окончании срока действия ключа, основная ключевая дискета и резервные копии уничтожаются одновременно.
программу со значка
Удаление контейнеров закрытых ключей, копирование ключей, просмотр контейнеров осуществляется со вкладки «Сервис»
Чтобы узнать информацию о номере ключа подписи, записанного на дискете, для программы СЭД нажмите кнопку «Просмотреть сертификаты в контейнере» и далее «Обзор», после чего в окне выбора ключевого контейнера выделяем нужный нам контейнер и нажимаем «ОК».
9-тизначное уникальное имя ключа и является серийным номером, которое записывается в графе 3 журнала учета СКЗИ. После просмотра нажмите кнопку «отмена» для выхода из программы.
В случае досрочного прекращения действия закрытого ключа ЭЦП (смена сотрудника, компрометация ключа), закрытый ключ должен быть уничтожен в течени и суток с отметкой в журнале учета СКЗИ. Информация об отзыве сертификата также в течени и суток направляется в территориальный орган федерального казначейства.
При плановой смене ключей, по истечении срока их действия, выведенные ключи уничтожаются двумя лицами в течени и 4 суток с момента окончания срока действия с отметкой об этом в журнале учета СКЗИ. При этом информация об отзыве сертификата не направляется.
В соответствии с п.46 Инструкции № 152 предусмотрена отчетность пользователей СКЗИ об уничтоженных ключевых документах. Данная информация должна представляться в территориальный орган Федерального казначейства ежегодно к 10 февраля по прилагаемой форме:
об уничтоженных ключевых документах
в ___________________________ по состоянию на 31 декабря 20___ года.
Криптографический номер ключевого документа
Войти
Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal
Особенности учета СКЗИ
Средства криптографической защиты информации (СКЗИ) на сегодняшний день применяются практически во всех компаниях, будь то при обмене данными с контрагентами, или при связи и отправке платежных поручений в банк, программой банк клиент.
Но не все знают, что согласно закону ключи шифрования должны учитываться.
В данной статье я расскажу об учете средств криптографической защиты информации и приведу ссылки на законные акты Российской Федерации.
Данный учет средств криптографической защиты информации должен вестись в специальном журнале, а еще лучше в добавок и в электронном виде, где должны быть учтена следующая информация:
1. что выдали
2. на чем выдали
3. кто получил
4. кто сдал
5. отметка о уничтожении
Учитывать следует сами электронные ключи, ключевые носители, программное обеспечение которое делает криптографические преобразования информации, лицензии на право использования СКЗИ.
Кстати говоря у многих возникает спор, в чем же разница между ключевым документом и ключевым носителем. Кто-то придерживается мнения, что ключевой документ это сам по себе ключевой контейнер или ключевая информация, и в принципе это логично, но то описание которое я привел выше, было взять из приложения к Приказу ФАПСИ от 13 июня 2001 г. N 152, где четко прописано, что это физический носитель.
Поэтому лично с моей точки зрения это следует подразумевать, как не просто ключевая информация в электронном виде, а физический носитель с записанной на него ключевой информацией. В принципе это не составляет труда учесть, так как можно в журнале указать номер носителя и идентификатор секретного ключа в одном пункте.
В приложении к приказу ФАПСИ РФ от 13 июня 2001 г. N 152, можно найти примеры типовых журналов по учету средств криптографической защиты информации. http://base.garant.ru/183628/#block_1000
Мое и не только мое мнение для учета лучше всего вести несколько журналов:
Журнал поэкземплярного учёта дистрибутивов СКЗИ.
Журнал поэкземплярного учёта лицензий на право использования СКЗИ.
Журнал поэкземплярного учёта ключевых документов СКЗИ.
Журнал поэкземплярного учёта аппаратных ключевых носителей СКЗИ.
В журнале поэкземплярного учёта дистрибутивов средств криптографической защиты информации, СКЗИ учитываются по номерам дистрибутивов, записанных в формуляре на изделие.
В журнале поэкземплярного учёта лицензий на право использования средств криптографической защиты информации, СКЗИ учитываются по серийным номерам лицензий.
В журнале поэкземплярного учёта ключевых документов средств криптографической защиты информации, СКЗИ учитываются по номерам токенов (а они напечатаны на каждом токене) или по номерам дискет/флешек (серийным номерам томов, которые можно увидеть по команде DIR), так же в этом журнале прописывается имя крипто-контейнера или серийный номер ключа.
В журнале поэкземплярного учета аппаратных ключевых носителей средств криптографической защиты информации, СКЗИ учитываются по номерам токенов (а они напечатаны на каждом токене). Данный журнал целесообразно использовать, чисто по хранящимся токенам, которые поступили на склад, но никому не выдаются и не содержат ключевой информации, либо были переданы, но без ключевой информации.
В целях упрощения учета, при получении большого количества СКЗИ, следует запросить учетную информацию в электронном виде, у поставщика или криптографического органа, что бы не перепечатывать эти серийные номера вручную.
Примеры журналов учета СКЗИ, можно найти в конце приложения к приказу ФАПСИ РФ от 13 июня 2001 г. N 152.