Finkurier.ru

Журнал про Деньги
20 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Журнал учета эцп

Журналы учета электронных подписей: как вести и хранить

Статья будет полезна, если в вашей организации есть хотя бы один ключ электронной подписи — тогда вам, скорее всего, нужно вести журналы учета ключей подписи. Кто обязан это делать и как, расскажем в статье.

Что такое журналы учета ключей ЭП

Журналы учета средств криптографической защиты информации (СКЗИ) или ключей электронной подписи (ЭП или ЭЦП) помогают следить за перемещением средств криптозащиты и ключей подписи в организации. В них отражается кто получил ключ подписи, сдал ли его при переходе на другую должность или увольнении, знаком ли сотрудник с правилами работы со средствами электронной подписи. Журналы нужны предприятиям, которые используют ЭП и СКЗИ, например, КриптоПро CSP или ViPNet CSP.

Кому нужно вести журналы учета ключей ЭП

Лицензиаты ФСБ

Эти компании оказывают платные услуги, связанные с использованием СКЗИ: их разработкой, распространением, установкой, обслуживанием и т.д. Это могут быть удостоверяющие центры, которые выпускают сертификат электронных подписей, или, например, дистрибьюторы СКЗИ.

К лицензиатам предъявляется самый большой список требований по соблюдению инструкции. Они должны создать у себя орган криптографической защиты информации, разработать свой регламент по соблюдению инструкции и вести журналы учета ключей ЭП и СКЗИ. Орган криптозащиты контролирует, как организация соблюдает инструкцию из приказа ФАПСИ №152.

Лицензиаты также могут помогать другим компаниям соблюдать требования регулятора — ФСБ России.

Организации, которые не являются лицензиатами ФСБ

Обязательно соблюдать приказ ФАПСИ №152 и вести журналы учета ключей ЭП должны предприятия, которые используют СКЗИ для защиты конфиденциальной информации, если такая информация по закону подлежит защите — например, для персональных данных или при передаче отчетности. В приказе их называют «обладатели конфиденциальной информации».

Если организации используют СКЗИ для защиты информации, не подлежащей обязательной защите, то требования инструкции ФАПСИ носят рекомендательный характер. Например, это касается компании, которая приобрела сертификат ЭП и средства криптозащиты только для внутреннего пользования — подписания внутренних документов, шифрования результатов своей работы.

Организациям, которые будут соблюдать требования приказа ФАПСИ №152, нужно создать регламент хранения и использования электронных подписей на основе утвержденной приказом инструкции и вести журналы учета. Сделать это можно одним из двух способов:

  • Самостоятельно создать регламент, назначить конкретного сотрудника, который будет отвечать за его соблюдение и вести журналы.
  • Обратиться к лицензиатам ФСБ и поручить им разработку регламента и журналов, и при необходимости, передать им контроль за тем, как соблюдается инструкция и внутренний регламент.

СКБ Контур — лицензиат ФСБ и поможет организовать учет электронных подписей в компании. Специалисты проекта Контур.Безопасность создадут всю необходимую документацию и проконтролируют соблюдение регламента и инструкции из приказа ФАПСИ № 152.

Какие журналы учета вести

Инструкция устанавливает два типа журналов:

  1. Журнал поэкземплярного учета СКЗИ.
    В него вносят сведения о ключах ЭП сотрудников — кто получил носитель с ключом подписи, когда и где, даты уничтожения и другая информация.

Способ заполнения журнала отличается в зависимости от типа СКЗИ, от того кто ведет журнал: обладатель ключей ЭП или орган криптографической защиты. Подробно детали заполнения описаны в приказе ФАПСИ № 152.

Форма журнала поэкземплярного учета для органа криптографической защиты — для лицензиатов ФCБ:

Форма журнала поэкземплярного учета для обладателей конфиденциальной информации:

  1. Технический или аппаратный журнал.
    Он помогает следить за аппаратными средствами криптозащиты — например, серверами с установленным ключом ЭП.

Типовая форма технического (аппаратного) журнала:

Чтобы скачать формы для заполнения журналов, перейдите по ссылке.

Что такое порядок использования и хранения ключей ЭП и СКЗИ

Кроме журналов учета инструкция также рекомендует организациям разработать и соблюдать свой регламент хранения и использования ключей ЭП. Для регламента нет единой типовой формы, поэтому компания может разработать документ самостоятельно. Для этого нужно изучить инструкцию и адаптировать требования именно под свою компанию.

Несмотря на то, что регламент в разных компаниях будет отличаться, есть общие требования — регламент должен указывать правила, по которым в организации:

  • назначают сотрудников ответственных за учет ключей ЭП и СКЗИ;
  • ведут журналы и поэкземплярный учет;
  • устанавливают и настраивают СКЗИ;
  • обучают работе с ЭП и СКЗИ, ведут пользователей, допущенных к работе с ними;
  • контролируют соблюдение условий использования ЭП и СКЗИ;
  • действуют в случае, если ключи и СКЗИ утеряны или есть подозрение, что используются неправомерно;
  • контролируют соблюдение регламента внутри организации.

Что будет, если не соблюдать инструкцию и не вести журналы учета

За безопасностью в сфере использования конфиденциальных данных в России следит ФСБ России. Ведомство может проводить, как плановые, так и внеплановые проверки в целях контроля использования шифровальных средств. Если при проверке обнаружат нарушения правил защиты информации, то, согласно ст. 13.12 КоАП РФ, на организацию могут наложить ряд санкций: штрафы для должностных лиц и юрлица, а также конфискацию самих средств криптозащиты. В итоге не сможет отправить электронную отчетность или работать в системе обмена данными.

Отметим, что на практике некоторые организации не соблюдают приказ ФАПСИ №152, считая, что так как документ утвердили почти двадцать лет назад, то и значимость его устарела. Однако приказ все еще юридически действителен, а в 2016 году ФСБ России подтвердило его актуальность.

Поэтому организациям необходимо обеспечить безопасность хранения, использования и передачи конфиденциальной информации. Если для этого используются электронные подписи и СКЗИ, организация должна их учитывать. Основной документ, на который можно опираться — приказ ФАПСИ №152 и утвержденная в нем инструкция. Если ФСБ России решит проверить организацию и обнаружит существенные недостатки, ведомство вправе наложить административный штраф или даже приостановить деятельность организации до устранения недочетов.

Журнал учета СКЗИ

  • Сообщений: 1452
  • Репутация: 45
  • Спасибо получено: 209

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Alex_04
  • Автор темы
  • Не в сети
  • Сообщений: 1452
  • Репутация: 45
  • Спасибо получено: 209

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • marina
  • Не в сети
  • Сообщений: 1
  • Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Alex_04
  • Автор темы
  • Не в сети
  • Сообщений: 1452
  • Репутация: 45
  • Спасибо получено: 209

marina пишет: Подскажите пожалуйста, что я должна заносить в журнал СКЗИ. Полученные лицензии от управления Крипто про и континент ап? А лицензии, которые выдаю клиентам, тоже заносить? Извините, работаю недавно.

Извиняться не за что — на то форум и создан, чтоб помогать. Если правильно понял — Вы из теротдела казначейства? Тогда все правильно написали — регистрируем в нем и полученные из УФК и выдаваемые клиентам лицензии СКЗИ на КриптоПро, Континент-АП, а в связи с внедрением ГИИС «Электронный бюджет» — и на Continent_TLS_Client и Jinn-Client. А вообще лучше внимательно почитать Инструкцию, утвержденную Приказом ФАПСИ от 13.07.2001г. N152 — в 2-х словах ее не перескажешь. Наш Журнал поэкземплярного учета СКЗИ является приложение №2 к этой Инструкции. Удачи Вам!

Читать еще:  Учет в дочерних предприятиях

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Vladimir-konovalov
  • Не в сети
  • Сообщений: 11
  • Спасибо получено: 1

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Alex_04
  • Автор темы
  • Не в сети
  • Сообщений: 1452
  • Репутация: 45
  • Спасибо получено: 209

Vladimir-konovalov пишет: Здравствуйте коллеги. Сотрудник территориального отдела Федерального казначейства.
Я честно говоря не совсем понимаю, почему мы должны учитывать диски отдаваемые в сторонние организации в своих журналах.

Здравствуйте, коллега. Мы не отдаем диски сторонним организациям, они не наши, а их и они нам передают свои диски для записи лицензионного ПО СКЗИ и ПО для создания ЭП, учтенные в их Журнале СКЗИ. Мы возвращаем им их же диски.

А если они этот диск потеряют, поломают или еще чего то с ним с делают, каковы мои действия?

Никаких — им потом расхлебывать, когда придет время уничтожения по Акту устаревшего ПО СКЗИ и обязательного возврата в ФК лицензий вместе с этим диском.

Если честно не понимаю, про какие лицензии на континент-АП вы говорите. Мы своим клиентам выдаем лицензии только на КриптоPRO CSP. Лицензий на СКЗИ «Континент-АП» в глаза не видел.

А нам их довели безопасники нашей управы — вот их и выдаем. Хотя она и не вводится нигде, но думаю она нужна на случай проверки ФСБ законности использования СКЗИ.

Каменный век какой то, выдавать дистрибутивы на дисках.

Не коллега — железный, т.к. у силовиков до сих пор железные правила со времен железного . : есть бумажка с загигулиной и пластинка с царапулиной — молодец, свободен!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Quenchi
  • Не в сети
  • Сообщений: 8
  • Репутация: 1
  • Спасибо получено: 2

Alex_04 пишет: ВАЖНО!
Замечено, что мало кто из клиентов в свой Журнал учета СКЗИ вносит лицензии на СКЗИ «КриптоПро CSP 3.6» и «Континент-АП 3.5», полученные в своих территориальных органах ФК, а это необходимо делать обязательно! Поэтому по указанному в предыдущем посте адресу размещен обновленный образец Журнала с дополненными рекомендациями по его заполнению, касающиеся лицензий КриптоПро и Континента в соответствующих графах.

Я правильно понял что клиентам тоже нужное журналы заводить?

не скачивается журнал по ссылке. с дисками и дистрами общее нечего не понял если честно . дистр континент ап который мне отдел уфк выдавал не становился я скачал сайта соседней области дистр, крипто про также с сайта крипто про скачал. софтом для ЭБ от код безопасности . там демо версии можно скачать вроде.

я вообще не могу понять зачем нам как клиентам заводить какой то еще журнал?(журнала учета эцп позарез хватает) бумажка от крипто про с лицензией лежит сейчас в сейфе не кто ее не трогает. туда же бумажку с лицензией джинна и континент тлс кинем.

покупать диски чтоб отдел туда закатал дистрибутив вообще смешно . не проще отделу уфк купить диски технические закатать туда дистры номера написать зарегать и себе в сейф положить типа выдали клиентам.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Alex_04
  • Автор темы
  • Не в сети
  • Сообщений: 1452
  • Репутация: 45
  • Спасибо получено: 209

Quenchi пишет: Я правильно понял что клиентам тоже нужное журналы заводить?

Именно так, причем уже давно — в 2014 году как минимум, когда ФК начало выдавать сертификаты по новому Регламенту (требовались чистые носители для файлов запросов и файлов сертификатов с уже нанесенными учетными номерами, присвоенными в нем).

не скачивается журнал по ссылке

Только что проверил — все нормально скачивается.

я вообще не могу понять зачем нам как клиентам заводить какой то еще журнал?

Его должны вести ВСЕ на случай возможной проверки ФСБ, поэтому лучше все же почитать Инструкцию, утвержденную приказом ФАПСИ при Президенте РФ от 13.06.2001 № 152.

бумажка от крипто про с лицензией лежит сейчас в сейфе не кто ее не трогает. туда же бумажку с лицензией джинна и континент тлс кинем.

И это правильно — целее будут! Пусть лежат — пить есть не просят, а пригодиться всегда могут.

покупать диски чтоб отдел туда закатал дистрибутив вообще смешно

Нисколько — полная аналогия с лицензионными дисками ЛЮБОГО ПО (того же Каспера например), ПО на диске + лицензия = единое целое.

не проще отделу уфк купить диски технические закатать туда дистры номера написать зарегать и себе в сейф положить типа выдали клиентам.

В свете всего выше сказанного — чушь полная, извиняюсь конечно, но тем не менее так оно и будет выглядеть с правовой точки зрения.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Образец журнала учета и регламента использования в организации ЭЦП

Организации обязаны выполнять требования по обеспечению безопасности хранения, обработки и передачи средств криптографической защиты информации. Требования к хранению и учету электронной подписи и ее средств прописаны в отдельном приказе, а за его невыполнение юридическое лицо может понести наказание вплоть до уголовной ответственности.

Требования по обеспечению безопасности хранения ЭЦП

Требования к журналу учета ЭЦП, а также к документам по информационной безопасности указаны в Приказе от 13.06.2001 г. под номером 152, опубликованном Федеральным агентством правительственной связи и информации (ФАПСИ). Приказ прописывает определения средств криптографической защиты информации, ключевой информации, а также правила по хранению, обработке, передаче данных.

Согласно приказу, электронная подпись в организации должна ставиться на учет, и ее движение (выдача, формирование, передача, установка или уничтожение) также должны быть отслежены документально. Для этой цели и создан журнал учета средств электронной подписи.

Нормативные документы

Помимо приказа ФАПСИ организации должны придерживаться в своей работе с электронной подписью следующий документов:

Все внутренние положения, регламенты и инструкции по использованию средств электронной цифровой подписи должны строиться на этих управляющих документах и отвечать их требованиям.

Общие положения регламента использования ЭЦП в организации

Документ должен включать все принципы использования ЭЦП в организации и содержать следующие разделы:

  • термины и определения;
  • нормативные ссылки;
  • основные положения;
  • требования к использованию ЭЦП;
  • организация работы с носителями ключевой информации;
  • правила получения сертификата ключа ЭЦП;
  • правила предоставления данных о статусе сертификата ЭЦП;
  • порядок использования ЭЦП;
  • условия признания юридической силы ЭЦП;
  • порядок отзыва сертификата ключа ЭЦП;
  • процедура восстановления работы ранее приостановленного сертификата ЭЦП.

Дополнительно к документу указываются ссылки на положения по электронному документообороту, а также на приложения в виде журнала учета электронной подписи, акта уничтожения ключевых носителей и т.д.

Организация работы с носителями ключевой информации

Пользователи, имеющие доступ к средствам электронной подписи, несут ответственность за ее сохранность согласно ФЗ-63. Список лиц, имеющих доступ к носителям ключевой информации, должен быть составлен руководством организации и зафиксирован в журнале учета выдачи электронной подписи.

Читать еще:  Учет комплектующих для основных средств

Руководство организации также обязано назначить сотрудника, ответственного за осуществление электронных взаимодействий со сторонними агентами, и наделить его правом устанавливать электронную подпись соответствующим приказом.

Директор отдела информационной безопасности по согласованию с руководителем организации назначает ответственных за установку на рабочих местах средств для работы с ЭЦП. Контроль за использованием средств электронной подписи, а также за хранение и безопасность ЭЦП ложится на сотрудников компании.

Правила хранения и использования ЭЦП

Носитель электронной цифровой подписи изготавливается в удостоверяющем центре и обслуживается сторонней организацией. Генерация ключей и их запись на токен (ключевой носитель) происходит на специальном сертифицированном оборудовании с использованием регламентированных технологических процессов. Формирование ключей ЭЦП, а также их маркировка учитывается в обязательном порядке в журнале учета ЭЦП организации. ЭЦП выдается сотруднику под роспись.

Установка на рабочее место ПО АРМ от КриптоПро призвано гарантировать безопасность ключевой информации. Для возможности восстановления сертификата ключевой подписи в случае поломки носителя создается его копия на персональном компьютере. Безопасность информации во время копирования информации обеспечивается переносом данных только при помощи ПО «‎АРМ Генерация ключей». Носители ЭЦП маркируются специальными этикетками с номерами, соответствующими записи в журнале выдачи ЭЦП.

Каждому пользователю выдается личный носитель сертификата ЭЦП, содержащий закрытый ключ электронной подписи. Пользователь обязан хранить носители ЭЦП в месте, недоступной сторонним лицам.

Рекомендации по обеспечению безопасности при работе с ЭЦП

На ПК должно быть установлено только лицензионное ПО последней версии. Обновление программного обеспечения обязательное условие безопасного использования средств ЭЦП. Также на ПК устанавливается антивирусное программное обеспечение с регулярным обновлением, а все съемные носители и файлы, запускаемые из сети, должны проверяться антивирусом перед открытием. Рекомендуется использовать ограничение IP-диапазона, блокировку сетевых атак и средства фильтрации трафика.

Работа с электронной подписью должна проводиться с отдельной учетной записи. Аутентификация и идентификация пользователя происходит при помощи логина-пароля. Все пароли должны быть уникальными и не совпадать с паролями от входа в систему. Плановая смена паролей происходит раз в 60-70 дней, а внеплановая — при выявлении нарушения в использовании носителей ключевой информации.

Для обеспечения информационной безопасности своего рабочего места пользователю запрещается:

  • сообщать пароль третьим лицам от своей учетной записи;
  • оставлять пароль, записанный на бумажном носителе, в общественном месте;
  • выводить пароль на внешние устройства (дисплей, телефон);
  • использовать пароль от учетной записи в интернет-кафе;
  • использовать опцию сохранения пароля от учетной записи в памяти системы ПК.

Ключи шифрования ЭЦП должны храниться только на флэш-носителе. Для работы с ЭЦП флэш-носитель подключают к ПК, а после использования — закрывают программу, вынимают носитель и убирают его в шкаф или сейф. Оставлять носитель ЭЦП на столе во время отсутствия на рабочем месте запрещено.

Если есть подозрение на компрометацию ключа ЭЦП, необходимо срочно обратиться в удостоверяющий центр для приостановки действия сертификата или его отзыва.

Образцы документов

Регламент, а также положение по использованию и хранению электронной цифровой подписи составляются юридическим и IT-отделом исходя из требований приказа ФАПСИ № 152.

Для всех юридических лиц являются обязательными к выполнению требования Приказа ФАПСИ № 152 по обеспечению безопасности использования электронной цифровой подписи. Каждая организация должна вести журнал учета ЭЦП в организации по образцу, а также иметь регламент и положение по использованию, обеспечению сохранности и уничтожению ЭЦП. Документы должны содержать такие разделы, как требования к ЭЦП, организация хранения подписи и правила использования подписи, порядок отзыва сертификата и процедура восстановления ранее приостановленного. Составляются документы юридическим отделом и отделом информационной безопасности исходя из рекомендаций и требования ФАПСИ.

Журнал учета эцп

Войти

Особенности учета СКЗИ

Средства криптографической защиты информации (СКЗИ) на сегодняшний день применяются практически во всех компаниях, будь то при обмене данными с контрагентами, или при связи и отправке платежных поручений в банк, программой банк клиент.

Но не все знают, что согласно закону ключи шифрования должны учитываться.
В данной статье я расскажу об учете средств криптографической защиты информации и приведу ссылки на законные акты Российской Федерации.

Основными законами которые регулирует СКЗИ являются:
Приказ ФСБ РФ от 9 февраля 2005 г. N 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»
Приказ ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» и Приложение к приказу ФАПСИ РФ от 13 июня 2001 г. N 152

Если посмотреть приказ ФСБ №66 в приложении в пункте 48, можно увидеть следующее содержание:
48. СКЗИ и их опытные образцы подлежат поэкземплярному учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов (условных наименований) и регистрационных номеров поэкземплярного учета СКЗИ и их опытных образцов определяет ФСБ России.
Организация поэкземплярного учета опытных образцов СКЗИ возлагается на разработчика СКЗИ.
Организация поэкземплярного учета изготовленных СКЗИ возлагается на изготовителя СКЗИ.
Организация поэкземплярного учета используемых СКЗИ возлагается на заказчика СКЗИ.

Это означает, что даже если простая компания, не занимающаяся созданием и продажей средств криптографической защиты информации решила приобрести несколько USB-ключей eToken, то они все равно должны быть учтены и закреплены за конечным пользователем, то есть сотрудником. Причем на вполне законных основаниях проверить учет может ФСБ, приехав в офис любой компании.

Данный учет средств криптографической защиты информации должен вестись в специальном журнале, а еще лучше в добавок и в электронном виде, где должны быть учтена следующая информация:
1. что выдали
2. на чем выдали
3. кто получил
4. кто сдал
5. отметка о уничтожении

Учитывать следует сами электронные ключи, ключевые носители, программное обеспечение которое делает криптографические преобразования информации, лицензии на право использования СКЗИ.

Таким образом СКЗИ для учета следует разделить на:
Ключевой носитель — физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т. п.).
Ключевой документ — физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости — контрольную, служебную и технологическую информацию; (по сути это носитель с записанным секретным ключом)
Дистрибутив СКЗИ — само программное обеспечение(например КриптоПро CSP, тут следует учесть номер дистрибутива, который можно найти в формуляре на СКЗИ)
Лицензия СКЗИ — сама по себе не является средством шифрования, но ее тоже следует учесть в журнале, так как были инциденты, когда компании из за этого штрафовали, а еще я слышал случаи о возбуждении уголовных дел.

Читать еще:  Аналитический учет счета 62

Кстати говоря у многих возникает спор, в чем же разница между ключевым документом и ключевым носителем. Кто-то придерживается мнения, что ключевой документ это сам по себе ключевой контейнер или ключевая информация, и в принципе это логично, но то описание которое я привел выше, было взять из приложения к Приказу ФАПСИ от 13 июня 2001 г. N 152, где четко прописано, что это физический носитель.
Поэтому лично с моей точки зрения это следует подразумевать, как не просто ключевая информация в электронном виде, а физический носитель с записанной на него ключевой информацией. В принципе это не составляет труда учесть, так как можно в журнале указать номер носителя и идентификатор секретного ключа в одном пункте.

В приложении к приказу ФАПСИ РФ от 13 июня 2001 г. N 152, можно найти примеры типовых журналов по учету средств криптографической защиты информации. http://base.garant.ru/183628/#block_1000

Мое и не только мое мнение для учета лучше всего вести несколько журналов:
Журнал поэкземплярного учёта дистрибутивов СКЗИ.
Журнал поэкземплярного учёта лицензий на право использования СКЗИ.
Журнал поэкземплярного учёта ключевых документов СКЗИ.
Журнал поэкземплярного учёта аппаратных ключевых носителей СКЗИ.

В журнале поэкземплярного учёта дистрибутивов средств криптографической защиты информации, СКЗИ учитываются по номерам дистрибутивов, записанных в формуляре на изделие.
В журнале поэкземплярного учёта лицензий на право использования средств криптографической защиты информации, СКЗИ учитываются по серийным номерам лицензий.
В журнале поэкземплярного учёта ключевых документов средств криптографической защиты информации, СКЗИ учитываются по номерам токенов (а они напечатаны на каждом токене) или по номерам дискет/флешек (серийным номерам томов, которые можно увидеть по команде DIR), так же в этом журнале прописывается имя крипто-контейнера или серийный номер ключа.
В журнале поэкземплярного учета аппаратных ключевых носителей средств криптографической защиты информации, СКЗИ учитываются по номерам токенов (а они напечатаны на каждом токене). Данный журнал целесообразно использовать, чисто по хранящимся токенам, которые поступили на склад, но никому не выдаются и не содержат ключевой информации, либо были переданы, но без ключевой информации.

В целях упрощения учета, при получении большого количества СКЗИ, следует запросить учетную информацию в электронном виде, у поставщика или криптографического органа, что бы не перепечатывать эти серийные номера вручную.

Примеры журналов учета СКЗИ, можно найти в конце приложения к приказу ФАПСИ РФ от 13 июня 2001 г. N 152.

Контроль использования
ключевых носителей,
цифровых сертификатов и СКЗИ

Использование цифровых сертификатов и ключевых носителей для многих компаний является обязательной практикой. Они применяются как для внутренних целей — защиты электронной почты, внутренний документооборот, аутентификация пользователей, так для общения со сторонними организациями при работе на торговых площадках, в ДБО и для формирования квалифицированной электронной цифровой подписи (ЭЦП). Сертификаты электронных ключей могут выпускаться как на собственных удостоверяющих центрах компании, так и в сторонних аккредитованных организациях. Управление разрозненной популяцией ключевых носителей становится сложной задачей, решить которую призваны специализированные системы. Indeed Certificate Manager предлагает централизованное и эффективное решение этой задачи.

Описание задачи

В общем виде можно сформулировать следующие задачи управления носителями и сертификатами:

    • Контролирование использования сертификатов и ключевых носителей сотрудниками компании
    • Учет сторонних сертификатов, выпускаемых внешними УЦ для работы в ДБО, торговых площадках, ЕГАИС и пр.
    • Ведение электронного журнала учета СКЗИ

Решение

Для решение всех указанных задач в Indeed Certificate Manager реализованы соответствующие функции.

Контроль использования сертификатов и ключевых носителей

Для решения задачи контроля использования смарт-карт, токенов и сертификатов в Indeed CM реализован специализированный модуль — клиентский агент Indeed CM. Агент устанавливается на ПК пользователей и позволяет удаленно выполнять ряд операций:

    • Передавать на сервер Indeed CM информацию об используемых ключевых носителях — к какому ПК в данный момент подключены токены и какой пользователь работает на ПК
    • Блокировать сессию Windows или ключевой носитель, в случае нарушения правил использования. Например, смарт-карта СКЗИ(токен) может быть привязана к учетной записи пользователя или ПК; если текущий пользователь или ПК не совпадает с назначенными, агент может заблокировать смарт-карту
    • Смена PIN-кода по требованию администратора
    • Блокировка носителя по требованию администратора
    • Обновление сертификатов на носителе
    • Удаление информации с ключевого носителя

Таким образом, агент позволяет администраторам вести аудит использования смарт-карт и токенов и удаленно выполнять операции с ключевыми носителями на ПК пользователя. Также агент может предотвращать несанкционированное использование носителей.

Дополнительно к агенту, Indeed CM может отслеживать состояние учетной записи пользователя в каталоге Active Directory и приостанавливать действие сертификатов пользователей, чьи учетные записи были отключены. Это позволяет прекратить возможность использования сертификатов на период отпуска или увольнения сотрудника.

Учет сторонних сертификатов

Информация об уже записанных на носитель сертификатах считывается в момент закрепления носителя за пользователем и отображается в его профиле. При приближении окончания срока действия таких сертификатов, система уведомит пользователя и/или администратора о необходимости обновления сертификата.

Ведение электронного журнала СКЗИ

Для выполнения требований регуляторов организации может потребоваться вести журнал учета СКЗИ. Indeed CM позволяет вести такой журнал в электронном виде. При выпуске сертификатов в журнал автоматически будут добавляться новые СКЗИ. Также администратор может вручную добавить дополнительные СКЗИ различных типов, включая свои собственные, не входящие в стандартный набор. Просмотр журнала доступен в интерфейсе администратора Indeed CM, журнал также можно экспортировать в отдельный документ, формат которого настраивается под требования организации.

Ниже приведена общая схема решения.

В состав Indeed Certificate Manager входят следующие основные компоненты:

Indeed CM Server — основной компонент инфраструктуры Indeed CM. Представляет собой ASP.Net приложение, работающее на сервере Internet Information Services (IIS). Indeed CM Server обеспечивает централизованное управление пользователями системы, репозиторием карт, журналом СКЗИ и политиками безопасности. Также Indeed CM Server обеспечивает получение информации от агентов и выполнение операций разблокировки смарт-карт и журналирования событий.

Журнал событий — хранилище событий Indeed CM. В журнале фиксируются все события, связанные с жизненным циклом смарт-карт и изменением параметров системы. Просмотр журнала доступен в интерфейсе консоли администратора Indeed CM, там же возможно построение отчетов по различным критериям.

Журнал СКЗИ — электронный журнал учета средств криптографической защиты информации. Журнал позволяет выполнить требования регуляторов в части учета СКЗИ. Просмотр журнала доступен в интерфейсе консоли администратора Indeed CM.

Реестр ключевых носителей содержит информацию по всем зарегистрированным в системе устройствам. Просмотр реестра доступен в интерфейсе консоли администратора Indeed CM.

Агент Indeed CM — клиентский компонент, реализующий функции контроля и мониторинга использования ключевых носителей. Также агент обеспечивает удаленное выполнение операций со смарт-картами и токенами: блокировка, смена PIN, обновление сертификатов ключа электронной подписи и др.

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector