
WAF (Web Application Firewall): как устроен и где применяется
Узнать больше04.04.2025
Для обеспечения конфиденциальности информационных ресурсов ограниченного доступа многие организации используют средства криптографической защиты (СКЗИ) — инструменты для шифрования и расшифрования. Они позволяют предотвратить несогласованное использование чувствительных сведений, которые передаются по открытым каналам связи или просто хранятся на различных устройствах.
Чтобы надлежащим образом обеспечивать безопасность данных и соответствовать требованиям регуляторов, необходимо заполнять документацию по используемым СКЗИ. Этот нюанс оговорен в приказе ФАПСИ № 152 от 13.06.2001. Рассказываем, как правильно вести учет и как избежать типичных ошибок в «бумажной» работе.
Правила эксплуатации и учета СКЗИ, основная эксплуатационно-техническая документация
Начнем с того, кто обязан вести учет и контролировать обращение со средствами защиты данных. Работу с СКЗИ организовывает орган криптографической защиты (ОКЗ). Им могут являться: отдельное подразделение внутри компании, конкретные сотрудники, сервис-провайдеры или другие внешние подрядчики. Если работу со средствами криптографической защиты будет регулировать сама компания, то следует выпустить приказ о создании ОКЗ, в котором обозначается структура органа и перечисляются обязанности ответственных лиц. Для всех введенных должностей следует создать отдельные должностные инструкции с описанием порядка применения СКЗИ.
Отдельные журналы должны вести и обладатели конфиденциальной информации, то есть сами компании, если органом криптографической защиты для них является внешний подрядчик. Если ОКЗ — отдел внутри организации, то это подразделение ведет как журнал учета СКЗИ, так и журнал для обладателя конфиденциальной информации.
Также следовать приказу ФАПСИ № 152 и вести эксплуатационно-техническую документацию СКЗИ обязаны лицензиаты ФСБ России. Это организации, которые разрабатывают, внедряют, настраивают и обслуживают средства криптографической защиты.
Перейдем к основной документации по СКЗИ, которую обязаны вести все перечисленные организации и подразделения. К ней относятся:
Готовые шаблоны основной документации по СКЗИ можно скачать тут. При возникновении сложностей закажите консультацию экспертов Solar MSS. Специалисты расскажут, как корректно вести учет инструментов криптографической защиты с опорой на законодательство и специфику компании.
Правила ведения журнала учета СКЗИ и ключевой документации
Организации должны вести два типа журналов:
Также компании должны вести перечень ключевой документации (документов, содержащих ключевую информацию — совокупность криптоключей для шифрования и расшифрования чувствительных данных). В такой документации по СКЗИ указывается ключевая информация, используемые носители и ФИО лиц, ответственных за сохранность ключевой информации. Перечень ключевых документов упростит процесс перевыпуска ключевой информации в случае увольнения сотрудников, компрометации ключей и при инвентаризации носителей.
Типичные ошибки при работе с эксплуатационно-технической документацией по СКЗИ, как их избежать
Какие недочеты, связанные с документацией, чаще всего встречаются в организациях:
Как ГК «Солар» поможет упростить учет СКЗИ: возьмем на себя ведение документации по использованию средств криптографической защиты информации
Предлагаем построить криптозащиту путем подключения сервиса ГОСТ VPN, предназначенного для шифрования каналов связи и защиты чувствительных информационных активов, передаваемых по этим каналам связи. Решение работает на базе российских криптоалгоритмов и на высоком уровне обеспечивает целостность и конфиденциальность информации.
Преимущества сервисной модели использования криптографической защиты:
Сервис ГОСТ VPN подключается по подписке в рамках комплексной услуги по обеспечению криптозащиты. Тариф будет зависеть от сферы деятельности компании, технического задания и необходимого уровня криптографической защиты.
ЗАКЛЮЧЕНИЕ
Ведение эксплуатационной и технической документации по СКЗИ — это не формальность, а необходимость. Такая мера позволяет обеспечить контроль применения средств криптографической защиты информации и соблюсти регламенты отраслевых регуляторов. Чтобы избежать лишней бумажной работы и высвободить ресурсы штатных специалистов, можно доверить учет СКЗИ надежному провайдеру, такому, как «Солар». Подключите подписку на сервис криптозащиты ГОСТ VPN. Услуга включает установку и настройку необходимого оборудования, мониторинг в режиме 24/7, регулярные проверки системы, контроль хранения СКЗИ, ведение документации. Чтобы больше узнать о сервисе и тарифах, оставьте заявку на консультацию.
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.