Применение СКЗИ в ГИС: разбор новых требований ФСБ России
Узнать большеДля обеспечения конфиденциальности информационных ресурсов ограниченного доступа многие организации используют средства криптографической защиты (СКЗИ) — инструменты для шифрования и расшифрования. Они позволяют предотвратить несогласованное использование чувствительных сведений, которые передаются по открытым каналам связи или просто хранятся на различных устройствах.
Чтобы надлежащим образом обеспечивать безопасность данных и соответствовать требованиям регуляторов, необходимо заполнять документацию по используемым СКЗИ. Этот нюанс оговорен в приказе ФАПСИ № 152 от 13.06.2001. Рассказываем, как правильно вести учет и как избежать типичных ошибок в «бумажной» работе.
Правила эксплуатации и учета СКЗИ, основная эксплуатационно-техническая документация
Начнем с того, кто обязан вести учет и контролировать обращение со средствами защиты данных. Работу с СКЗИ организовывает орган криптографической защиты (ОКЗ). Им могут являться: отдельное подразделение внутри компании, конкретные сотрудники, сервис-провайдеры или другие внешние подрядчики. Если работу со средствами криптографической защиты будет регулировать сама компания, то следует выпустить приказ о создании ОКЗ, в котором обозначается структура органа и перечисляются обязанности ответственных лиц. Для всех введенных должностей следует создать отдельные должностные инструкции с описанием порядка применения СКЗИ.
Отдельные журналы должны вести и обладатели конфиденциальной информации, то есть сами компании, если органом криптографической защиты для них является внешний подрядчик. Если ОКЗ — отдел внутри организации, то это подразделение ведет как журнал учета СКЗИ, так и журнал для обладателя конфиденциальной информации.
Также следовать приказу ФАПСИ № 152 и вести эксплуатационно-техническую документацию СКЗИ обязаны лицензиаты ФСБ России. Это организации, которые разрабатывают, внедряют, настраивают и обслуживают средства криптографической защиты.
Перейдем к основной документации по СКЗИ, которую обязаны вести все перечисленные организации и подразделения. К ней относятся:
- Приказ о создании ОКЗ.
- Положение о допуске к СКЗИ.
- Должностные инструкции для персонала.
- Утвержденные приказом формы журналов учета СКЗИ.
- Шаблоны заявлений и акты.
- Правила эксплуатации СКЗИ.
Готовые шаблоны основной документации по СКЗИ можно скачать тут. При возникновении сложностей закажите консультацию экспертов Solar MSS. Специалисты расскажут, как корректно вести учет инструментов криптографической защиты с опорой на законодательство и специфику компании.
Правила ведения журнала учета СКЗИ и ключевой документации
Организации должны вести два типа журналов:
- Журнал поэкземплярного учета СКЗИ. В него должны быть включены сведения обо всех используемых организацией СКЗИ и ключах электронных подписей сотрудников, то есть в документе должно быть отражено каждое применяемое компанией решение. Также в журнале учета СКЗИ обязательно фиксируется движение этих инструментов: установка, формирование, выдача, передача, ликвидация и др. Эти данные должны отражаться как в документах ОКЗ, так и в журналах обладателей конфиденциальной информации.
- Аппаратный (технический журнал). Он нужен для учета аппаратных средств криптозащиты, например, серверов, где установлены ключи электронных подписей. В такой документации по СКЗИ присутствуют серийные номера используемых средств защиты, записи по обслуживанию, типы и серийные номера ключевых документов, номера всех экземпляров, номера ключевых носителей, отметки о ликвидации инструментов и другие сведения.
Также компании должны вести перечень ключевой документации (документов, содержащих ключевую информацию — совокупность криптоключей для шифрования и расшифрования чувствительных данных). В такой документации по СКЗИ указывается ключевая информация, используемые носители и ФИО лиц, ответственных за сохранность ключевой информации. Перечень ключевых документов упростит процесс перевыпуска ключевой информации в случае увольнения сотрудников, компрометации ключей и при инвентаризации носителей.
Типичные ошибки при работе с эксплуатационно-технической документацией по СКЗИ, как их избежать
Какие недочеты, связанные с документацией, чаще всего встречаются в организациях:
- Отсутствие некоторых документов, которые по регламенту должны обязательно быть. Чтобы избежать этой ошибки, необходимо перед внедрением СКЗИ уточнить, какая эксплуатационная документация нужна и заранее подготовить ее.
- Неправильное оформление журналов учета СКЗИ, например, несоблюдение формы ведения документации, несвоевременное внесение информации и др. Чтобы вести СКЗИ документацию строго по регламенту, можно использовать готовые шаблоны журналов и актов для ОКЗ, лицензиатов ФСБ России, обладателей конфиденциальной информации.
- Отсутствие актов об уничтожении неиспользуемых средств криптографической защиты, что затрудняет учет СКЗИ и повышает риски компрометации ключевой информации. Обязательно нужно составлять соответствующие акты, в которых указываются уничтожаемые решения и способы ликвидации. Например, программные средства сначала стирают с носителей ключевой информации, после чего осуществляют деинсталляцию программного обеспечения. Аппаратные СКЗИ физически уничтожают либо удаляют с них ключевую информацию.
- Нарушение правил хранения документации по СКЗИ. Журналы, акты, эксплуатационная, техническая, ключевая документация на электронных или бумажных носителях должны храниться в специальных охраняемых помещениях, доступ в которые предоставляется только сотрудникам ОКЗ.
Как ГК «Солар» поможет упростить учет СКЗИ: возьмем на себя ведение документации по использованию средств криптографической защиты информации
Предлагаем построить криптозащиту путем подключения сервиса ГОСТ VPN, предназначенного для шифрования каналов связи и защиты чувствительных информационных активов, передаваемых по этим каналам связи. Решение работает на базе российских криптоалгоритмов и на высоком уровне обеспечивает целостность и конфиденциальность информации.
Преимущества сервисной модели использования криптографической защиты:
- Операционные затраты вместо капитальных. Клиенту не нужно покупать оборудование и нанимать в штат специалистов для обслуживания решений — все расходы будут на стороне сервис-провайдера.
- Отсутствие необходимости вести эксплуатационную и техническую документацию по СКЗИ и учет средств защиты. Этим займутся опытные эксперты ГК «Солар», осведомленные обо всех нюансах законодательства.
- Соответствие законодательству и отраслевым регламентам. Сервис ГОСТ VPN функционирует на базе оборудования, сертифицированного ФСБ России.
Сервис ГОСТ VPN подключается по подписке в рамках комплексной услуги по обеспечению криптозащиты. Тариф будет зависеть от сферы деятельности компании, технического задания и необходимого уровня криптографической защиты.
