Учет СКЗИ в электронном виде
Можно ли вести учет СКЗИ в электронном виде? Какие требования при этом предъявляются?
Требования к учету
После двадцатилетнего юбилея инструкции ФАПСИ №152 требованиями про учет СКЗИ уже никого не удивишь. Кратко: все перемещения СКЗИ между различными организациями — участниками процесса (и даже собственными сотрудниками) должны логироваться. Более подробно процесс учета описан в статье моего коллеги на хабре.
К реализации требований по учету все подходят по разному — кто-то действительно ведет журнал в бумажном виде, кто-то — табличку в excel, которую распечатывает «при необходимости» (за час до прихода проверяющего). В некоторых организациях используются самописные системы учеты, а иногда специализированные продукты.
В статье рассмотрены несколько вариантов ведения журналов учета в электронном виде, а также мнение регулятора на этот счет (читайте до конца).
Варианты оцифровки
Менеджмент безопасности от Imbasoft
Менеджмент безопасности — это специализированная конфигурация для платформы 1С:Предприятие 8. Авторскими правами обладает imbasoft.ru, продукт бесплатный при использовании по назначению (freeware).
Отличный бесплатный вариант для работы в паре с 1С.
X-Control от Spacebit
X-Control — коммерческий продукт, предназначенный специально для тех, кто хочет оцифровать учет СКЗИ. Работа администраторов осуществляется через веб-интерфейс.
На сайте продукта есть маркетинговые материалы, которые наглядно демонстрируют сложности учета.
Реализация в виде отдельной системы требует множества интеграций: с 1С для актов поступления продуктов на баланс, с AD/УЦ — для учета пользовательских СКЗИ. И тут могут быть свои нюансы. Продукт активно развивается, есть возможность тюнинга под заказчика.
Avanpost PKI от Avanpost
Avanpost PKI — это система управления элементами инфраструктуры открытых ключей. Продукт разрабатывался для связки с удостоверяющим центром и поэтому больше нацелен на пользовательские СКЗИ.
Реализовано множество интеграций — с различными УЦ, производителями токенов, кадровым системами.
В продукте есть шаблоны различных актов, напоминалки об окончании срока действия ключевой информации, а также сертификатов ФСБ. Информацию из базы данных можно распечатать в формате, указанном в инструкции ФАПСИ.
При наличии в организации собственного удостоверяющего центра Avanpost PKI отлично подойдет, чтобы организовать учет СКЗИ. При отсутствии — выглядит довольно громоздким.
Альфа-Док и ИТ-Коннектор
Альфа-Док — продукт для управления процессами ИБ с упором на комплаенс.
Он позволяет автоматизировать разработку и актуализацию документации, вести журналы учета СКЗИ, мониторить сроки действия сертификатов ФСБ.
ИТ-Коннектор — платформа для поддержки процессов жизненного цикла информационных систем. Особенно это актуально для организаций, которые централизованно приобретают СКЗИ для последующей передачи подведам или предоставляют услуги с СКЗИ своим клиентам. Продукт существенно упрощает работу Органа Криптографической Защиты (ОКЗ) таких организаций.
Реализована система заявок от подведов к головной организации на различные действия с СКЗИ. Журналы учета можно вести в электронном виде, далее экспортировать в формат для печати или подписать электронной подписью.
КИТ-Журнал
КИТ-Журнал для меня продукт новый, узнал про него совсем недавно. Разработкой занимается компания КИТ-Дистрибуция из Екатеринбурга. Специализация компании — автоматизация процессов в различных областях, акцент на оцифровку журналов.
Помимо журналов поддерживаются и другие смежные сценарии. Например, проведение инструктажей пользователей по работе с СКЗИ. Поддержка ЭП — на борту.
Ответ регулятора
Учитывая возраст инструкции ФАПСИ, довольно часто возникают вопросы о возможности ведения журналов учета в электронном виде. Для ясности запросил разъяснение регулятора по этому поводу.
Таким образом, ведение журналов в электронном виде возможно с применением усиленной квалифицированной ЭП. А еще систему, которая реализует учет СКЗИ, нужно бекапить 🙂
Данные требования при желании можно реализовать на любой из указанных выше систем.
Продолжение в следующей заметке Учет СКЗИ: еще системы
Добрый день, Александр!
Вы сами какое ПО выбрали бы и порекомендовали, тем кто только собирается перейти с бумажных журналов на электронные?
Добрый день!
Однозначного ответа нет, так как очень много факторов, которые повлияют на выбор.
В минимальном случае я бы посмотрел в сторону плагина/доработки 1С или excel с макросами.
В максимальном — систему, у которой больше всего интеграций с существующей инфраструктурой.
и мне нельзя было бы прислать
оригинал ответа
Напишите в тг в л.с.
Подскажите еще такой вопрос, может раскрыть этот вопрос в отдельной статье, в связи с поправками в ФЗ-63 «Об электронной подписи» с июля 2021г процедура получения ЭЦП изменилась, теперь сотрудники сами получают их в УЦ и в ФНС, (по доверенности не выдают) а не как раньше было, ответственный сотрудник организации получал по доверенности и, отмечал у себя в журнале и выдал сотрудникам под роспись. Теперь надо расписываться сотруднику о выдаче или нет? И каким образом могут помочь все выше перечисленные программы, возможно их необходимость пропала уже?
Вести учет внутри организации все равно придется. Только теперь децентрализовано (
Добрый день.
Учет внутри организации ЭЦП выданных на юр. лицо действительно нужен.
А как быть с ЭЦП выданных на физ. лиц? Они подлежат учету? Эти ЭЦП используются сотрудниками как в информационных системах предприятия так и в личных целях.
Думаю, что тут не обойтись без запроса регулятору )
А когда это УКЭП стала СКЗИ?
Сама по себе? В терминологии учета это ключ
Добрый день, Александр!
Можете ли вы прислать оригинал письма ответа из ФСБ, который вы приложили в статье о ведении журналов в электронном формате?
Добрый день.
Лицензиат ФСБ перепродает (является партнером производителя) неограниченному кругу лиц токены, сертифицированные фсб.
Нужно ли и как нужно вести поэкземплярный учет в этом случае?
Прилагаемая типовая форма журналов поэкземплярного учета к инструкции не подходят по содержанию под этот случай.
Добрый день!
Если поставка под конкретного клиента, то лицензиат сразу сообщает его данные вендору.
Если поставка на склад лицензиату, т.е. конечный пользователь заранее неизвестен, то учет на стороне лицензиата нужен.
В любом случае должна прослеживать цепочка поставки от производителя до конечного пользователя.