Учет СКЗИ в электронном виде
Можно ли вести учет СКЗИ в электронном виде? Какие требования при этом предъявляются?
Требования к учету
После двадцатилетнего юбилея инструкции ФАПСИ №152 требованиями про учет СКЗИ уже никого не удивишь. Кратко: все перемещения СКЗИ между различными организациями — участниками процесса (и даже собственными сотрудниками) должны логироваться. Более подробно процесс учета описан в статье моего коллеги на хабре.
К реализации требований по учету все подходят по разному — кто-то действительно ведет журнал в бумажном виде, кто-то — табличку в excel, которую распечатывает «при необходимости» (за час до прихода проверяющего). В некоторых организациях используются самописные системы учеты, а иногда специализированные продукты.
В статье рассмотрены несколько вариантов ведения журналов учета в электронном виде, а также мнение регулятора на этот счет (читайте до конца).
Варианты оцифровки
Менеджмент безопасности от Imbasoft
Менеджмент безопасности — это специализированная конфигурация для платформы 1С:Предприятие 8. Авторскими правами обладает imbasoft.ru, продукт бесплатный при использовании по назначению (freeware).
Отличный бесплатный вариант для работы в паре с 1С.
X-Control от Spacebit
X-Control — коммерческий продукт, предназначенный специально для тех, кто хочет оцифровать учет СКЗИ. Работа администраторов осуществляется через веб-интерфейс.
На сайте продукта есть маркетинговые материалы, которые наглядно демонстрируют сложности учета.
Реализация в виде отдельной системы требует множества интеграций: с 1С для актов поступления продуктов на баланс, с AD/УЦ — для учета пользовательских СКЗИ. И тут могут быть свои нюансы. Продукт активно развивается, есть возможность тюнинга под заказчика.
Avanpost PKI от Avanpost
Avanpost PKI — это система управления элементами инфраструктуры открытых ключей. Продукт разрабатывался для связки с удостоверяющим центром и поэтому больше нацелен на пользовательские СКЗИ.
Реализовано множество интеграций — с различными УЦ, производителями токенов, кадровым системами.
В продукте есть шаблоны различных актов, напоминалки об окончании срока действия ключевой информации, а также сертификатов ФСБ. Информацию из базы данных можно распечатать в формате, указанном в инструкции ФАПСИ.
При наличии в организации собственного удостоверяющего центра Avanpost PKI отлично подойдет, чтобы организовать учет СКЗИ. При отсутствии — выглядит довольно громоздким.
Альфа-Док и ИТ-Коннектор
Альфа-Док — продукт для управления процессами ИБ с упором на комплаенс.
Он позволяет автоматизировать разработку и актуализацию документации, вести журналы учета СКЗИ, мониторить сроки действия сертификатов ФСБ.
ИТ-Коннектор — платформа для поддержки процессов жизненного цикла информационных систем. Особенно это актуально для организаций, которые централизованно приобретают СКЗИ для последующей передачи подведам или предоставляют услуги с СКЗИ своим клиентам. Продукт существенно упрощает работу Органа Криптографической Защиты (ОКЗ) таких организаций.
Реализована система заявок от подведов к головной организации на различные действия с СКЗИ. Журналы учета можно вести в электронном виде, далее экспортировать в формат для печати или подписать электронной подписью.
КИТ-Журнал
КИТ-Журнал для меня продукт новый, узнал про него совсем недавно. Разработкой занимается компания КИТ-Дистрибуция из Екатеринбурга. Специализация компании — автоматизация процессов в различных областях, акцент на оцифровку журналов.
Помимо журналов поддерживаются и другие смежные сценарии. Например, проведение инструктажей пользователей по работе с СКЗИ. Поддержка ЭП — на борту.
Ответ регулятора
Учитывая возраст инструкции ФАПСИ, довольно часто возникают вопросы о возможности ведения журналов учета в электронном виде. Для ясности запросил разъяснение регулятора по этому поводу.
Таким образом, ведение журналов в электронном виде возможно с применением усиленной квалифицированной ЭП. А еще систему, которая реализует учет СКЗИ, нужно бекапить 🙂
Данные требования при желании можно реализовать на любой из указанных выше систем.
Продолжение в следующей заметке Учет СКЗИ: еще системы
Добрый день, Александр!
Вы сами какое ПО выбрали бы и порекомендовали, тем кто только собирается перейти с бумажных журналов на электронные?
Добрый день!
Однозначного ответа нет, так как очень много факторов, которые повлияют на выбор.
В минимальном случае я бы посмотрел в сторону плагина/доработки 1С или excel с макросами.
В максимальном — систему, у которой больше всего интеграций с существующей инфраструктурой.
и мне нельзя было бы прислать
оригинал ответа
Напишите в тг в л.с.
Подскажите еще такой вопрос, может раскрыть этот вопрос в отдельной статье, в связи с поправками в ФЗ-63 «Об электронной подписи» с июля 2021г процедура получения ЭЦП изменилась, теперь сотрудники сами получают их в УЦ и в ФНС, (по доверенности не выдают) а не как раньше было, ответственный сотрудник организации получал по доверенности и, отмечал у себя в журнале и выдал сотрудникам под роспись. Теперь надо расписываться сотруднику о выдаче или нет? И каким образом могут помочь все выше перечисленные программы, возможно их необходимость пропала уже?
Вести учет внутри организации все равно придется. Только теперь децентрализовано (
Добрый день.
Учет внутри организации ЭЦП выданных на юр. лицо действительно нужен.
А как быть с ЭЦП выданных на физ. лиц? Они подлежат учету? Эти ЭЦП используются сотрудниками как в информационных системах предприятия так и в личных целях.
Думаю, что тут не обойтись без запроса регулятору )
А когда это УКЭП стала СКЗИ?
Сама по себе? В терминологии учета это ключ
Добрый день, Александр!
Можете ли вы прислать оригинал письма ответа из ФСБ, который вы приложили в статье о ведении журналов в электронном формате?