Поскольку Инструкция ФАПСИ №152 является базовым документом, регламентирующим правила работы со средствами криптографической защиты информации (СКЗИ) для всех государственных органов и организаций России, а также для многих коммерческих предприятий (например, работающих с госторганами или лицензируемых видов деятельности), рекомендации будут актуальны для широкого круга отраслей.
Несмотря на то, что приложение ЦИФРЫ ТИМДУ не являются сертифицированным средством, но его функционал позволяет создать удобную и защищенную среду для выполнения инструкции ФАПСИ №152.
Проектирование структуры журнала в приложении ЦИФРЫ ТИМДУ
Вместо того чтобы вести хаотичные записи, вы можете создать строгую структуру, повторяющую графы бумажного журнала.
Группы СКЗИ
Для каждого типа объектов СКЗИ заведите отдельные Группы:
Группа «Программные СКЗИ»
Здесь учитываются экземпляры КриптоПро, ViPNet Client и т.д. В карточку актива можно внести:
- наименование
- версию
- дату выпуска/получения
- номер сертификата
- дату окончания сертификата (критично для отслеживания)
- место установки (на каком сервере или АРМ).
Группа «Носители ключевой информации (НКИ)»
Здесь учитываются все Рутокены, смарт-карты и т.д.
В карточке актива должны быть поля:
- тип носителя
- уникальный идентификатор (серийный номер)
- дата выдачи
- кому выдан (сотрудник)
- дата возврата
-
отметки об уничтожении
Группа «Экземпляры СКЗИ»
Здесь можно вести поэкземплярный учет, привязывая конкретный экземпляр программы к конкретному носителю.
Группа «Документация»
Отдельная категория для учета эксплуатационной и технической документации на СКЗИ.
Реализация процессов учета и контроля
Фиксация выдачи и возврата
-
При выдаче токена сотруднику, вы заходите в карточку НКИ и меняете статус с «На складе/в сейфе» на «Выдан».
- В поле «Ответственный» или через специальное текстовое поле вносите ФИО сотрудника, дату и номер документа-основания. ТИМДУ хранит всю историю изменений. Это означает, что если вы потом исправите статус на «Возвращен», в системе останется запись о том, когда и кому он был выдан. Это и есть электронный аналог журнала выдачи.
Модуль QR-кодов (продукт ИНВЕНТАРЬ) можно использовать для быстрой инвентаризации носителей. Распечатайте QR-код с ID носителя и наклейте на пакет/конверт, в котором он хранится. При проверке достаточно просканировать код, чтобы увидеть всю историю носителя.
Контроль и уведомления
Можно настроить уведомления о приближении даты окончания сертификатов на СКЗИ, чтобы вовремя их продлевать или заменять.
Сквозное шифрование полей
Шифрование защищает журнал от несанкционированного доступа извне:
- ваши данные зашифрованы и недоступны даже разработчикам платформы, если вы используете облачную версию;
- увеличивают безопасность от внутренних нарушителей, если вы используете вариант продукта, установленного на ваш сервер.
Система ролей и прав
Разграничение доступа критически важно, так как данные об СКЗИ сами требуют защиты.
Вы можете создать роль «Администратор СКЗИ» и дать доступ к разделу учета только 1–2 сотрудникам, которые имеют право выдавать ключи сотрудникам. Остальные сотрудники не будут видеть этот раздел.
Двухфакторная аутентификация (2FA)
Обязательное включение 2FA для всех пользователей, имеющих доступ к журналу учета СКЗИ, является лучшей практикой и усилит безопасность.
Юридический аспект «электронного журнала»
При проверке ФСБ или ФСТЭК могут потребовать именно бумажный журнал установленной формы. Совместно с юридической службой организации подготовьте документы для ввода учёта в ежедневную практику.
Внутренний приказ
Издайте приказ по организации, в котором будет сказано: «С целью автоматизации учета СКЗИ и повышения контроля, установить, что журнал учета СКЗИ ведется в электронной форме с использованием платформы Тимду, приложение ЦИФРЫ».
В приказе назначьте ответственного за ведение журнала и определите порядок доступа.
Регулярная выгрузка и заверение
Раз в месяц (или квартал) выгружайте данные из приложения ЦИФРЫ ТИМДУ в формате csv.
Распечатывайте этот отчет, сшивайте, заверяйте подписью ответственного и печатью организации. Это будет вашим официальным бумажным журналом, а ЦИФРЫ ТИМДУ — рабочим инструментом для его ведения.
Журнал событий
ТИМДУ хранит историю изменений по каждому активу. В случае спора вы всегда сможете показать, кто и когда внес ту или иную запись.