Определение СКЗИ и их важность в современном мире кибербезопасности
Средство криптографической защиты информации (СКЗИ) − это специальная программа или устройство, которое шифрует данные и генерирует электронные подписи (ЭП). Все операции выполняются с использованием уникального ключа электронной подписи, который невозможно взломать вручную, поскольку представляет собой сложную комбинацию символов. Одной из основных задач СКЗИ является обеспечение целостности и защищённости документов после подписания их электронной подписью. Использование современных криптографических алгоритмов помогает также предотвратить атаки хакеров и злоумышленников на информацию и снизить риск утечки данных.
СКЗИ используют в разных сферах. В основном они применяются для установления авторства при отправке документов, которые предоставляются в различные государственные структуры: ФНС, ФСС, ПФР и др. Электронный документооборот между компаниями (например, подписание счёт-фактур) подтверждается также квалифицированной ЭП, которая гарантирует юридическую силу документа. В государственных закупках на бюджетные средства для подписания контрактов требуется ЭП. В последнее время сферы применения СКЗИ только расширяются: они требуются для работы с порталами госструктур, таких как Госуслуги, портал Росреестра, ФНС и прочие.
Таким образом, криптографические средства прочно вошли в нашу жизнь и играют важную роль в обеспечении кибербезопасности в целом.
Проблемы при работе с СКЗИ
Российское законодательство строго регламентирует весь жизненный цикл используемых в организации средств криптографической защиты информации. Основные требования изложены в Приказе ФАПСИ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
К реализации требований учёта СКЗИ организации подходят по-разному: кто-то ведёт журнал в бумажном виде, кто-то – в таблице Excel, испытывая при этом колоссальную нагрузку из-за сложностей обработки большого количества заявок на выдачу и учёт СКЗИ. Даже выпуск одного сертификата ЭП включает ряд определённых шагов: подготовку ключевого носителя, формирование запроса на выдачу сертификата с внесением информации о пользователе и формированием ключевой пары, запись выпущенного сертификата на ключевой носитель и т.д. При ручном вводе данных в различных приложениях это занимает много времени ответственного администратора. А когда ежедневно выпускаются сотни сертификатов, значительно увеличиваются трудозатраты на выполнение рутинных операций.
При ведении документации вручную территориально распределённые компании сталкиваются с трудностями в контроле над деятельностью своих филиалов. Периодически им приходится выезжать для ознакомления с отчётностью. Кроме этого, ФСБ России также проверяет соблюдение законодательства по учёту и эксплуатации СКЗИ. Неисполнение требований может привести к административной ответственности и необходимости оперативного устранения недочётов (статья 13.12 «Нарушение правил защиты информации» КоАП РФ). Недавно Прокуратура Саратовской области в ГАУ СО «МФЦ» выявила нарушения законодательства о защите информации и персональных данных: на жёстких дисках автоматизированных рабочих мест были обнаружены файлы, содержащие пароли и парольные фразы СКЗИ, а также файлы закрытой части ключа ЭП; автоматизированное рабочее место не было оборудовано средствами контроля на предмет его вскрытия; отсутствовал журнал поэкземплярного учёта СКЗИ и др. И это совсем не единичное подобное дело в судебной практике.
Встречаются и случаи неэффективного использования лицензий на право использования СКЗИ. При отсутствии должного учёта возможны случаи преждевременной закупки новых. Такие ситуации напрямую влияют на эффективность бизнес-процессов компании.
Поэтому желательно автоматизировать процесс выдачи и учёта СКЗИ, что позволит не только снизить нагрузку на администраторов, соблюсти все требования законодательства по работе с криптосредствами, но и повысить кибербезопасность компании. Одним из зарекомендовавших себя на рынке современных решений по автоматизации данных процессов является АльфаКрипто.
Что такое АльфаКрипто?
АльфаКрипто – приложение экосистемы «Альфа», позволяющее выполнить требования законодательства по учёту и выдаче СКЗИ в современных условиях использования криптосредств.
АльфаКрипто обеспечивает выполнение обязательных требований Приказа ФАПСИ № 152:
1. Учёт выданных органом криптографической защиты (ОКЗ) экземпляров СКЗИ, ведение журнала учёта по установленной форме.
2. Ведение лицевых счетов пользователей СКЗИ, учёт выданных каждому пользователю экземпляров СКЗИ.
3. Передача СКЗИ из ОКЗ обладателю конфиденциальной информации, акт приёма-передачи, фиксация в журнале поэкземплярного учёта ОКЗ.
4. Внесение информации о получении СКЗИ в журнал поэкземплярного учёта от изготовителя (реквизиты акта приёма-передачи).
5. Внесение информации об уничтожении СКЗИ в журнал поэкземплярного учёта (реквизиты акта об уничтожении).
АльфаКрипто может применяться как организациями, занимающимися распространением СКЗИ, так и пользователями СКЗИ. Рассмотрим оба сценария.
1 сценарий. Лицензиат ФСБ
При выдаче СКЗИ другим лицам в АльфаКрипто создаётся портал предоставления услуг, связанных с СКЗИ (выдача, возврат). Удобный графический конструктор позволяет внутри системы создать регламенты подачи и обработки заявок по заранее настроенному бизнес-процессу, не нарушая привычные стандарты работы органа криптографической защиты. В системе собирается вся обязательная информация для выдачи СКЗИ, а также формируется необходимая сопроводительная документация.После выдачи действие с СКЗИ автоматически фиксируется в личных кабинетах: в журналах учёта СКЗИ (как на стороне лицензиата, так и пользователя), а также в лицевых счетах пользователей криптосредств. Программа позволяет создать единую точку оказания услуг, начиная от запроса администратора и самого пользователя и заканчивая выдачей готового сертификата субъекту. Кроме этого, АльфаКрипто помогает контролировать весь жизненный цикл СКЗИ и поддерживать информацию в актуальном состоянии. Система отслеживает срок действия сертификата и уведомляет о необходимости их перевыпуска.
Для организаций, занимающихся распространением криптосредств, программу можно преобразовать в полноценный портал по выдаче криптосредств: для каждого СКЗИ выстроить отдельную услугу для того, чтобы учитывать все его особенности.
2 сценарий. Пользователь СКЗИ
С помощью АльфаКрипто можно в три раза сократить процесс внутреннего учёта СКЗИ. Все необходимые акты, журналы и лицевые счета пользователей формируются автоматически.
Приложение позволяет упростить процесс учёта массовых СКЗИ. Все криптосредства имеют похожие сведения, поэтому можно разово завести в систему реквизиты, которых может быть большое количество (учётные, серийные и лицензионные номера), информацию о комплектации, а в последующем просто вносить значения.
В программе могут одновременно работать все подразделения территориально распределённой компании. При этом ролевое разграничение прав позволяет видеть данные только своего филиала или всех филиалов.
Преимущества использования АльфаКрипто
В АльфаКрипто формируется организационно-распорядительная документация, требуемая регламентом. Система автоматически заполняет шаблоны документов данными, собранными у пользователей (акты приёма-передачи, уничтожения, установки, изъятия, доверенности, лицевые счета). В результате исключаются риски неполного или некорректного представления информации.
Например, Министерство финансов Челябинской области как оператор сети выдавало файлы DST. Для этого требовалось сформировать акт готовности автоматизированного рабочего места и доверенность. При помощи АльфаКрипто данный процесс был оцифрован. В результате пользователь с другой организации заходит на портал, в заявке заполняет все необходимые для получения файла DST сведения, а на основе которых формируются необходимые для выдачи документы, и выбирает дату и время для посещения ОКЗ (лицензиата). Электронная очередь на получение СКЗИ, формируемая в системе, позволяет пользователю прийти в удобное для него и лицензиата время, а QR-код – быстро и оперативно открыть лицензиату нужную заявку в системе.
В АльфаКрипто реализована гибкая система уведомлений пользователя: оператор при необходимости может осуществить массовую рассылку информационных сообщений на электронную почту пользователей системы; автоматически оповестить пользователя о времени прихода за дистрибутивом СКЗИ, а в случае истечения срока действия лицензии СКЗИ – уведомит как лица, осуществившего выдачу, так и пользователя СКЗИ.
Все операции с СКЗИ фиксируются и обладателем конфиденциальной информации, и органом криптографической защиты в журналах поэкземплярного учёта СКЗИ. Они разработаны по утверждённым Приказом ФАПСИ № 152 формам. В них отражается движение СКЗИ: формирование, выдача, установка, передача, уничтожение. В журналы вносятся сведения о диске с дистрибутивом, формуляре, серийном номере лицензии на СКЗИ, информация о пользователе СКЗИ и др. Для работы достаточно внести данные, журналы заполняются автоматически, что значительно экономит время специалистов.
В АльфаКрипто содержится журнал обучения пользователей правилам работы со средствами криптографической защиты информации, а также реализована возможность прохождения тестирования. Пока сотрудник не ответит на все вопросы правильно, он не сможет сформировать заявку на получение СКЗИ в системе. Это повышает безопасность эксплуатации криптосредства и позволяет удостовериться в компетентности сотрудника.
К преимуществам АльфаКрипто также относятся:
− контроль сроков действия лицензий электронных подписей;
− возможность подписания формируемых документов (в том числе и актов) электронной подписью;
− понятный и удобный интерфейс;
− периодическое обновление продукта и расширение функционала по запросам пользователей;
− возможность использования как в облаке, так и на мощностях заказчика;
− оперативная экспертная поддержка, которая помогает быстро и эффективно решать проблемы, повысить производительность и сэкономить время и ресурсы. Также можно организовать и провести обучение пользователей в рамках проекта внедрения информационной системы.
Если вы хотите оцифровать процессы учёта и выдачи СКЗИ и тем самым повысить производительность труда, обеспечить непрерывность бизнеса, снизить требования к количеству задействованного персонала, организовать взаимодействие с подразделениями и филиалами, используйте российскую разработку АльфаКрипто. Программа входит в Единый реестр отечественного ПО, что ещё раз подтверждает её соответствие всем требованиям законодательства.
Протестируйте АльфаКрипто совершенно бесплатно!
