Автоматизация учета СЗИ и СКЗИ. Обзор продукта Рутокен База

Предпосылки создания Рутокен База        

Согласно приказу ФАПСИ №152, каждая организация, использующая программные или аппаратные СКЗИ, должна выполнять ряд требований: в том числе, вести их учет и предоставлять утвержденную отчетность контролирующим органам. А в средней организации СКЗИ достаточно много – это ключевые документы для КЭП, токены и смарт-карты сертифицированные ФСБ, клиенты российских VPN, программные криптоповайдеры, и еще много чего.

Кроме того, компаниям важно контролировать имеющиеся у них средства защиты информации (СЗИ): например, токены, на которых хранятся полученные в аккредитованном УЦ ключи квалифицированной электронной подписи.

От системы, предназначенной для организации учета СЗИ, СКЗИ, ключевых документов и сертификатов, ожидают, что она удовлетворит актуальные требования законодательства и станет удобной в использовании.

Каким требованиям должна соответствовать система учета СКЗИ и СЗИ?

Во-первых, безусловно, – соответствие требованиям законодательства (в первую очередь, уже упомянутому приказу ФАПСИ №152), возможность выполнять операции, предусмотренные приказом и формировать отчёты.

Во-вторых, возможность вносить информацию об СКЗИ и СЗИ как вручную, так и автоматически с помощью агента, установленного на ПК сотрудников. Агент должен уметь определять ключевыми носителями от различных производителей, ключи и сертификаты на них, а также различные программные и аппаратные СКЗИ и СЗИ.

Во-третьих, своевременное оповещение о возникновении различных событий, таких как завершение срока действия сертификатов ЭП, ключей, сертификатов соответствия ФСТЭК/ФСБ и гарантийного срока.

И, в-четвертых, упрощение работы администраторов, ответственных за учет. В большинстве организаций функция учета является для сотрудника не основным занятием, а дополнительным обременением. Поэтому система должна максимально облегчить им эту рутинную задачу. 

Доступные на российском рынке решения лишь отчасти соответствуют этим критериям. Как правило, это либо сложные системы, предназначенные для взаимодействия с локальными Удостоверяющими центрами (УЦ), либо учетные системы, которые не обладают достаточной степенью автоматизации.

Основная функциональность систем для взаимодействия с локальными УЦ связана с процедурой выдачи сертификатов, а вот функция учета СКЗИ по приказу ФАПСИ №152 часто является для них факультативной и реализована не полностью. Учетные же системы чаще всего предполагают ручной ввод большого количества сведений – в том числе, о токенах, картах, криптопровайдерах и ключевых парах. Кроме того, с их помощью невозможно отслеживать подключения токенов и карт к рабочим машинам сотрудников.

Линейка программно-аппаратных средств защиты информации от Компании «Актив»
Фото предоставлено Компанией «Актив»

«Правильная система данного класса, по нашему мнению, ведет учет не только СКЗИ, но и СЗИ, ключевых документов и сертификатов, так как это важный процесс для администраторов. Она формирует необходимые отчеты как по 152-му приказу, так и дополнительные, ведет журнал событий – какие токены с какими сертификатами, какие криптопровайдеры на каких рабочих станциях размещены и так далее. Также она контролирует сроки действия сертификатов электронной подписи, сертификатов соответствия, гарантийных сроков. Компании «Актив», производителю программно-аппаратных СКЗИ и СЗИ, логично было бы разработать такую систему как закономерное продолжение продуктовой линейки. В результате кропотливой работы было создано решение Рутокен База, которое сегодня уже включено в реестр отечественного ПО и готовится к сертификации ФСТЭК», – рассказывает менеджер по продукту Рутокен Компании «Актив» Андрей Игнатов.

Компоненты и функциональность системы Рутокен База

Рутокен База – система учета и управления жизненным циклом ключевых носителей, ключевых документов, сертификатов электронной подписи, СЗИ и СКЗИ. Архитектурно она состоит из нескольких компонентов: учетной системы, управляющего сервера, СУБД, агента для установки на рабочих станциях и дополнительных компонентов – почтового сервера (для рассылки уведомлений и подписания с помощью простой ЭП) и криптопровайдера (для подписания документов усиленной ЭП).

Архитектура продукта Рутокен База

Основные функции системы представлены ниже.

Функция добавления данных. Агент Рутокен База определяет и заносит в учетную систему информацию о защищенных ключевых носителях (USB-токенах, смарт-картах) от различных производителей, прочих ключевых носителях (реестр, файловая система, flash-накопители), программных криптопровайдерах (например, КриптоПРО CSP), установленных на ПК сотрудников, ключевых документах и сертификатах ЭП. 

Агенты Рутокен База могут быть установлены на все нужные автоматизированные рабочие места сотрудников предприятия, лицензирования по их количеству отсутствуют. Кроме того, добавление данных может происходить и вручную. Всю полученную информацию об объектах учетная система будет использовать в дальнейшей работе.

Функция учета включает в себя учет защищенных ключевых носителей от различных производителей, программных и аппаратных СКЗИ, ключевых документов и сертификатов ЭП. Наличие информации о сертификатах ЭП позволяет отслеживать, на каких носителях хранится определенный сертификат, какой его срок действия, а также периодически проверять в удостоверяющем центре, что сертификат не отозван. В случае изменения статуса сертификата администратор получает соответствующее уведомление.

Функция отчетности. Система Рутокен База позволяет формировать журналы учета СКЗИ в соответствии с приказом ФАПСИ 152, а также различные отчеты: по произошедшим событиям, ключевым носителям, прочим СКЗИ, ключевым документам и сертификатам ЭП и др.

Функция операций. По каждому объекту учета могут быть выполнены операции, предусмотренные приказом ФАПСИ 152: например, постановка на учет, выдача сотрудникам и возврат, уничтожение. Документы по данным операциям могут быть подписаны с помощью классической подписи, простой или усиленной ЭП.

«В нашей системе каждая операция – это акт. Отдельные документы по ним, как вариант, могут подписываются либо в классическом формате, когда человек ставит подпись вручную, документ сканируется, подшивается в папку, а в электронном виде помещается в систему и там хранится. Второй вариант – когда используется простая электронная подпись: человеку приходит электронное письмо с секретным кодом и ссылкой, он переходит по ссылке, смотрит документ, который ему надо подписать, вводит в специальное поле секретный код и таким образом подписывает. И еще есть усиленная электронная подпись – когда подписание выполняется с помощью ключа квалифицированной или неквалифицированной электронной подписи. Мы используем веб-плагин КриптоПро, благодаря которому это делается очень просто», – поясняет Андрей Игнатов.

Функция контроля. Рутокен База может осуществлять контроль возникновения таких событий, как отзыв и завершение сроков действия ключей и сертификатов ЭП, подключение незарегистрированных ключевых носителей к рабочим станциям организации, завершение сроков действия сертификатов соответствия, технической поддержки, а также окончание гарантийного срока эксплуатации.

«Можно отслеживать факт того, что один и тот же ключ находится на двух разных носителях. Так случается, когда, например, ключевой контейнер КриптоПро сначала был скопирован на одну флешку, а потом на другую. Это противоречит требованиям 63-ФЗ, а кроме того, – возможно, и политике безопасности организации», – добавляет Андрей Игнатов.

При возникновении любого из перечисленных событий Рутокен База уведомит о нем администраторов с помощью электронной почты и через уведомление в интерфейсе системы. 

Преимущества от внедрения Рутокен База

Лицензирование и сценарии применения Рутокен База

Рутокен База лицензируется по количеству сотрудников, которым могут быть выданы СКЗИ или СЗИ. Таким образом, стоимость решения не зависит от количества серверов, установленных агентов и других параметров.

Существует два вида лицензий. Постоянную можно использовать без ограничений по времени, а техническая поддержка и обновления доступны в течении 12 месяцев. Второй вариант – подписка на год, в которую так же на весь этот срок включены техническая поддержка и обновления.

По информации разработчика, Рутокен База будет полезна государственным организациям, компаниям с госучастием и коммерческим компаниям, в которых используют КЭП более ста сотрудников.

«Рутокен База необходим компаниям, которые активно используют квалифицированную электронную подпись, то есть получают в аккредитованных УЦ сертификаты ключа проверки электронной подписи, которые являются СКЗИ. Мы активно поддерживаем процесс импортозамещения, агенты работают как под Windows, так и под Linux, а серверная часть – под Linux. Мы успешно протестировали наше решение на российских операционных системах, как предыдущих, так и новых поколений», – утверждает Андрей Игнатов.