Требования к хранению ключевых носителей


#1

Интересно было бы разобраться по поводу хранения ключевых носителей, ведь они бывают разные, как СКЗИ так и СЗИ. Например если это Токен с правом доступа к СекретНет то это СЗИ и вроде бы особых требований к нему нет, а если на этот же Токен записан закрытый ключ,то это уже СКЗИ и требования по его учету и хранению обусловлены 152 приказом. Как минимизировать требования к хранению носителей? Что делать если нет дежурного который круглосуточно находится в организации? Можно ли перевести вход в ОС с использования электронных тредств на пару Логин-Пароль, и при этом хранить данные в реестре? Каким образом тогда учитывать эти самые реестры?


#2

Для начала нужно определить терминологию.

Ключевой носитель – физический носитель, предназначенный для размещения на нем ключевой информации. Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт - диск, Data Key, Smart Card, Touch Memory и т.п.);

Ключевой документ – физический носитель, содержащий ключевую информацию.

Ключевым документом является eToken/JaCarta (токен), на котором хранится закрытый ключ ЭП или ключ шифрования. Подлежит учету.

Ключевой носитель сам по себе учету не подлежит. Нет такого требования в Инструкции-152, но для собственного учета, конечно можно. Возможно у вас разделены журналы учета СКЗИ так, что требуется учет ключевых носителей.

Вопрос в том, является токен СКЗИ или нет. За ответом нужно читать документацию на него. У меня пока нет ни формуляра, ни руководства пользователя на этот продукт, или аналогичный.

В документации и формуляре на СЗИ SecretNet 6 (устарело, но там тоже была такая функция – записи криптоключа на идентификатор) нет ничего про шифрование, т.е. это не СКЗИ и учету по Инструкции-152 не подлежит. Да и сертификаты только ФСТЭКа, как СЗИ.

Если быть точным, то в SecretNet 6 была криптография - усиленная аутентификация по ключу. Но относится ли тогда SecretNe к СКЗИ не ясно, лучше уточнить у разработчика вашего СЗИ.

Читая сертификаты ФСТЭК на токены, можно узнать, что это просто средства аутентификации и безопасного хранения информации. Но в сертификатах ФСБ уже речь про «средства ЭП», что является СКЗИ, но наверняка вы эти функции не используете. А если используете средства ЭП, то уэе есть программные СКЗИ и учет токенов вас не сильно затруднит.

То же с аутентификацией по токену – относится к СКЗИ или нет? Может там и нет криптографических преобразований. Возможно в документации что-то можно будет найти.

Криптоключи хранятся в реестре – тогда требования по работе с КД распространяются на весь ПК. Ключевым носителем становится жесткий диск ПК. Можно только аппаратный журнал добавить, а остальные мероприятия вы и так делаете по другим пунктам Инструкции-152 или техдокументации.

В документации к КриптоПро 4 я нашел только несколько требований:

  1. парольная защита операционной системы,
  2. исключение доступа не допущенных к ним лиц и нарушителей.

Тут дело еще в том, что к ПК у вас один список доступа пользователей, а к КД – другой. Возможно это одни и те же пользователи, тогда будет проще. А если нет, то нужно принимать административные и технические меры, чтобы недопущенные к КД люди не получили к ним доступ.

Посмотреть на список мер, что кажутся вам избыточными.

Можно. Но только это должен решить либо разработчик системы защиты, либо администратор безопасности. Раз изначально так сделали, значит для чего-то это нужно. Тут я про то, что у вас вход в систему с предъявлением идентификатора/токена.

Учитывать ПК/HDD/SSD целиком как носитель ключевой информации.

Порядок хранения и работы с личными КД возлагается на пользователя. Подготовьте ему место хранения (шкаф, сейф, опечатываемая коробочка) и инструкцию. И себе разработайте порядок контроля с документированием итогов. Этого будет достаточно.

И тут вы видимо про ключи от спецпомещений органа криптозащиты подумали. Но то обычные ключи от дверей ОКЗ. Если нет ОКЗ, то и данные требования Инструкции-152 не нужно выполнять.

В любом случае, вне зависимости от того, что вы используете, СЗИ или СКЗИ, но ключевой носитель лучше учитывать.


#3

В результате проведенной проверки выставлены такие недостатки: Обезличенная передача носителей (Токенов). То что эти токены не несут ключевой информации и являются СЗИ, доказать не удалось. Отсутствие опечатывающих устройств на хранилищах, опять же повторюсь хранилище было с токенами СЗИ. Отсутствие второго администратора ИБ!!! Одного им уже мало.


#4

Логично. Раз токен отнесли к СКЗИ или ключевому документу СКЗИ, то и требования к его хранения будут предъявляться соответствующие.

На каждое изделие есть документация, есть сертификаты. Нужно работать с этим. Но уже видимо поздно, и нужно устранять нарушения? Если хотите обсудить результаты проверки, то давайте сделаем это в отдельной теме с приложением сканов документов и вашими доводами.

Какое основание?


#5

Я правильно понимаю, что:
1.В журнале “Поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов” регистрируются только те токены, на которых содержится ключевая информация (ЭП)?

2.Токены, которые используются для аутентификации в том же SecretNet регистрируются в журнале учета СЗИ?

3.Нужен третий журнал Учета ключевых носителей, в которых регистрируются ВСЕ имеющиеся токены, независимо от того, какую информацию они содержат. В том числе пустые/нулёвые?

4.Если пользователь хранит свои носители в личной тумбочке под ключом, то такая тумбочка подлежит учету в журнале хранилищ и опечатыванию?


#6

Да.
Но не обязательно только токены с ключами ЭП. Регистрируются любые носители под любые нужды, главное чтобы работало с СКЗИ.

Можно.
Но судя по обсуждению выше, кто-то такие токены приравнивает к СКЗИ, тогда и учет должен быть соответсвующим. С другой стороны, главное - это учет, и не сильно важно в каком журнале что учитываете.

Нет таких требований. К обязательному учету идут ключевые документы (токен + ключевая информация).

Возможно пустой токен проверяющие могут отнести к СКЗИ, тогда его нужно учитывать, но не как ключевой документ, а как СКЗИ. Но тут нужно отдельно подумать, т.к. это мнение только по пересказу о результатах одной проверки.

Напишите в тех. поддержку производителя токенов и уточните, являются они СКЗИ или нет.

Нет.
Нет требований по ведению журнала учета хранилищ пользователей СКЗИ. Вы путаете с аналогичным, но для хранилищ органа криптографической защиты. Речь про такой журнал только в п. 55 Инструкции-152, а там про “двери спецпомещений органов криптографической защиты”.

Да в тумбочке можно хранить КД, и вот цитата из Инструкции-152:

  1. Пользователи СКЗИ хранят инсталлирующие СКЗИ носители, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение.

Главное чтобы ящик был все же крепким, через заднюю стенку нельзя было в него залезть. И опечатывание - действенная мера контроля доступа.

Но при этом не забывайте, если у вас есть СКЗИ и ПДн на съемных носителях, то есть дополнительные требования по Приказу-378:

  1. Для выполнения требования, указанного в подпункте “б” пункта 5 настоящего документа, необходимо:
    а) осуществлять хранение съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками.

Да, они не про ключевые документы, но одно другому не мешает.


#7

Продолжу тему.
По разъяснению проверяющих - пользователь может хранить свой носитель в запираемом ящике(шкафу,сейфе),но нужно придерживаться принципа централизации, т.е. если есть Администратор ИБ то хранение носителей должно быть под его чутким присмотром. Если пользователь положил свой носитель в шкаф и опечатал его,то ключи от шкафа он должен сдать Администратору ИБ,естественно под роспись в журнале приема-выдачи, которые Администратор в свою очередь запирает в свой сейф и (барабанная дробь) сдает ключ от своего сейфа дежурному (опять же с подписью в журнале). Либо пользователь минует запирание носителя в своем ящике и просто сдает его Администратору ИБ и далее по списку…Но прием и передача носителя должны фиксироваться в Журнале,иначе нарушение - Обезличенная передача носителей…


#8

Пос SecretNet двоякая ситуация. Странно, что не удалось доказать проверяющим, что это не СЗИ. В шестой версии действительно есть возможность сформировать на носитель криптоключ для усиленной аутентификации. Но можно ведь обойтись и без него, что не помешает входить в систему по паре пароль+идентификатор не содержащий криптоключ.

Ну а с дежурным - как ни ерзай, а обойтись тут без нарушений не получится. Не назначать ведь дежурным администратора на ресепшене, который домой чешет вместе со всеми…)


#9

Еvgen, как вы учитывали идентификатор для secretnet? С одной стороны он находится на носителе, который поставлен сторонней организацией. Но с другой стороны, идентификатор на этом носителе изготовлен самостоятельно на месте. Вопрос в том, что указывать в графе “от кого получено”.


#10

С этим ясно, спасибо. А вот нужен ли на каждый ключ от сейфа ОКЗ инвентарный номер?


#11

В графе от кого получено в зависимости от того что за ключ если СЗИ то вписан акт приема передачи (акт ввода в эксплуатацию), если СКЗИ (СЗИ + контейнер) то от кого получен контейнер.


#12

Проверяющие сказали,что обязательно нужно. На просторах интернета нашел “Журнал учета хранилищ ключевых документов,…,и ключей к ним”


#13

Бух сказала что не сможет поставить ключи на учет. =/


#14

Бух здесь никак не участвует, на каждый ключик вешается бирка, чтото типо 1/1,2/1,3/1 - где первая цифра это номер ключа от хранилища, а вторая это номер хранилища, далее в журнале регистрируется ключ и выдается под роспись тому кому нужен, от буха нужны только инвентарные номера хранилищ - для регистрации в журнале определенного ключа за определенным хранилищем и человеком…


#15

Теперь ясно почему бух на меня глаза вылупила. Спасибо)


#16

Эти разъяснения были даны в ходе проверки или после, или все же зафиксированы в предписании? Это два разных замечания: одно можно учесть, но не реализовать, а другое уже нужно исполнять. Покажите скан предписания про хранение носителей, централизованное хранение и обезличенную передачу. Там же должны быть указания на требования, которые были нарушены, тогда нам будет понятно это “настойчивая рекомендация”, ошибочное прочтение требований или все же реальное нарушение.

Я не знаю требований по “принципу централизации”. Кроме хранилищ ОКЗ, но кажется мне, что это не ваш случай.

Есть такое понятие в ЗИ - “персональная ответственность”. Администратор ИБ разрабатывает правила, а пользователь их исполняет. Расписался в получении носителя - персонально он ответственен за исполнение правил ЗИ применительно к своему носителю. Опечатал личной печатью - аналогично.

Пользователь когда-то получил носитель, хранит его на рабочем месте и больше никуда не сдает. У него есть средства опечатывания (номерная печать или наклейки) и ключи, которые он носит при себе. Вот тут все как нужно и персональная ответственность. Вот когда такая схема не работает, нет доверения к пользователям, тогда и нужно переходить к централизованной выдаче носителей и ключей. Иначе не нужно ничего выдумывать, т.к. это только вредит делу защиты информации.