Сертификат AM Test Lab
Номер сертификата: 463
Дата выдачи: 22.05.2024
Срок действия: 22.05.2029
- Введение
- Архитектура X-Control
- Системные требования X-Control
- Жизненный цикл СКЗИ
- Функциональные возможности X-Control
- 5.1. Ведение справочников
- 5.2. Ведение реестра СКЗИ
- 5.3. Ведение экземпляров СКЗИ
- 5.4. Ведение ключевых документов
- 5.5. Ведение лицевых счетов пользователей
- 5.6. Допуск пользователей к работе с СКЗИ
- 5.7. Составление заключения об эксплуатации СКЗИ
- 5.8. Акты уничтожения
- 5.9. Журналы учёта
- 5.10. Интеграция с УЦ «КриптоПро»
- Выводы
Введение
Организации, использующие СКЗИ для защиты конфиденциальной информации, обязаны выполнять требования «Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утверждённой приказом ФАПСИ от 13 июня 2001 г. № 152.
Инструкция предписывает органу криптографической защиты (ОКЗ) вести учёт СКЗИ, обслуживаемых обладателей конфиденциальной информации (ОКИ), ключевых документов и пользователей СКЗИ. Также ОКЗ оформляет факты уничтожения СКЗИ, составляет заключения о возможности эксплуатации СКЗИ и о допуске пользователя к работе с ними.
При большом (от 1000 шт) количестве пользователей СКЗИ ведение всех необходимых документов на бумаге становится очень трудоёмким процессом. Система управления жизненным циклом СКЗИ X-Control 2.0 автоматизирует основную деятельность ОКЗ, что существенно снижает трудозатраты сотрудников.
Архитектура X-Control
X-Control распространяется в варианте «on premise» (разворачивается на мощностях заказчика). Архитектура продукта собой представляет собой классическую трехзвенную основу (клиентская часть, представленная веб-приложением, серверная часть и сервер баз данных), дополненную следующими составляющими:
- агенты;
- панель управления;
- плагины и коннекторы, осуществляющие связь системы с удостоверяющим центром и внешними платформами;
- Sftp сервер;
Подробнее архитектура описана на рисунке 1 (см. ниже)
Рисунок 1. Архитектура X-Control
Системные требования X-Control
Для корректной работы системы предъявляется ряд требований к аппаратному обеспечению, серверной части веб-приложения и автоматизированному рабочему месту (АРМ) пользователя, представленных в таблицах 1 и 2 (см. ниже) соответственно:
Таблица 1. Минимальные требования, предъявляемые к аппаратному обеспечению
Сервер БД | Сервер приложений | Веб-сервер | Сервер SFTP | |
Количество ядер | 4 | 4 | 2 | 2 |
Оперативная память | 16 ГБ | 8 ГБ | 4 ГБ | 4 ГБ |
Дисковое пространство | 100 ГБ | 100 ГБ | 50 ГБ | 400 ГБ |
Таблица 2. Требования к серверной части системы X-Control
Компонент серверной части системы | Назначение | |
Необходимо выбрать один вариант | 4 аппаратных сервера или 4 виртуальные машины под управлением ОС CentOS 7.9, Astra Linux (Orel) либо Windows Server 2019 | Исполняют следующие роли в информационной системе: сервер приложений, веб-сервер, сервер БД, сервер SFTP |
1 сервер с ОС Astra Linux | Установка Docker | |
Система управления БД PostgreSQL 11 | Размещение БД, предназначенных для хранения данных об экземплярах СКЗИ, ключевых документах, пользователях СКЗИ и других объектах системы, предоставление информации иным программным компонентам системы | |
SFTP-сервер | Хранение дистрибутивов и эксплуатационной документации на СКЗИ | |
Доступ к интернету | Загрузка и установка дополнительного ПО на серверы. В случае отсутствия доступа к сети необходимо загрузить заранее пакеты, которые потребуются для развёртывания | |
SMTP-сервер | Отправка уведомлений | |
Jinn-сервер | Массовая проверка и формирование электронной подписи в юридически значимом электронном документообороте |
Для функционирования X-Control на АРМ пользователя и администратора необходимо наличие следующего ПО:
- браузера с поддержкой шифрования защищённых соединений по ГОСТ 34.10-2012, 34.12-2018 и 34.13-2018: «Яндекс.Браузер» версии 20.2.1 или выше либо Chromium-GOST версии 84 или выше;
- криптопровайдера «КриптоПро CSP» не ниже версии 4.0 и «КриптоПро ЭЦП Browser plug-in» не ниже версии 2.0.
- агентов можно устанавливать на АРМ Astra Linux, Centos, Debian и Windows.
Жизненный цикл СКЗИ
Экземпляры СКЗИ, ключевые документы и ключевые носители проходят определённый жизненный цикл:
1.регистрация;
- передача;
- выдача;
- изъятие;
- уничтожение.
Действия, выполняемые с СКЗИ, должны быть заверены пользователем, сотрудником ОКЗ или комиссией. При большом количестве пользователей, особенно в территориально распределённой организации, выполнение требований регуляторов приводит к немалым трудозатратам. В системе предусмотрена возможность работы каждого подразделения территориально распределённой компании и поддерживается ролевое разграничение прав на основе её организационной структуры. В зависимости от роли пользователя ему могут быть доступны данные только своего филиала, нижестоящих или всех.
Рисунок 2. Жизненный цикл СКЗИ в территориально распределённой организации
Для подписания документов в системе могут использоваться различные виды электронной цифровой подписи (ЭЦП) в зависимости от потребностей: простая, усиленная неквалифицированная или усиленная квалифицированная.
Некоторые действия могут подтвердить только пользователи с определённой ролью. В системе предусмотрены следующие роли:
- Администратор системы.
- Руководитель ОКЗ.
- Сотрудник ОКЗ.
- Сотрудник сервисной службы.
- Пользователь СКЗИ.
- Сотрудник ОКИ.
Для ролей «Администратор», «Руководитель ОКЗ», «Сотрудник ОКЗ» и «Руководитель ОКИ» доступна сводная информация по экземплярам СКЗИ, ключевым документам и носителям, лицензиям и прочему.
Рисунок 3. Панель мониторинга (дашборд) на главной странице X-Control
Функциональные возможности X-Control
Ведение справочников
В X-Control есть возможность вести справочники в веб-интерфейсе. Они содержат полезные данные для выполнения операций в системе.
Таблица 3. Описание справочников
Наименование справочника | Назначение справочника |
Структура органов криптозащиты | Предназначен для описания схемы ОКЗ с учётом координирующих и нижестоящих СКЗИ, а также обслуживаемых ОКИ |
Организации (Обладатели конфиденциальной информации) | Предназначен для создания организаций (в том числе ИП). Для выбранной организации можно добавить любой ОКЗ в качестве координирующего. Координирующий ОКЗ может передавать для организации-клиента экземпляры СКЗИ, ключевые документы и ключевые носители, а также распространять экземпляры СКЗИ. Передача невозможна, если нет связи между обслуживаемой организацией и ОКЗ |
Обучающие курсы | Добавление обучающих курсов для дальнейшего их назначения пользователям СКЗИ |
Типы СКЗИ | В справочник добавлены базовые типы СКЗИ (программный, программно-аппаратный, аппаратный). Данный справочник доступен только для чтения |
Типы ключевых носителей | В справочник добавлены базовые типы ключевых носителей, являющиеся системными и доступные только для чтения. К системным относятся следующие типы ключевых носителей:
|
Элементы комплекта СКЗИ | Предназначен для обозначения типов объектов, входящих в комплект поставки СКЗИ. В справочнике представлены базовые типы объектов, являющиеся системными и доступные только для чтения. К системным относятся следующие типы объектов:
|
Статусы экземпляров | Предназначен для обозначения текущего статуса экземпляра СКЗИ. В справочнике представлены базовые статусы экземпляров, являющиеся системными и доступные только для чтения. К системным относятся следующие статусы экземпляров:
|
Ведение реестра СКЗИ
Реестр содержит все зарегистрированные в системе СКЗИ. При добавлении записей обязательно нужно указать наименование и тип СКЗИ, производитель выбирается из выпадающего списка. Далее к СКЗИ добавляются одна или несколько используемых версий.
Рисунок 4. Форма добавления СКЗИ
Для каждой версии СКЗИ необходимо добавить сведения о её сборке / модификации (эксплуатационную и техническую документацию, дистрибутив).
В X-Control есть эталонный справочник, в который входят наиболее популярные СКЗИ. Для СКЗИ из справочника в составе комплекта сборки уже имеется эксплуатационная и техническая документация, это избавляет пользователя системы от необходимости загружать её самостоятельно.
При загрузке дистрибутива можно произвести проверку контрольной суммы файла. Для этого необходимо ввести контрольную сумму, предоставленную производителем, которую система сравнивает с загруженным дистрибутивом.
Рисунок 5. Сведения о сборке / модификации версии СКЗИ
Все действия, связанные с редактированием СКЗИ, регистрируются в системе и доступны к просмотру на вкладке «История».
Рисунок 6. История изменений СКЗИ
Ведение экземпляров СКЗИ
Экземпляр СКЗИ — это основной объект, с которым работает пользователь в системе.
Каждое СКЗИ является шаблоном для последующего создания экземпляра СКЗИ. Экземпляр наследует свойства того СКЗИ, на основе которого создаётся. Удалить можно только то СКЗИ, у которого нет зарегистрированных экземпляров в системе.
В системе X-Control предусмотрено ведение отдельных журналов учёта для ОКЗ и ОКИ, как и требуется в «Инструкции...».
Рисунок 7. Зарегистрированные СКЗИ для ОКЗ и ОКИ
Зарегистрировать экземпляр СКЗИ может только пользователь с ролью «Сотрудник ОКЗ», «Руководитель ОКЗ» или «Администратор системы». Зарегистрировать экземпляр СКЗИ можно как в журнале ОКЗ, так и в журнале ОКИ.
Рисунок 8. Форма регистрации экземпляра СКЗИ
Для программных СКЗИ доступно создание эталонного экземпляра, который можно распространять в нижестоящие ОКЗ по количеству лицензий. Лицензии, которые связаны с эталонным экземпляром, будут наследовать созданные копии. Когда использовано более 90 % лицензий, система уведомляет об этом администратора.
Лицензии для эталонного экземпляра СКЗИ можно загрузить из файла, созданного по предоставленному системой шаблону.
Рисунок 9. Пример заполненного шаблона файла
Все распознанные лицензии будут добавлены к указанному СКЗИ.
Рисунок 10. Загрузка лицензий из файла
Лицензии можно также добавлять вручную.
Аналогичным образом можно осуществить загрузку экземпляров СКЗИ, ключевых документов, ключевых носителей и лицевых счетов.
Если на АРМ пользователя установлен агент X-Control, то информация об установленных СКЗИ и активированных лицензиях попадает в систему автоматически.
Ведение ключевых документов
Ключевой документ — это ключевая информация, записанная на ключевом носителе.
Зарегистрировать ключевой документ можно в журнале ОКЗ или ОКИ.
Рисунок 11. Форма регистрации ключевого документа
Регистрация ключевого носителя производится только в ОКЗ (затем он может быть передан в нижестоящий ОКЗ или ОКИ). При добавлении носителя нужно указать его тип, серийный и заводской номер.
Рисунок 12. Форма регистрации ключевого носителя
В системе есть возможность указать, на какой носитель записан ключевой документ. Это можно сделать как из карточки ключевого документа, так и из карточки носителя.
При создании связи «документ — носитель» открывается окно со списком доступных носителей. После выбора носителя он отображается в карточке ключевого документа, а ключевой документ — в карточке носителя.
Если запись документа осуществляется на уже выданный пользователю носитель, то ему автоматически будет выдан ключевой документ. Это действие будет отображено во всех соответствующих журналах.
Рисунок 13. Выбор носителя для записи ключевого документа
В X-Control 2.0 есть возможность собирать информацию с токенов JaCarta (носитель и ключевая информация на нём регистрируются автоматически). В следующем релизе планируется добавить такую функциональность для Рутокен с возможностью смены пин-кода.
Система контролирует сроки действия ключей и сертификатов, отправляет уведомления ответственным сотрудникам в случае если срок действия подходит к концу. В том числе и сроки легитимности машиночитаемых доверенностей (МЧД).
В ближайших релизах планируется реализовать автоматический учет dst ключей.
Ведение лицевых счетов пользователей
Для каждого пользователя ОКЗ ведёт лицевой счёт, где регистрирует числящиеся за ним СКЗИ, эксплуатационную и техническую документацию к СКЗИ, ключевые документы. В системе X-Control предусмотрена возможность создания счёта как в ручном режиме, так и автоматически.
Лицевой счёт пользователя создаётся автоматически в двух случаях:
- если пользователю присваивается роль «Пользователь СКЗИ»;
- при интеграции с Active Directory (AD). Для синхронизации пользователей в AD создаются группы безопасности, которые соотносятся с ролями в системе. При блокировке пользователя в AD администратор системы уведомляется о необходимости изъятия у него СКЗИ.
Рисунок 14. Форма для создания УЗ пользователя и форма создания лицевого счёта
Лицевые счета всех пользователей отображаются в одноимённом разделе. Активация лицевого счёта осуществляется автоматически при выдаче экземпляра СКЗИ, ключевого документа или ключевого носителя. Можно также активировать счёт в ручном режиме, на странице списка лицевых счетов либо в карточке счёта.
Рисунок 15. Активация лицевого счёта
В карточке лицевого счёта можно посмотреть информацию по выданным пользователю экземплярам СКЗИ, ключевым документам и ключевым носителям.
Рисунок 16. Просмотр информации на вкладках в карточке пользователя
Всю информацию о лицевом счёте пользователя можно выгрузить в Excel.
Рисунок 17. Сформированный отчёт о лицевом счёте пользователя СКЗИ
Допуск пользователей к работе с СКЗИ
Пользователи допускаются к работе с СКЗИ только после прохождения обучения. Заключение о допуске к самостоятельной работе с СКЗИ выдаётся комиссией соответствующего ОКЗ.
В системе предусмотрен справочник обучающих курсов. Добавить или удалить обучающий курс может только администратор системы. Необходимые для прохождения обучения материалы добавляются при создании курса.
Рисунок 18. Справочник обучающих курсов и карточка курса
Назначить курс обучения пользователю можно на вкладке «Допуск к СКЗИ» в карточке лицевого счёта. При добавлении обучения необходимо выбрать версию СКЗИ, для которой необходимо получить допуск.
Рисунок 19. Назначение курса обучения пользователю
После того как пользователю будет назначен курс обучения, ему на почту придёт письмо о добавлении обучающих курсов по СКЗИ.
Рисунок 20. Почтовое уведомление о назначении курсов по СКЗИ
После изучения курса пользователю нужно записаться на экзамен. Для этого в разделе «Самообслуживание» он выбирает необходимую версию СКЗИ и отправляет запрос на сдачу экзамена. Сотруднику ОКЗ и руководителю ОКЗ отправляется уведомление о необходимости провести экзамен для пользователя СКЗИ.
Рисунок 21. Создание запроса на сдачу экзамена
После сдачи экзамена в карточку лицевого счёта пользователя на вкладке «Допуск к СКЗИ» нужно добавить заключение о прохождении курса. При заполнении формы требуется указать версию СКЗИ, допуск к которой оформляется, а также номер и дату выдачи заключения о прохождении обучения.
Рисунок 22. Форма добавления заключения о допуске
Членами комиссии могут выступать администратор системы, руководитель или сотрудник ОКЗ. Все доступные для добавления в состав комиссии лица отображаются в окне выбора участников.
Рисунок 23. Выбор членов комиссии
Все участники получают уведомление по электронной почте о включении в состав комиссии. После подписания допуска всеми участниками (для членов комиссии доступна кнопка «Подписать» в панели инструментов) пользователь получает уведомление по электронной почте о предоставлении ему допуска к СКЗИ.
Составление заключения об эксплуатации СКЗИ
Заключение о возможности эксплуатации СКЗИ формируется после выдачи экземпляра СКЗИ пользователю и его установки (ввода в действие).
При добавлении заключения об эксплуатации СКЗИ необходимо указать номер заключения, исполнителя, номер АРМ пользователя, номер печати или пломбы устройства, на котором установлено СКЗИ, и дату удаления дистрибутива с АРМ.
Рисунок 24. Форма добавления заключения об эксплуатации СКЗИ
Если установка СКЗИ выполняется сотрудником ОКЗ, то заключение об эксплуатации заводится в системе автоматически. Для пользователя, который устанавливает СКЗИ самостоятельно, заключение об эксплуатации должно быть добавлено сотрудником ОКЗ.
Акты уничтожения
Уничтожение большого объёма ключевых документов может быть оформлено актом. В системе также предусмотрены акты уничтожения для ключевых носителей и для экземпляров СКЗИ.
При добавлении ключевого носителя, на котором записаны ключевые документы, они автоматически добавляются вместе с ключевым носителем, а при добавлении ключевого документа происходит автоматическое добавление связанного с ним ключевого носителя, если он является разовым.
Рисунок 25. Форма создания акта об уничтожении
При закрытии лицевого счёта пользователя акт уничтожения формируется автоматически.
Журналы учёта
В системе предусмотрены журналы учёта для экземпляров СКЗИ, ключевых документов и ключевых носителей, а также технический (аппаратный) журнал. Журналы учёта для ОКЗ и ОКИ ведутся отдельно. Любой журнал можно выгрузить в Еxcel, выгрузка журналов осуществляется по форме из приложений к «Инструкции...» ФАПСИ.
Рисунок 26. Пример выгруженного журнала поэкземплярного учёта СКЗИ для ОКИ
Интеграция с УЦ «КриптоПро»
В системе есть возможность интеграции с УЦ «КриптоПро». При интеграции с УЦ информация о выпущенных для пользователя сертификатах обновляется автоматически. Запрос на выпуск сертификата регистрируется в X-Control и передаётся в УЦ. Создать запрос может любой пользователь.
Рисунок 27. Запрос на сертификат
После выпуска сертификата X-Control получает из УЦ «КриптоПро» данные запроса на выпуск сертификата и данные пользователя. Далее X-Control осуществляет поиск лицевого счёта и ключевого документа по переданным данным.
Если лицевой счёт не найден, в X-Control создаётся новый лицевой счёт и ключевой документ, который автоматически выдаётся пользователю СКЗИ. После этого с найденным (или созданным) ключевым документом выполняется мероприятие «Ввод в действие».
Когда X-Control получает информацию об отзыве сертификата, для ключевого документа выполняется мероприятие «Изъятие».
SpaceBit планирует расширять перечень интеграций с продуктами КриптоПро, в том числе релизе 2.1 будет включать в себя интеграцию с КриптоПро DSS. Кроме этого в продукте планируются интеграции с коммерческими УЦ, например, c УЦ Контур.
Выводы
Система управления жизненным циклом СКЗИ X-Control 2.0 позволяет автоматизировать деятельность ОКЗ. Благодаря автоматическому заполнению журналов учёта, созданию актов и заключений при выполнении операций с СКЗИ можно быть уверенным в актуальности данных.
Использование системы X-Control значительно упрощает обеспечение соответствия требованиям регуляторов в части учёта СКЗИ, эксплуатационной документации и ключевых документов.
Достоинства:
- Простой и понятный интерфейс.
- Создание допусков к СКЗИ с возможностью назначения обучения пользователю.
- Автоматическое формирование акта уничтожения при закрытии лицевого счёта.
- Создание и распространение эталонных экземпляров СКЗИ.
- Массовая загрузка данных в систему по представленным шаблонам.
- Возможность выгрузки журналов учёта в формат XLS по форме Приказа ФАПСИ № 152.
- Возможность интеграции с Active Directory и УЦ «КриптоПро».
- Сбор данных с АРМ пользователя при наличии агента.
Недостатки:
- Нет возможности учёта журналов сейфов и хранилищ (планируется добавить в следующих релизах продукта).
- Отсутствует возможность интеграции с Единой системой идентификации и аутентификации и Системой межведомственного электронного взаимодействия.
- Удалённое управление ключевыми носителями возможно только для носителей типа JaCarta (планируется расширять поддерживаемые носители в следующих релизах продукта).