Учёт СКЗИ в инвентаризации: автоматическое обнаружение криптосредств
Как узнать, какие СКЗИ установлены в организации
Инструкция ФАПСИ № 152 требует поэкземплярного учёта СКЗИ. Каждый экземпляр должен быть в журнале. На практике журнал ведётся вручную и расходится с реальностью.
Журнал говорит одно, реальность — другое
В журнале 50 экземпляров КриптоПро, а на машинах 47: три удалены при переустановке ОС.
Ручной обход при проверке
Перед проверкой ФСБ ответственный обходит 200 машин — это 2–3 дня. Через месяц данные снова устарели.
СКЗИ появляются без ведома ответственного
ИТ установил ViPNet на 10 машин для VPN, не сообщил ИБ. Нарушение Инструкции ФАПСИ.
Решение — агент обнаруживает СКЗИ автоматически
КриптоПро, ViPNet, Континент, С-Терра, КриптоАРМ — все основные СКЗИ российского рынка
Криптопровайдеры
КриптоПро CSP (4.0, 5.0, 5.0 R2), ViPNet CSP, Сигнал-КОМ. Определение версии, серийного номера лицензии.
VPN-клиенты (СКЗИ)
ViPNet Client 4/4U, Континент-АП, С-Терра Клиент, КриптоПро IPsec. Фиксация состояния и конфигурации.
Средства шифрования и ЭП
КриптоАРМ, КриптоПро JCP, КриптоПро ЭЦП Browser plug-in, TSP/OCSP. Обнаружение всех криптокомпонентов.
Автоклассификация СКЗИ
Агент сравнивает ПО с базой известных СКЗИ. Классификация: криптопровайдер / VPN / шифрование / ЭП. Сертифицированные — метка автоматически.
Обнаружение расхождений
СКЗИ на машине, но не в журнале — алерт. СКЗИ в журнале, но не на машине — алерт. Автоматическая сверка реальности с учётом.
Мост к журналу учёта
Данные агента заполняют 80% карточки СКЗИ автоматически. Ответственный дополняет: номер лицензии, документ-основание, кому выдан.
Мост между инвентаризацией и учётом СКЗИ
Агент находит → модуль учитывает. 80% карточки заполняется автоматически
Установка единого агента
Агент КиберОснова устанавливается на рабочие станции и серверы. Отдельный агент для СКЗИ не нужен — это функция единого агента инвентаризации.
Сканирование и классификация
Агент сканирует установленное ПО, сравнивает с базой известных СКЗИ. КриптоПро, ViPNet, Континент — распознаются автоматически.
Передача в модуль учёта
Данные о найденных СКЗИ передаются в модуль учёта СКЗИ. Автоматически заполняется 80% полей карточки: наименование, версия, вендор, дата установки, машина.
Ответственный дополняет карточку за 2 минуты вместо 20
Мониторинг расхождений
Система сверяет данные агента с журналом учёта СКЗИ. Новый СКЗИ, удалённый, обновлённая версия — алерт ответственному через email или Telegram.
Какие данные агент передаёт в модуль учёта СКЗИ
| Поле карточки | Заполняется |
|---|---|
| Наименование СКЗИ и вендор | Автоматически |
| Версия (включая build) | Автоматически |
| Тип СКЗИ (криптопровайдер / VPN / ЭП) | Автоматически |
| Дата установки | Автоматически |
| Рабочая станция (hostname, IP, MAC) | Автоматически |
| ОС рабочей станции | Автоматически |
| Серийный номер / лицензия | Полуавтоматически |
| Номер сертификата ФСБ | Автоматически |
| Кем получен | Ручное |
| Документ-основание (акт) | Ручное |
| Кому выдан | Ручное |
| Информационная система | Полуавтоматически |
Из 12 полей карточки 8 заполняются автоматически — экономия 60–80% времени ответственного за СКЗИ.
Ручной учёт СКЗИ vs автоматический через агент
| Критерий | Ручной учёт (Excel/1С) | Через агент КиберОснова |
|---|---|---|
| Обнаружение нового СКЗИ | Когда сообщит ИТ-отдел | Автоматически, при сканировании |
| Обнаружение удаления | Случайно, при обходе | Автоматически, алерт |
| Обновление версии | Не фиксируется | Автоматическое обновление карточки |
| Расхождение журнал/реальность | При проверке ФСБ | Обнаруживается ежедневно |
| Привязка к машине | Вручную, ошибки | Автоматическая, точная |
| Привязка к ИС | Вручную | Через реестр активов |
| Подготовка к проверке ФСБ | 2–3 дня обхода | Актуальные данные, экспорт за 1 клик |
| Масштабирование | 200+ машин = невозможно | Тысячи машин |
| Трудозатраты | 4–8 часов/неделю | 30 минут/неделю |
Как это работает в связке с другими модулями
Агент обнаруживает → модуль учёта ведёт журнал, формирует акты, готовит к проверке ФСБ. Два модуля в связке.
СКЗИ — один из типов активов в общем реестре. На каждой машине видно: ОС + ПО + СЗИ + СКЗИ.
Обнаруженные СКЗИ сверяются с БДУ. Если в версии КриптоПро есть уязвимость — оповещение.
Часто задаваемые вопросы
Узнайте, какие СКЗИ реально установлены в вашей сети
Агент найдёт все криптосредства и передаст данные в журнал учёта СКЗИ.