КИТ-Журнал: Информационная безопасность 

Автоматизация выполнения организационных требований ФСТЭК/ФСБ  повысит

эффективность отделов защиты информации

«КИТ-Журнал» предназначен для специалистов по защите информации, которым требуется вести учёт большого количества объектов (пользователей, прав доступа, носителей, средств защиты, ключевой информации и др.). «КИТ-Журнал» упрощает труд и позволяет контролировать ситуацию в организации.


«КИТ-Журнал» является программным средством автоматизации процессов, связанных с защитой информации.


Он помогает поддерживать состояние защиты информации в актуальном состоянии, уведомлять заинтересованных сотрудников о событиях, в отличие от обычных электронных таблиц или бумажных журналов и заявок.


«КИТ-Журнал» преобразует работу с филиалами и удаленными подразделениями в части обеспечения защиты информации.


«КИТ-Журнал» является отечественным программным продуктом. Регистрационный номер в Едином реестре Российских программ  - 2147, внесен Приказом Минкомсвязи России от 08.11.2016 №538.

Особенности "КИТ-Журнал": Информационная безопасность

  1. Учет объектов и субъектов доступа - позволяет отслеживать текущее состояние защиты информации в организации. В системе реализован взаимосвязанный учет следующих объектов и субъектов:
    - сотрудники организации, пользователи информационных систем;
    - учетные записи пользователей, защищаемые информационные ресурсы;
    - назначенные пользователям роли и права доступа;
    - основные технические средства и системы (ОТСС), программное обеспечение;
    - средства защиты информации (СЗИ), средства криптографической защиты информации (СКЗИ);
    - машинные носители информации;
    - хранилища, пеналы, сейфы, ключевые носители.
    Централизованный учет информации разгружает специалистов отдела защиты информации от ведения множества разрозненных таблиц и списков.
  2. Правильное ведение журналов - в программе предусмотрены формы для внесения записей в журналы, шаблоны записей. Благодаря формам, пользователи гарантированно вносят только контекстно необходимые данные.
  3. Подсистема поиска и фильтрации - экономит время на поиск нужных данных о пользователях, выданных носителях информации, назначенных правах доступа.
  4. Поддержка документооборота по защите информации - облегчает подготовку следующих документов (шаблоны встроены в программу):
    - акты установки и деинсталляции СЗИ / СКЗИ;
    - акт вывода технических средств из эксплуатации (для ОТСС);
    - список допущенных к работе с ключами СКЗИ / в помещения с ключами СКЗИ;
    - список лиц, имеющих доступ к содержанию электронного журнала сообщений;
    - список лиц, допущенных к защищаемой информации;
    - заключение о готовности к работе с СКЗИ;
    - заявка на предоставление или изменение доступа;
    - заявка на модификацию программных или технических средств;
    - матрица доступа, перечень защищаемых ресурсов.
    Предусмотрена возможность добавления пользовательских шаблонов документов. Шаблоны документов заполняются данными с учетом данных организации, значений справочников.  Этот функционал позволяет достичь экономии времени, за счет мгновенного формирования документов.

5. Служба заданий и оповещений - позволяет выполнять следующие задачи:
- оповещать ответственных лиц о событиях (изменение статуса сотрудника, отсутствие подписей в журналах, аномалии ведения журналов, окончание срока действия сертификатов соответствия на средства защиты информации);
- автоматически формировать и рассылать документы сотрудникам;
- автоматически создавать и изменять записи  в журналах и списках.
Правила выполнения заданий и оповещений настраиваются исходя из реальных требований клиента. Служба заданий и оповещений облегчает задачу контроля за процессами защиты информации в организации, особенно при большом количестве подразделений.  


6. Элементы IDM-системы - "КИТ-Журнал" позволяет сформировать перечни защищаемых информационных ресурсов, пользовательские роли (наборы прав доступа к ресурсам), фиксировать присвоение ролей пользователям.
Ограничение: "КИТ-Журнал" не содержит коннекторов к информационным системам!
Наличие элементов IDM системы позволяет контролировать доступ к информации даже в небольших организациях. Администратор защиты может в любой момент времени создать актуальную матрицу доступа в виде готового к печати документа.

Дополнительные преимущества выполнения организационных требований по защите информации с помощью "КИТ-Журнал"

Юридическая значимость

Квалифицированная электронная подпись - сотрудники отдела защиты информации и ответственные лица используют квалифицированную электронную подпись в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ). Применение данного вида подписи полностью юридически обосновано, что подтверждается полученными независимыми юридическими заключениями. Квалифицированная электронная подпись приобретается в аккредитованных удостоверяющих центрах. Удостоверяющие центры предлагают в том числе комплексные тарифные планы, включающие лицензию на криптопровайдер и защищенный носитель.

Рукописная подпись простых работников - формируемые программой, сброшюрованные листы с "мокрыми" подписями инструктируемых могут быть предъявлены проверяющим лицам.

Экономическая эффективность

Исключаются затраты времени на подготовку и обработку заявок, формирование документов.

Записи в "КИТ-Журнал" создаются в 7,5 раз быстрее, чем в бумажных журналах.

Исключается риск нарушений, связанных с некорректным или неполным заполнением журналов учета.

Доступность информации об общем состоянии защиты информации позволяет использовать ее в различных бизнес-процессах и для принятия решений.

Цифровизация процессов

Повышение производительности труда, перспектива полной автоматизации процессов обеспечения защиты информации дает конкурентное преимущество в части снижения издержек.

Простота в использовании для рядовых сотрудников

С точки зрения простых сотрудников достаточно выполнять инструкции системы, распространяемые по электронной почте ("Подписать заявку", "Выявлены носители, выданные уволенному сотруднику"). Предоставляются задачно-ориентированные видеоматериалы.

Проектный подход

Перевод организационных процессов защиты информации в электронный вид является комплексным проектом автоматизации.

В рамках проекта:

· формируются индивидуальные требования клиента по адаптации системы под конкретные сценарии использования и бизнес-процессы;

· составляется перечень необходимых доработок, список модификаций форм журналов и необходимых оповещений;

· определяются способы обучения персонала работе с системой (упрощенная пользовательская документация, обучающие задачно-ориентированные ролики);

· оценивается необходимость привлечения системных интеграторов для развертывания программного обеспечения "КИТ-Журнал" в подразделениях;

· выявляется необходимость привлечения компаний, поддерживающих существующие информационные системы клиента, с целью наладки информационного обмена (например, синхронизация списка сотрудников с кадровой системой).

Установка и пуско-наладочные работы могут быть произведены инженерами авторизованных компаний-партнёров.

Список поддерживаемых списков, процессов и журналов

Общие списки, перечни и каталоги

  1. Список сотрудников организации.
  2. Список компьютеров и устройств (СВТ).
  3. Перечень защищаемых ресурсов и их администраторов.
  4. Список средств защиты информации и средств криптографической защиты информации (СКЗИ).
  5. Каталог СЗИ (в соответствии с реестром ФСТЭК).
  6. Список помещений.
  7. Каталог ролей.
  8. Каталог прав доступа для ресурсов.
  9. Учетные записи пользователей.
  10. Каталог инструктажей.
  11. Список подразделений.
  12. Список должностей.
  13. Комиссии по информационной безопасности.
  14. Приказы по информационной безопасности.
  15. Каталог внутренних проверок.
  16. Информационные системы.

Служебные журналы, обеспечения процессов

  1. Журнал задач.
  2. Назначенные инструктажи и мероприятия.
  3. Назначенные внутренние проверки.

Обеспечиваемые процессы

  1. Обработка заявок на предоставление/отзыв прав доступа и ролей (рассылка/согласование/исполнение).
  2. Обработка заявок на модификацию программного обеспечения и технических средств (рассылка/согласование/исполнение).
  3. Планирование и выполнение внутренних проверок по защите информации для информационных систем.
  4. Контроль проведения инструктажей по информационной безопасности, допуск к СКЗИ.
  5. Автоматическое отслеживание прав доступа, носителей информации уволенных сотрудников.
  6. Автоматическое формирование заявок на предоставление/отзыв прав доступа и ролей при смене должности, увольнении сотрудников, приеме на работу.

Журналы регистрации и учета

  1. Журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации).
  2. Журнал поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним.
  3. Журнал учета машинных носителей информации.
  4. Журнал учета хранилищ.
  5. Журнал периодического тестирования средств защиты информации.
  6. Журнал учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн.
  7. Журнал проверок электронных журналов.
  8. Журнал антивирусных проверок автоматизированных систем.
  9. Журнал учёта журналов.
  10. Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для органа криптографической защиты).
  11. Технический (аппаратный) журнал СКЗИ.
  12. Журнал проведенных внутренних проверок режима защиты персональных данных.
  13. Журнал проведения инструктажа по информационной безопасности.
  14. Журнал учета передачи персональных данных.
  15. Журнал учета посетителей.
  16. Журнал приема-сдачи помещений под охрану.
  17. Журнал учета документов и изданий конфиденциального характера.
  18. Журнал учёта обращений субъектов персональных данных и их законных представителей.
  19. Журнал учета подготовленных документов.
  20. Журнал назначения прав пользователям.
  21. Журнал заявок на назначение/отзыв ролей пользователей, изменение доступа.
  22. Журнал назначения ролей пользователей.
  23. Журнал заседания комиссий по допуску к СКЗИ.
  24. Журнал заявок на модификацию ПО и ТС.
  25. Журнал выдачи/возврата машинных носителей информации.