ПЛАТФОРМА АВТОМАТИЗАЦИИ ПРОЦЕССОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ:
- Облегчит планирование и выполнение мероприятий, предусмотренных нормативными документами ФСТЭК/ФСБ России.
- Упростит учёт и контроль большого количества объектов (пользователей, прав доступа, носителей, средств защиты, ключевой информации и др.).
- Преобразует организацию работы с филиалами и удаленными подразделениями в части обеспечения защиты информации.
- Предотвратит инциденты, связанные с несвоевременным возвратом носителей, блокировкой учетных записей и др.
- Создаст необходимые документы вовремя и пришлет их на подпись.
«КИТ-Журнал» является отечественным программным продуктом.
Регистрационный номер в Едином реестре Российских программ - 2147, внесен Приказом Минкомсвязи России от 08.11.2016 №538.
КАКИЕ ЗАДАЧИ РЕШАЕТ КИТ-ЖУРНАЛ?
- Соблюдение требований по защите персональных данных в соответствии со 152-ФЗ (формирование документов, согласий, документация на информационные системы).
- Соблюдение требований по защите информации в государственных информационных системах (формирование документов).
- Соблюдение требований к объектам критической информационной инфраструктуры в соответствии с 187-ФЗ (категорирование, назначение ответственных лиц, формирование пакета документов КИИ).
- Выполнение требований к эксплуатации криптосредств (инструкция ФАПСИ-152, ПКЗ-2005).
- Учет инцидентов (формирование файлов НКЦКИ).
- Ведение журналов учета по информационной безопасности.
- Автоматическое определение уровня защищенности ПДн, класса ГИС, категории КИИ.
- Формирование моделей угроз, подбор требований для нейтрализации угроз.
- Автоматическое проведение инструктажей и тестирование пользователей по информационной безопасности.
- Учет доступа пользователей к ресурсам.
КАК РАБОТАЕТ КИТ-ЖУРНАЛ: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ?
- Служба заданий, служба резервирования и база данных устанавливаются и инициализируются на сервере.
- Клиентские приложения устанавливаются на компьютеры сотрудников отдела (службы) защиты информации, пользователей. Есть возможность использовать веб-приложение для работы с системой в браузерах.
- Специалист вводит в систему начальные данные: - общие параметры организации; - список сотрудников, должностей; - список помещений; - список имеющихся у заказчика СЗИ/СКЗИ; - список компьютеров и ПО; - список защищаемых ресурсов; - список ролей доступа и прав;
- Устанавливаются связи между всеми субъектами и объектами доступа
- Настраивается служба заданий и оповещений.
- Указываются реквизиты почтового сервера для рассылки оповещений.
- Формируется перечень назначенных прав доступа.
- Система формирует документы по защите присылает на почту ответственному лицу.
- При изменениях система актуализирует документы и оповещает ответственных сотрудников.
КАК ВЫПОЛНЯТЬ ТРЕБОВАНИЯ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ С КИТ-ЖУРНАЛ?
Держите под контролем все ИТ-ресурсы организации
В системе реализован взаимосвязанный учет следующих объектов и субъектов:
- сотрудники организации, пользователи информационных систем;
- учетные записи пользователей, защищаемые информационные ресурсы;
- назначенные пользователям роли и права доступа;
- основные технические средства и системы (ОТСС), программное обеспечение;
- средства защиты информации (СЗИ), средства криптографической защиты информации (СКЗИ);
- машинные носители информации, хранилища, пеналы, сейфы, ключевые носители.
Организуйте своевременное проведение инструктажей пользователей по информационной безопасности
- рассылка обучающих материалов пользователям;
- оповещение ответственных лиц о необходимости проведения инструктажей;
- автоматическое составление графика проведения инструктажей;
- автоматическое ведение журнала проведенных инструктажей по информационной безопасности;
- автоматическое формирование заключений о допуске пользователей к работе с СКЗИ, после прохождения инструктажа.
Проверяйте состояние защиты информации в организации
- автоматическое формирование графика внутренних проверок состояния защиты информации;
- оповещение ответственных лиц о необходимости проведения проверок;
- автоматическое формирование протоколов по результатам проведенных проверок;
- контроль устранения выявленных замечаний.
Выполняйте требования по эксплуатации СКЗИ (инструкция ФАПСИ-152/ПКЗ-2005)
- учет СКЗИ в электронном виде;
- учет фактов выдачи СКЗИ пользователям, с проверкой факта допуска пользователя к работе СКЗИ;
- сопровождение жизненного цикла ключевых документов и носителей (изготовление, запись, рассылка, передача, возврат, уничтожение);
- контроль своевременного уничтожения ключевых документов с формированием актов;
- формирование актов ввода СКЗИ в эксплуатацию/ вывода СКЗИ из эксплуатации;
- контроль опломбирования технических средств, используемых совместно с СКЗИ;
- контроль наличия хранилищ у пользователей СКЗИ;
- ведение технического (аппаратного) журнала.
Выполнение требований ФЗ-152 "О персональных данных"
- Учет категорий обрабатываемых в информационной системе персональных данных;
- Формирование акта определения уровня защищенности персональных данных;
- Учет обращений субъектов персональных данных;
- Учет фактов передачи персональных данных;
- Определение уровня защищенности ПДн.
ПРЕИМУЩЕСТВА
Готовность к эксплуатации сразу после установки
КИТ-Журнал содержит все необходимые журналы, справочники и шаблоны документов для организации учета по защите информации. Для работы достаточно внести данные организации.
Организация защиты информации в подразделениях и филиалах
КИТ-Журнал позволяет организовать взаимодействие с подразделениями и филиалами, контролировать процессы защиты информации в них, своевременно выявлять и устранять нарушения.
Определение уровня защищенности ПДн, класса ГИС, категории объекта КИИ
КИТ-Журнал позволяет определить уровень защищенности персональных данных, класс государственной информационной системы. В программе предусмотрено формирование акта классификации и акта определения уровня защищенности.
Ведение журналов по защите информации в электронном виде
Квалифицированная электронная подпись - сотрудники отдела защиты информации и ответственные лица используют квалифицированную электронную подпись в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ). Квалифицированная электронная подпись приобретается в аккредитованных удостоверяющих центрах. Удостоверяющие центры предлагают в том числе комплексные тарифные планы, включающие лицензию на криптопровайдер и защищенный носитель.
Рукописная подпись простых работников - формируемые программой, сброшюрованные листы с "мокрыми" подписями инструктируемых могут быть предъявлены проверяющим лицам.
Возможность создания индивидуальных конфигураций
Стандартная конфигурация может быть адаптирована с учетом специфических требований заказчика. Существующие в организации процессы ИБ могут быть автоматизированы с помощью платформы КИТ-Журнал.
Экономическая эффективность
Исключаются затраты времени на подготовку и формирование документов.
Записи в электронных журналах создаются автоматически, что также экономит время.
Исключается риск нарушений, связанных с некорректным или неполным заполнением журналов учета.
Доступность информации об общем состоянии защиты информации позволяет использовать ее в различных бизнес-процессах и для принятия решений.
Цифровизация процессов
Повышение производительности труда, перспектива полной автоматизации процессов обеспечения защиты информации дает конкурентное преимущество в части снижения издержек. Снижаются требования к количеству задействованного персонала.
Простота в использовании для рядовых сотрудников
С точки зрения простых сотрудников достаточно выполнять инструкции системы, распространяемые по электронной почте ("Пройти инструктаж", "Выявлены носители, выданные уволенному сотруднику" и т.п.).
Список поддерживаемых списков, процессов и журналов конфигурации "Информационная безопасность"
Общие списки, перечни и каталоги
- Список организаций (филиалов).
- Список сотрудников.
- Список подразделений.
- Список должностей.
- Список помещений.
- Информационные системы и объекты.
- Модели угроз и требования безопасности.
- Список компьютеров и устройств (СВТ).
- Список программного обеспечения.
- Журнал регистрации СЗИ и СКЗИ, эксплуатационной и технической документации к ним.
- Каталог СЗИ (в соответствии с реестром ФСТЭК).
- Каталог инструктажей по информационной безопасности.
- Комиссии по информационной безопасности.
- Приказы по информационной безопасности.
- Типы документов.
- Каталог угроз (ФСТЭК России).
- Каталог уязвимостей (ФСТЭК России).
- Каталог требований и мер по обеспечению безопасности (ПДн, ГИС, КИИ, БФО).
- Планирование мероприятий по защите информации.
- Аттестации и работы по защите информации.
- Учет и реагирование на инциденты ИБ (с формирование файлов НКЦКИ).
- Перечень критических процессов в организации (КИИ).
Активы (ресурсы) и права пользователей
- Перечень защищаемых ресурсов и их администраторов.
- Каталог ролей.
- Каталог прав доступа для ресурсов.
- Список прав доступа.
- Учетные записи пользователей.
Внутренние проверки и проверки надзорных органов
- Каталог внутренних проверок.
- Проверки надзорных органов.
- Оценка готовности организации к проверкам Роскомнадзора.
- Оценка готовности организации к проверкам ФСБ России.
- Оценка готовности организации к проверкам ФСТЭК России.
Персональные данные
- Перечень обрабатываемых персональных данных и целей обработки.
- Перечень баз данных ПДн.
Служебные журналы, обеспечения процессов
- Журнал задач.
- Назначенные инструктажи и мероприятия.
- Назначенные внутренние проверки.
Обеспечиваемые процессы
- Планирование и выполнение внутренних проверок по защите информации для информационных систем.
- Контроль проведения инструктажей по информационной безопасности, допуск к СКЗИ.
- Автоматизированная рассылка обучающего материала и тестирование пользователей по вопросам информационной безопасности.
- Автоматическое отслеживание прав доступа, носителей информации уволенных сотрудников.
- Автоматическое формирование файлов для НКЦКИ и учет инцидентов информационной безопасности.
- Расчет оценки готовности к проверкам регуляторов.
- Формирование пакетов документов ПДн/ГИС/КИИ на основе данных в системе.
- Автоматическое ведение журналов учета по информационной безопасности.
- Автоматическое формирование моделей угроз и подбор требований для их нейтрализации.
- Автоматическое определение уровня защищенности ПДн, класса ГИС, категорирование КИИ.
- Синхронизация данных с внешними источниками (через CSV файлы).
- Выполнение внешних приложений и скриптов (PowerShell).
Формируемые документы по защите информации
КИТ-Журнал облегчает подготовку следующих документов (шаблоны встроены в программу):
- Акт вывода из эксплуатации технических средств из автоматизированной системы.
- Акт классификации информационной системы (на ГИС и на ГИС с обработкой ПДн).
- Модель угроз безопасности информации (документ формируется на каждую информационную систему).
- Технический паспорт (документ формируется на каждую информационную систему).
- Техническое задание на создание системы защиты информации.
- Приказ о комиссии по определению класса ГИС и уровня защищенности ПДн.
- Приказ об ответственном за защиту информации, не содержащей сведения, составляющие государственную тайну.
- Приказ об утверждении перечня ИС, обрабатывающих защищаемую информацию, и перечня защищаемой информации, обрабатываемой в ПК, входящих в состав ИС.
- Приказ о сотрудниках, осуществляющих обработку защищаемой информации, и имеющих доступ к обрабатываемой защищаемой информации.
- Приказ о сотрудниках, которым разрешены действия по внесению изменений в базовую конфигурацию информационных систем и системы защиты информации.
- Приказ о сотрудниках, ответственных за выявление инцидентов информационной безопасности и реагирование на них.
- Приказ о сотрудниках, имеющих доступ к содержанию электронного журнала сообщений.
- Приказ об обеспечении безопасности материальных носителей защищаемой информации.
- Приказ об обеспечении безопасности помещений, в которых размещены ИС и сохранности носителей защищаемой информации.
- Приказ об утверждении форм документов, необходимых в целях выполнения требований законодательства в области защиты информации.
- Приказ об утверждении перечня мер, направленных на выполнение требований законодательства Российской Федерации при ведении журнала учета посетителей.
- Приказ о системе разграничения доступа в ИС.
- Приказ о комиссии по уничтожению защищаемой информации.
- Приказ о введении в эксплуатацию системы видеонаблюдения.
- Положение по организации и проведению работ по обеспечению безопасности защищаемой информации, при ее обработке в ИС.
- Приказ об ответственном за планирование и контроль мероприятий по обеспечению информационной безопасности.
- Приказ об ответственном за управление (администрирование) подсистемой безопасности (системой защиты информации).
- Приказ об утверждении мер, направленных на выполнение требований законодательства Российской Федерации в области защиты информации с использованием средств криптографической защиты информации.
- Список допущенных к работе с ключами СКЗИ.
- Заключение о готовности к работе с СКЗИ (форма 1).
- Перечень допущенных в помещения с ключами СКЗИ.
- Акт уничтожения криптографических ключей.
- Акт установки СКЗИ.
- Акт установки СКЗИ с формуляром.
- Акт изъятия СКЗИ.
- Заключение о допуске пользователя к работе с СКЗИ.
- План мероприятий по реализации требований Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и принятых в соответствии с ним нормативных правовых актов.
- Приказ об утверждении Положения о комиссии по категорированию объектов КИИ.
- Приказ о комиссии по категорированию объектов КИИ.
- Приказ об утверждении перечня объектов КИИ, подлежащих категорированию (в том числе форма отправки сведений во ФСТЭК России).
- Акт категорирования объекта КИИ.
- Сопроводительное письмо в ФСТЭК с перечнем объектов КИИ, подлежащих категорированию.
- Форма утверждения перечня объектов КИИ с ФСТЭК.
- Сопроводительное письмо в ФСТЭК с результатами категорирования объектов КИИ.
- Сведения о результатах присвоения объекту КИИ категории значимости (документ формируется на каждый объект).
- Приказ о назначении администратора безопасности значимых объектов КИИ.
- Приказ об ответственном за обеспечение безопасности КИИ.
- Приказ о силах обеспечения безопасности значимых объектов КИИ.
- Список работников, доступ которых к персональным данным, обрабатываемым в информационной системе персональных данных, необходим для выполнения их служебных обязанностей
- Приказ об ответственном за организацию обработки ПДн.
- Приказ об ответственном за обеспечение безопасности ПДн в ИС.
- Приказ об утверждении перечня ПДн.
- Политика в отношении обработки персональных данных.
- Положение по организации и проведению работ по обеспечению безопасности защищаемой информации, при её обработке в ИС.
- Порядок хранения, использования и передачи ПДн сотрудников.
- Акт оценки вреда, который может быть причинен субъектам ПДн.
- Акт определения уровня защищенности ПДн при их обработке в ИС (на ИСПДн).
- Согласие на обработку ПДн.
- Согласие на поручение обработки ПДн.
- Согласие на передачу ПДн.
- Согласие на включение ПДн в общедоступные источники.
- Уведомление о намерении осуществлять обработку ПДн.
- Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку ПДн.
- Информационное письмо о прекращении обработки ПДн.
Предусмотрена возможность добавления пользовательских шаблонов документов. Шаблоны документов заполняются данными с учетом данных организации, значений справочников. Этот функционал позволяет достичь экономии времени, за счет мгновенного формирования документов.
Журналы регистрации и учета
- Журнал учета машинных носителей информации.
- Журнал выдачи/возврата машинных носителей информации.
- Журнал периодического тестирования средств защиты информации.
- Журнал учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн.
- Журнал проверок электронных журналов.
- Журнал антивирусных проверок автоматизированных систем.
- Журнал учёта журналов.
- Журнал проведенных внутренних проверок режима защиты персональных данных.
- Журнал проведения инструктажа по информационной безопасности.
- Журнал резервного копирования и восстановления данных.
- Журнал учета актов.
- Журнал учета посетителей.
- Журнал приема-сдачи помещений под охрану.
- Журнал учета документов и изданий конфиденциального характера.
- Журнал учета подготовленных документов.
- Журнал регистрации СЗИ и СКЗИ, эксплуатационной и технической документации к ним.
- Журнал поэкземплярного учета выдачи/подключения/изъятия криптосредств (СКЗИ).
- Журнал учета установки/изъятия средств защиты информации.
- Журнал учета хранилищ.
- Журнал регистрации выдачи/приема хранилищ (помещений, сейфов, пеналов, печатей, ключей).
- Журнал заседания комиссий по допуску к СКЗИ. СКЗИ пользователя.
- Журнал поэкземплярного учета и выдачи ключевых документов (носителей).
- Журнал опечатывания (опломбирования) технических средств.
- Технический (аппаратный) журнал СКЗИ.
- Журнал учета передачи персональных данных.
- Журнал учёта обращений субъектов персональных данных и их законных представителей.
- Журнал назначения прав пользователям.
ЭТАПЫ ВНЕДРЕНИЯ
Установка программного обеспечения
На сервер заказчика, клиентские места
Внесение исходных данных
Заполнение списков, каталогов, настройка почты для оповещений
Обучение сотрудников
Обучение администраторов, ответственных пользователей
КИТ-Журнал работает сам
Задачи приходят на почту