ПЛАТФОРМА АВТОМАТИЗАЦИИ ПРОЦЕССОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ:
- Облегчит планирование и выполнение мероприятий, предусмотренных нормативными документами ФСТЭК/ФСБ России.
- Упростит учёт и контроль большого количества объектов (пользователей, прав доступа, носителей, средств защиты, ключевой информации и др.).
- Преобразует организацию работы с филиалами и удаленными подразделениями в части обеспечения защиты информации.
- Предотвратит инциденты, связанные с несвоевременным возвратом носителей, блокировкой учетных записей и др.
- Создаст необходимые документы вовремя и пришлет их на подпись.
![](/__scale/uploads/s/i/l/k/ilkz8xkzcksn/img/full_FVXG3d0Q.jpg?width=210&quality=76)
![](/__scale/uploads/s/i/l/k/ilkz8xkzcksn/img/full_kSzTONwr.jpg?width=210&quality=76)
![](/__scale/uploads/s/i/l/k/ilkz8xkzcksn/img/full_jcYd5NGW.jpg?width=210&quality=76)
![](/__scale/uploads/s/i/l/k/ilkz8xkzcksn/img/full_ejvQFsyT.png?width=210&quality=76)
«КИТ-Журнал» является отечественным программным продуктом.
Регистрационный номер в Едином реестре Российских программ - 2147, внесен Приказом Минкомсвязи России от 08.11.2016 №538.
КАКИЕ ЗАДАЧИ РЕШАЕТ КИТ-ЖУРНАЛ?
- Соблюдение требований по защите персональных данных в соответствии со 152-ФЗ (формирование документов, согласий, документация на информационные системы).
- Соблюдение требований по защите информации в государственных информационных системах (формирование документов).
- Соблюдение требований к объектам критической информационной инфраструктуры в соответствии с 187-ФЗ (категорирование, назначение ответственных лиц, формирование пакета документов КИИ).
- Выполнение требований к эксплуатации криптосредств (инструкция ФАПСИ-152, ПКЗ-2005).
- Учет инцидентов (формирование файлов НКЦКИ).
- Ведение журналов учета по информационной безопасности.
- Автоматическое определение уровня защищенности ПДн, класса ГИС, категории КИИ.
- Формирование моделей угроз, подбор требований для нейтрализации угроз.
- Автоматическое проведение инструктажей и тестирование пользователей по информационной безопасности.
- Учет доступа пользователей к ресурсам.
![](/__scale/uploads/s/i/l/k/ilkz8xkzcksn/img/full_1tNp9F3V.jpg?width=210&quality=76)
![](/__scale/uploads/s/i/l/k/ilkz8xkzcksn/img/full_xmMOzqR0.jpg?width=210&quality=76)
![](/__scale/uploads/s/i/l/k/ilkz8xkzcksn/img/full_thmafhYm.jpg?width=210&quality=76)
![](/__scale/uploads/s/i/l/k/ilkz8xkzcksn/img/full_SnukxaXN.jpg?width=210&quality=76)
КАК РАБОТАЕТ КИТ-ЖУРНАЛ: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ?
- Служба заданий, служба резервирования и база данных устанавливаются и инициализируются на сервере.
- Клиентские приложения устанавливаются на компьютеры сотрудников отдела (службы) защиты информации, пользователей. Есть возможность использовать веб-приложение для работы с системой в браузерах.
- Специалист вводит в систему начальные данные: - общие параметры организации; - список сотрудников, должностей; - список помещений; - список имеющихся у заказчика СЗИ/СКЗИ; - список компьютеров и ПО; - список защищаемых ресурсов; - список ролей доступа и прав;
- Устанавливаются связи между всеми субъектами и объектами доступа
- Настраивается служба заданий и оповещений.
- Указываются реквизиты почтового сервера для рассылки оповещений.
- Формируется перечень назначенных прав доступа.
- Система формирует документы по защите присылает на почту ответственному лицу.
- При изменениях система актуализирует документы и оповещает ответственных сотрудников.
КАК ВЫПОЛНЯТЬ ТРЕБОВАНИЯ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ С КИТ-ЖУРНАЛ?
Держите под контролем все ИТ-ресурсы организации
В системе реализован взаимосвязанный учет следующих объектов и субъектов:
- сотрудники организации, пользователи информационных систем;
- учетные записи пользователей, защищаемые информационные ресурсы;
- назначенные пользователям роли и права доступа;
- основные технические средства и системы (ОТСС), программное обеспечение;
- средства защиты информации (СЗИ), средства криптографической защиты информации (СКЗИ);
- машинные носители информации, хранилища, пеналы, сейфы, ключевые носители.
![](/uploads/s/i/l/k/ilkz8xkzcksn/img/autocrop/9391de6d4e07012e13be7a7c8f97f16e.jpg)
![](/uploads/s/i/l/k/ilkz8xkzcksn/img/autocrop/e50d30aaf42d04721c5986dc8df600e9.jpg)
Организуйте своевременное проведение инструктажей пользователей по информационной безопасности
- рассылка обучающих материалов пользователям;
- оповещение ответственных лиц о необходимости проведения инструктажей;
- автоматическое составление графика проведения инструктажей;
- автоматическое ведение журнала проведенных инструктажей по информационной безопасности;
- автоматическое формирование заключений о допуске пользователей к работе с СКЗИ, после прохождения инструктажа.
Проверяйте состояние защиты информации в организации
- автоматическое формирование графика внутренних проверок состояния защиты информации;
- оповещение ответственных лиц о необходимости проведения проверок;
- автоматическое формирование протоколов по результатам проведенных проверок;
- контроль устранения выявленных замечаний.
![](/uploads/s/i/l/k/ilkz8xkzcksn/img/autocrop/6c3a677081ec7151bb91803ef91faa1a.png)
![](/uploads/s/i/l/k/ilkz8xkzcksn/img/autocrop/6c345944f4e0e519ff921fa3c56030c8.jpg)
Выполняйте требования по эксплуатации СКЗИ (инструкция ФАПСИ-152/ПКЗ-2005)
- учет СКЗИ в электронном виде;
- учет фактов выдачи СКЗИ пользователям, с проверкой факта допуска пользователя к работе СКЗИ;
- сопровождение жизненного цикла ключевых документов и носителей (изготовление, запись, рассылка, передача, возврат, уничтожение);
- контроль своевременного уничтожения ключевых документов с формированием актов;
- формирование актов ввода СКЗИ в эксплуатацию/ вывода СКЗИ из эксплуатации;
- контроль опломбирования технических средств, используемых совместно с СКЗИ;
- контроль наличия хранилищ у пользователей СКЗИ;
- ведение технического (аппаратного) журнала.
Выполнение требований ФЗ-152 "О персональных данных"
- Учет категорий обрабатываемых в информационной системе персональных данных;
- Формирование акта определения уровня защищенности персональных данных;
- Учет обращений субъектов персональных данных;
- Учет фактов передачи персональных данных;
- Определение уровня защищенности ПДн.
![](/uploads/s/i/l/k/ilkz8xkzcksn/img/autocrop/3f2eb30e58e3a65248bc01d9fbf82a0a.jpg)
ПРЕИМУЩЕСТВА
Готовность к эксплуатации сразу после установки
КИТ-Журнал содержит все необходимые журналы, справочники и шаблоны документов для организации учета по защите информации. Для работы достаточно внести данные организации.
Организация защиты информации в подразделениях и филиалах
КИТ-Журнал позволяет организовать взаимодействие с подразделениями и филиалами, контролировать процессы защиты информации в них, своевременно выявлять и устранять нарушения.
Определение уровня защищенности ПДн, класса ГИС, категории объекта КИИ
КИТ-Журнал позволяет определить уровень защищенности персональных данных, класс государственной информационной системы. В программе предусмотрено формирование акта классификации и акта определения уровня защищенности.
Ведение журналов по защите информации в электронном виде
Квалифицированная электронная подпись - сотрудники отдела защиты информации и ответственные лица используют квалифицированную электронную подпись в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ). Квалифицированная электронная подпись приобретается в аккредитованных удостоверяющих центрах. Удостоверяющие центры предлагают в том числе комплексные тарифные планы, включающие лицензию на криптопровайдер и защищенный носитель.
Рукописная подпись простых работников - формируемые программой, сброшюрованные листы с "мокрыми" подписями инструктируемых могут быть предъявлены проверяющим лицам.
Возможность создания индивидуальных конфигураций
Стандартная конфигурация может быть адаптирована с учетом специфических требований заказчика. Существующие в организации процессы ИБ могут быть автоматизированы с помощью платформы КИТ-Журнал.
Экономическая эффективность
Исключаются затраты времени на подготовку и формирование документов.
Записи в электронных журналах создаются автоматически, что также экономит время.
Исключается риск нарушений, связанных с некорректным или неполным заполнением журналов учета.
Доступность информации об общем состоянии защиты информации позволяет использовать ее в различных бизнес-процессах и для принятия решений.
Цифровизация процессов
Повышение производительности труда, перспектива полной автоматизации процессов обеспечения защиты информации дает конкурентное преимущество в части снижения издержек. Снижаются требования к количеству задействованного персонала.
Простота в использовании для рядовых сотрудников
С точки зрения простых сотрудников достаточно выполнять инструкции системы, распространяемые по электронной почте ("Пройти инструктаж", "Выявлены носители, выданные уволенному сотруднику" и т.п.).
![](/uploads/s/i/l/k/ilkz8xkzcksn/img/autocrop/3499db239d833cefb8c21a993513d1b1.jpg)
Список поддерживаемых списков, процессов и журналов конфигурации "Информационная безопасность"
Общие списки, перечни и каталоги
- Список организаций (филиалов).
- Список сотрудников.
- Список подразделений.
- Список должностей.
- Список помещений.
- Информационные системы и объекты.
- Модели угроз и требования безопасности.
- Список компьютеров и устройств (СВТ).
- Список программного обеспечения.
- Журнал регистрации СЗИ и СКЗИ, эксплуатационной и технической документации к ним.
- Каталог СЗИ (в соответствии с реестром ФСТЭК).
- Каталог инструктажей по информационной безопасности.
- Комиссии по информационной безопасности.
- Приказы по информационной безопасности.
- Типы документов.
- Каталог угроз (ФСТЭК России).
- Каталог уязвимостей (ФСТЭК России).
- Каталог требований и мер по обеспечению безопасности (ПДн, ГИС, КИИ, БФО).
- Планирование мероприятий по защите информации.
- Аттестации и работы по защите информации.
- Учет и реагирование на инциденты ИБ (с формирование файлов НКЦКИ).
- Перечень критических процессов в организации (КИИ).
Активы (ресурсы) и права пользователей
- Перечень защищаемых ресурсов и их администраторов.
- Каталог ролей.
- Каталог прав доступа для ресурсов.
- Список прав доступа.
- Учетные записи пользователей.
Внутренние проверки и проверки надзорных органов
- Каталог внутренних проверок.
- Проверки надзорных органов.
- Оценка готовности организации к проверкам Роскомнадзора.
- Оценка готовности организации к проверкам ФСБ России.
- Оценка готовности организации к проверкам ФСТЭК России.
Персональные данные
- Перечень обрабатываемых персональных данных и целей обработки.
- Перечень баз данных ПДн.
Служебные журналы, обеспечения процессов
- Журнал задач.
- Назначенные инструктажи и мероприятия.
- Назначенные внутренние проверки.
Обеспечиваемые процессы
- Планирование и выполнение внутренних проверок по защите информации для информационных систем.
- Контроль проведения инструктажей по информационной безопасности, допуск к СКЗИ.
- Автоматизированная рассылка обучающего материала и тестирование пользователей по вопросам информационной безопасности.
- Автоматическое отслеживание прав доступа, носителей информации уволенных сотрудников.
- Автоматическое формирование файлов для НКЦКИ и учет инцидентов информационной безопасности.
- Расчет оценки готовности к проверкам регуляторов.
- Формирование пакетов документов ПДн/ГИС/КИИ на основе данных в системе.
- Автоматическое ведение журналов учета по информационной безопасности.
- Автоматическое формирование моделей угроз и подбор требований для их нейтрализации.
- Автоматическое определение уровня защищенности ПДн, класса ГИС, категорирование КИИ.
- Синхронизация данных с внешними источниками (через CSV файлы).
- Выполнение внешних приложений и скриптов (PowerShell).
Формируемые документы по защите информации
КИТ-Журнал облегчает подготовку следующих документов (шаблоны встроены в программу):
- Акт вывода из эксплуатации технических средств из автоматизированной системы.
- Акт классификации информационной системы (на ГИС и на ГИС с обработкой ПДн).
- Модель угроз безопасности информации (документ формируется на каждую информационную систему).
- Технический паспорт (документ формируется на каждую информационную систему).
- Техническое задание на создание системы защиты информации.
- Приказ о комиссии по определению класса ГИС и уровня защищенности ПДн.
- Приказ об ответственном за защиту информации, не содержащей сведения, составляющие государственную тайну.
- Приказ об утверждении перечня ИС, обрабатывающих защищаемую информацию, и перечня защищаемой информации, обрабатываемой в ПК, входящих в состав ИС.
- Приказ о сотрудниках, осуществляющих обработку защищаемой информации, и имеющих доступ к обрабатываемой защищаемой информации.
- Приказ о сотрудниках, которым разрешены действия по внесению изменений в базовую конфигурацию информационных систем и системы защиты информации.
- Приказ о сотрудниках, ответственных за выявление инцидентов информационной безопасности и реагирование на них.
- Приказ о сотрудниках, имеющих доступ к содержанию электронного журнала сообщений.
- Приказ об обеспечении безопасности материальных носителей защищаемой информации.
- Приказ об обеспечении безопасности помещений, в которых размещены ИС и сохранности носителей защищаемой информации.
- Приказ об утверждении форм документов, необходимых в целях выполнения требований законодательства в области защиты информации.
- Приказ об утверждении перечня мер, направленных на выполнение требований законодательства Российской Федерации при ведении журнала учета посетителей.
- Приказ о системе разграничения доступа в ИС.
- Приказ о комиссии по уничтожению защищаемой информации.
- Приказ о введении в эксплуатацию системы видеонаблюдения.
- Положение по организации и проведению работ по обеспечению безопасности защищаемой информации, при ее обработке в ИС.
- Приказ об ответственном за планирование и контроль мероприятий по обеспечению информационной безопасности.
- Приказ об ответственном за управление (администрирование) подсистемой безопасности (системой защиты информации).
- Приказ об утверждении мер, направленных на выполнение требований законодательства Российской Федерации в области защиты информации с использованием средств криптографической защиты информации.
- Список допущенных к работе с ключами СКЗИ.
- Заключение о готовности к работе с СКЗИ (форма 1).
- Перечень допущенных в помещения с ключами СКЗИ.
- Акт уничтожения криптографических ключей.
- Акт установки СКЗИ.
- Акт установки СКЗИ с формуляром.
- Акт изъятия СКЗИ.
- Заключение о допуске пользователя к работе с СКЗИ.
- План мероприятий по реализации требований Федерального закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и принятых в соответствии с ним нормативных правовых актов.
- Приказ об утверждении Положения о комиссии по категорированию объектов КИИ.
- Приказ о комиссии по категорированию объектов КИИ.
- Приказ об утверждении перечня объектов КИИ, подлежащих категорированию (в том числе форма отправки сведений во ФСТЭК России).
- Акт категорирования объекта КИИ.
- Сопроводительное письмо в ФСТЭК с перечнем объектов КИИ, подлежащих категорированию.
- Форма утверждения перечня объектов КИИ с ФСТЭК.
- Сопроводительное письмо в ФСТЭК с результатами категорирования объектов КИИ.
- Сведения о результатах присвоения объекту КИИ категории значимости (документ формируется на каждый объект).
- Приказ о назначении администратора безопасности значимых объектов КИИ.
- Приказ об ответственном за обеспечение безопасности КИИ.
- Приказ о силах обеспечения безопасности значимых объектов КИИ.
- Список работников, доступ которых к персональным данным, обрабатываемым в информационной системе персональных данных, необходим для выполнения их служебных обязанностей
- Приказ об ответственном за организацию обработки ПДн.
- Приказ об ответственном за обеспечение безопасности ПДн в ИС.
- Приказ об утверждении перечня ПДн.
- Политика в отношении обработки персональных данных.
- Положение по организации и проведению работ по обеспечению безопасности защищаемой информации, при её обработке в ИС.
- Порядок хранения, использования и передачи ПДн сотрудников.
- Акт оценки вреда, который может быть причинен субъектам ПДн.
- Акт определения уровня защищенности ПДн при их обработке в ИС (на ИСПДн).
- Согласие на обработку ПДн.
- Согласие на поручение обработки ПДн.
- Согласие на передачу ПДн.
- Согласие на включение ПДн в общедоступные источники.
- Уведомление о намерении осуществлять обработку ПДн.
- Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку ПДн.
- Информационное письмо о прекращении обработки ПДн.
Предусмотрена возможность добавления пользовательских шаблонов документов. Шаблоны документов заполняются данными с учетом данных организации, значений справочников. Этот функционал позволяет достичь экономии времени, за счет мгновенного формирования документов.
Журналы регистрации и учета
- Журнал учета машинных носителей информации.
- Журнал выдачи/возврата машинных носителей информации.
- Журнал периодического тестирования средств защиты информации.
- Журнал учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн.
- Журнал проверок электронных журналов.
- Журнал антивирусных проверок автоматизированных систем.
- Журнал учёта журналов.
- Журнал проведенных внутренних проверок режима защиты персональных данных.
- Журнал проведения инструктажа по информационной безопасности.
- Журнал резервного копирования и восстановления данных.
- Журнал учета актов.
- Журнал учета посетителей.
- Журнал приема-сдачи помещений под охрану.
- Журнал учета документов и изданий конфиденциального характера.
- Журнал учета подготовленных документов.
- Журнал регистрации СЗИ и СКЗИ, эксплуатационной и технической документации к ним.
- Журнал поэкземплярного учета выдачи/подключения/изъятия криптосредств (СКЗИ).
- Журнал учета установки/изъятия средств защиты информации.
- Журнал учета хранилищ.
- Журнал регистрации выдачи/приема хранилищ (помещений, сейфов, пеналов, печатей, ключей).
- Журнал заседания комиссий по допуску к СКЗИ. СКЗИ пользователя.
- Журнал поэкземплярного учета и выдачи ключевых документов (носителей).
- Журнал опечатывания (опломбирования) технических средств.
- Технический (аппаратный) журнал СКЗИ.
- Журнал учета передачи персональных данных.
- Журнал учёта обращений субъектов персональных данных и их законных представителей.
- Журнал назначения прав пользователям.
![](/__scale/uploads/s/i/l/k/ilkz8xkzcksn/img/full_QVtGdhlM.jpg?width=210&quality=76)
![](/__scale/uploads/s/i/l/k/ilkz8xkzcksn/img/full_D3KoL35Z.jpg?width=210&quality=76)
ЭТАПЫ ВНЕДРЕНИЯ
Установка программного обеспечения
На сервер заказчика, клиентские места
Внесение исходных данных
Заполнение списков, каталогов, настройка почты для оповещений
Обучение сотрудников
Обучение администраторов, ответственных пользователей
КИТ-Журнал работает сам
Задачи приходят на почту