Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline edkudr  
#1 Оставлено : 9 августа 2019 г. 3:43:38(UTC)
edkudr

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.08.2019(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 2 раз
В разделе 2. Назначение СКЗИ. Условия эксплуатации Правил пользования СКЗИ Крипто Про 4.0. сказано: "ПЭВМ, на которых используется СКЗИ, должны быть допущены для обработки конфиденциальной информации по действующим в Российской Федерации требованиям по защите информации от утечки по техническим каналам, в том числе, по каналу связи (например, СТР-К), с учетом модели угроз в информационной системе заказчика, которым должно противостоять СКЗИ". Вопрос: "Означает ли это, что для того чтобы пользоваться СКЗИ Крипто Про 4.0. в организации, необходимо проводить аттестационные испытания в соответствии с СТР-К ?
Offline nikolkas_spb  
#2 Оставлено : 9 августа 2019 г. 9:33:22(UTC)
nikolkas_spb

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.01.2017(UTC)
Сообщений: 219
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 41 раз в 40 постах
Гос. орган? коммерция? что обрабатывается?
в целом - нет, если аттестация ИС или АРМа явно не предусмотрена распорядительными документами
Цена свободы - вечная бдительность!
Offline edkudr  
#3 Оставлено : 13 августа 2019 г. 8:33:35(UTC)
edkudr

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.08.2019(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 2 раз
Госорган. На АРМе не обрабатывается информация конфиденциального характера (имеющая пометку ДСП), поэтому нет Аттестата соответствия по нормам СТР-К. Однако используется СКЗИ "Крипто Про" для проставления электронной подписи. Не понятен пункт правил пользования, о том что ПЭВМ должны быть допущены для обработки конфиденциальной информации по действующим в Российской Федерации требованиям по защите информации от утечки по техническим каналам, в том числе, по каналу связи (например, СТР-К)..
Хотелось бы понимания, каким образом выполнить данный пункт правил пользования. Конкретно, нужно ли проводить аттестационные испытания по СТР-К, или достаточно каких-то других мер попроще.

Отредактировано пользователем 13 августа 2019 г. 8:39:31(UTC)  | Причина: Не указана

Offline nikolkas_spb  
#4 Оставлено : 14 августа 2019 г. 12:06:24(UTC)
nikolkas_spb

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.01.2017(UTC)
Сообщений: 219
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 41 раз в 40 постах
Как бы корректно сказать. По идее, повторюсь, по идее, аттестация нужна. Это идеальный вариант. Он реализуется когда есть свой орган аттестации и это просто и дешево.
На практике, аттестуются только те места, где явно указано в руководящих документах и приказах - обработка всякой тайны, УЦ и т.д. Правила пользования - просто правила (при всем уважении к КриптоПРо), если уж до этого доберутся...
В общем, если нет явных признаков перестраховаться, то приказ 17 фстэк и 152 фапси тебе в руки.
в крайнем случае проверка обяжет тебя быстро аттестовать это место, что вполне можно успеть в период "устранения недостатков".
пы.сы. конфиденциальная информация - это в т.ч. и ПД, и ЭП, в которой они есть (указ №188). ДСП - информация, имеющая гриф. не путай.
Цена свободы - вечная бдительность!
thanks 1 пользователь поблагодарил nikolkas_spb за этот пост.
edkudr оставлено 15.08.2019(UTC)
Offline edkudr  
#5 Оставлено : 15 августа 2019 г. 9:18:12(UTC)
edkudr

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.08.2019(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 2 раз
Спасибо за Ваше мнение по поводу этого вопроса. В общем, смотря какая конфиденциальная информация есть,так и защищаемся, но это и так понятно. А если её нет вообще (за исключением ключа ЭП, который храниться на съёмной носителе), например стоит СКЗИ Крипто Про для подписания открытой информации на сайте ЕИС (госзакупки). И судя по правилам пользования, я все равно должен допустить этот ПЭВМ к обработке некой конфиденциальной информации.. получается к работе с ключом ЭП? Правильно ли я понимаю, что достаточно в этом случае выполнить все требования 152 фапси? Но опять же, каким документом в этом случае я допущу ПЭВМ к конфиденциальной информации.. Насколько я знаю что этим документом может являться Аттестат соответствия, а это значит аттестация либо по приказу 17 фстэк, либо СТР-К.
Р.S. Согласен, к конфиденциальной информации действительно относятся ПДн и Ключи ЭП. Также как и информация имеющая пометку ДСП (для служебного пользования), это не гриф, гриф ставиться на информацию, которая относится к сведениям составляющих гос.тайну. Я к тому, что информация с пометкой ДСП такая же конфиденциальная как ПДн, ключ ЭП и т.д.
Offline nikolkas_spb  
#6 Оставлено : 15 августа 2019 г. 10:32:25(UTC)
nikolkas_spb

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.01.2017(UTC)
Сообщений: 219
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 41 раз в 40 постах
Автор: edkudr Перейти к цитате
Правильно ли я понимаю, что достаточно в этом случае выполнить все требования 152 фапси? Но опять же, каким документом в этом случае я допущу ПЭВМ к конфиденциальной информации.. Насколько я знаю что этим документом может являться Аттестат соответствия, а это значит аттестация либо по приказу 17 фстэк, либо СТР-К.


Смотри, аттестация и выдача аттестата соответствия проводятся исключительно уполномоченной организацией с выдачей красивой бумажки. если ты это пробьешь - молодец.
с твоей стороны ты можешь закрыться организационными, документальными и техническими мерами в соответствии с 17 ФСТЭК и 152 ФАПСИ и жить спокойно. ты и так обязан это сделать.
в случае проверки ты все это показываешь, если она настаивает на наличии бумажки от органа аттестации, ты быстро находишь деньги и проводишь аттестацию.
сам ты аттестат себе не выпишешь.
Документ для допуска - необходимый пакет (см. руководящие документы) плюс приказ о вводе в эксплуатацию.

Цена свободы - вечная бдительность!
thanks 1 пользователь поблагодарил nikolkas_spb за этот пост.
edkudr оставлено 16.08.2019(UTC)
Offline edkudr  
#7 Оставлено : 16 августа 2019 г. 3:44:02(UTC)
edkudr

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.08.2019(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 2 раз
Да, так и сделаю. Спасибо Вам за ответ!
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.