Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline AngryBrain  
#1 Оставлено : 10 августа 2017 г. 13:29:03(UTC)
AngryBrain

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.08.2017(UTC)
Сообщений: 1
Российская Федерация

Здравствуйте.

Используем ЭП для работы с сайтом закупок и т.п., установлен КриптоПро. Сертификаты изготавливает казначейство. Я буду во всём этом ответственным, администратором безопасности и т.д.
В связи с этим возникают вопросы по необходимости применения тех или иных мер из нормативных документов, в частности из Приказа ФАПСИ № 152.

1. Можно ли возложить функции ОКЗ на одного человека (меня)? И нужен ли вообще этот орган?
2. Кто должен обучать пользователей, принимать зачеты и давать заключение о допуске к работе с СКЗИ? Могу ли это сделать я?
Если да, то кто даёт мне это право?
3. Нужно ли мне в казначействе проходить какое-либо обучение или можно получить допуск к СКЗИ просто приказом директора?

Думаю вопросов будет ещё много, очень надеюсь на Вашу помощь.
Спасибо.
Offline arslanov  
#2 Оставлено : 23 августа 2017 г. 15:58:08(UTC)
arslanov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.01.2008(UTC)
Сообщений: 179
Российская Федерация
Откуда: Самара

Сказал(а) «Спасибо»: 63 раз
Поблагодарили: 24 раз в 19 постах
Автор: AngryBrain Перейти к цитате
Здравствуйте.

Используем ЭП для работы с сайтом закупок и т.п., установлен КриптоПро. Сертификаты изготавливает казначейство. Я буду во всём этом ответственным, администратором безопасности и т.д.
В связи с этим возникают вопросы по необходимости применения тех или иных мер из нормативных документов, в частности из Приказа ФАПСИ № 152.

1. Можно ли возложить функции ОКЗ на одного человека (меня)? И нужен ли вообще этот орган?
2. Кто должен обучать пользователей, принимать зачеты и давать заключение о допуске к работе с СКЗИ? Могу ли это сделать я?
Если да, то кто даёт мне это право?
3. Нужно ли мне в казначействе проходить какое-либо обучение или можно получить допуск к СКЗИ просто приказом директора?

Думаю вопросов будет ещё много, очень надеюсь на Вашу помощь.
Спасибо.


День добрый.
А) Я так понимаю у вас организация которая НЕ имеет лицензии по криптографии. Т.е. в соответсвии с 152 приказом вы не должны создавать ОКЗИ. Т.к. ОКЗИ создает только лицензиат.
-----------
6. Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты*(7), о чем письменно уведомляет ФАПСИ.
Допускается возложение функций органа криптографической защиты на специальное структурное подразделение по защите государственной тайны, использующее для этого шифровальные средства.
-----------

B) Обучать пользователей СКЗИ должен ОКЗИ. Т.е. по правильному в ОКЗИ должны прийти все кто будет работать с СКЗИ в вашей компании. По окончании обучения выдается документ. Т.е. только ОКЗИ иммет право обучать. У вас такого права нет.

-----------
7. Орган криптографической защиты осуществляет:
- проверку готовности обладателей конфиденциальной информации к самостоятельному использованию СКЗИ и составление заключений о возможности эксплуатации СКЗИ (с указанием типа и номеров используемых СКЗИ, номеров аппаратных, программных и аппаратно-программных средств, где установлены или к которым подключены СКЗИ, с указанием также номеров печатей (пломбиров), которыми опечатаны (опломбированы) технические средства, включая СКЗИ, и результатов проверки функционирования СКЗИ);
- обучение лиц, использующих СКЗИ, правилам работы с ними;

С) Не только можно а нужно в казначействе, где вам выдавали СКЗИ проходить обучение. По идее - если вас не обучают и выдают СКЗИ, то лицензиат нарушает приказ ФАПСИ, который действует до сих пор. Другое дело если вам НЕ выдавали СКЗИ. Другое дело если вам выдали сертификат ЭП и только его, без средств крипто защиты. тогда казначейство ничего не нарушило.
Offline Анатолий Колкочев  
#3 Оставлено : 6 июля 2018 г. 13:52:37(UTC)
TolikTipaTut1

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 467

Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
Доброго времени суток. Я пытаюсь найти нормативную документацию относительного того, какие стандарты, описывающие синтаксис криптографических сообщений, разрешается использовать в РФ. Нашел приказ МИНКОМСВЯЗИ 186. Пункт 17 статьи 5 "Требования к ЭП" гласит, что "ЭП, формируемые в рамках обмена документами в электронном виде при организации информационного взаимодействия, должны соответствовать требованиям к усиленной квалифицированной электронной подписи, при их создании должен использоваться формат PKCS#7 (Public-Key Cryptography Standard #7, общее описание стандарта PKCS#7, опубликованного в качестве RFC (Request for Comments) с номером 2315, доступно по адресу http://tools.ietf.org/html/rfc2315) без включения подписываемых данных." Но в данном приказе рассматривается взаимодействие гос.органов и гос.учреждений. Что делать коммерческим организациям? Какими стандартами руководствоваться? Какие есть нормативные документы, описывающие это? Или выбор стандарта, описывающего синтаксис криптографических сообщений, делается самой организацией? И на каком основании компания КРИПТОПРО сделала выбор в сторону стандартов CAdES?

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.