Статус: Новичок
Группы: Участники
Зарегистрирован: 10.08.2017(UTC) Сообщений: 1
|
Здравствуйте.
Используем ЭП для работы с сайтом закупок и т.п., установлен КриптоПро. Сертификаты изготавливает казначейство. Я буду во всём этом ответственным, администратором безопасности и т.д. В связи с этим возникают вопросы по необходимости применения тех или иных мер из нормативных документов, в частности из Приказа ФАПСИ № 152.
1. Можно ли возложить функции ОКЗ на одного человека (меня)? И нужен ли вообще этот орган? 2. Кто должен обучать пользователей, принимать зачеты и давать заключение о допуске к работе с СКЗИ? Могу ли это сделать я? Если да, то кто даёт мне это право? 3. Нужно ли мне в казначействе проходить какое-либо обучение или можно получить допуск к СКЗИ просто приказом директора?
Думаю вопросов будет ещё много, очень надеюсь на Вашу помощь. Спасибо.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.01.2008(UTC) Сообщений: 179 Откуда: Самара Сказал(а) «Спасибо»: 63 раз Поблагодарили: 24 раз в 19 постах
|
Автор: AngryBrain Здравствуйте.
Используем ЭП для работы с сайтом закупок и т.п., установлен КриптоПро. Сертификаты изготавливает казначейство. Я буду во всём этом ответственным, администратором безопасности и т.д. В связи с этим возникают вопросы по необходимости применения тех или иных мер из нормативных документов, в частности из Приказа ФАПСИ № 152.
1. Можно ли возложить функции ОКЗ на одного человека (меня)? И нужен ли вообще этот орган? 2. Кто должен обучать пользователей, принимать зачеты и давать заключение о допуске к работе с СКЗИ? Могу ли это сделать я? Если да, то кто даёт мне это право? 3. Нужно ли мне в казначействе проходить какое-либо обучение или можно получить допуск к СКЗИ просто приказом директора?
Думаю вопросов будет ещё много, очень надеюсь на Вашу помощь. Спасибо. День добрый. А) Я так понимаю у вас организация которая НЕ имеет лицензии по криптографии. Т.е. в соответсвии с 152 приказом вы не должны создавать ОКЗИ. Т.к. ОКЗИ создает только лицензиат. ----------- 6. Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты*(7), о чем письменно уведомляет ФАПСИ. Допускается возложение функций органа криптографической защиты на специальное структурное подразделение по защите государственной тайны, использующее для этого шифровальные средства. ----------- B) Обучать пользователей СКЗИ должен ОКЗИ. Т.е. по правильному в ОКЗИ должны прийти все кто будет работать с СКЗИ в вашей компании. По окончании обучения выдается документ. Т.е. только ОКЗИ иммет право обучать. У вас такого права нет. ----------- 7. Орган криптографической защиты осуществляет: - проверку готовности обладателей конфиденциальной информации к самостоятельному использованию СКЗИ и составление заключений о возможности эксплуатации СКЗИ (с указанием типа и номеров используемых СКЗИ, номеров аппаратных, программных и аппаратно-программных средств, где установлены или к которым подключены СКЗИ, с указанием также номеров печатей (пломбиров), которыми опечатаны (опломбированы) технические средства, включая СКЗИ, и результатов проверки функционирования СКЗИ); - обучение лиц, использующих СКЗИ, правилам работы с ними; С) Не только можно а нужно в казначействе, где вам выдавали СКЗИ проходить обучение. По идее - если вас не обучают и выдают СКЗИ, то лицензиат нарушает приказ ФАПСИ, который действует до сих пор. Другое дело если вам НЕ выдавали СКЗИ. Другое дело если вам выдали сертификат ЭП и только его, без средств крипто защиты. тогда казначейство ничего не нарушило.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC) Сообщений: 467
Сказал(а) «Спасибо»: 43 раз Поблагодарили: 69 раз в 61 постах
|
Доброго времени суток. Я пытаюсь найти нормативную документацию относительного того, какие стандарты, описывающие синтаксис криптографических сообщений, разрешается использовать в РФ. Нашел приказ МИНКОМСВЯЗИ 186. Пункт 17 статьи 5 "Требования к ЭП" гласит, что "ЭП, формируемые в рамках обмена документами в электронном виде при организации информационного взаимодействия, должны соответствовать требованиям к усиленной квалифицированной электронной подписи, при их создании должен использоваться формат PKCS#7 (Public-Key Cryptography Standard #7, общее описание стандарта PKCS#7, опубликованного в качестве RFC (Request for Comments) с номером 2315, доступно по адресу http://tools.ietf.org/html/rfc2315) без включения подписываемых данных." Но в данном приказе рассматривается взаимодействие гос.органов и гос.учреждений. Что делать коммерческим организациям? Какими стандартами руководствоваться? Какие есть нормативные документы, описывающие это? Или выбор стандарта, описывающего синтаксис криптографических сообщений, делается самой организацией? И на каком основании компания КРИПТОПРО сделала выбор в сторону стандартов CAdES? |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close