Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

11 Страницы«<23456>»
Опции
К последнему сообщению К первому непрочитанному
Offline amdiman  
#31 Оставлено : 18 апреля 2012 г. 22:56:49(UTC)
amdiman

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.02.2012(UTC)
Сообщений: 46
Мужчина
Откуда: РФ

Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
Юрий Маслов написал:

Dim написал:
А как быть с отметкой о получении (рассылке)? Насколько я понял, в столбце 6 должен расписывать сотрудник УЦ который сгенерил ключевую пару, а в пункте 9 сам клиент. Тоесть подпись клиента обязательна?

Не обязательно. Смотрите статью 29 Приказа 152 ФАПСИ "Обладатель конфиденциальной информации с согласия органа криптографической защиты может разрешить передачу СКЗИ, документации к ним, ключевых документов между допущенными к СКЗИ лицами по актам без обязательной отметки в журнале поэкземплярного учета."
Т.е. если есть бухгалтерские документы (акты) по передачи СКЗИ, то в журнале роспись сотрудника и клиента не обязательна.


Вадим, по Вашим словам вышесказанное Юрием неверно? И в отношениях продавец-покупатель нельзя использовать акты? Я правильно понял?
Offline Mayshev Vadim  
#32 Оставлено : 19 апреля 2012 г. 13:27:42(UTC)
Mayshev Vadim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.03.2008(UTC)
Сообщений: 142
Мужчина
Российская Федерация

Сказал «Спасибо»: 18 раз
Поблагодарили: 22 раз в 17 постах
Нет, Вы неправильно поняли.
Акты (как и другие документы) можно использовать в отношениях продавец-покупатель. Но это не отменяет использования журнала учета (в данном случае журнала органа криптозащиты - в него Вы и записываете реквизиты этих документов).
В графу 8 пишете Дата/номер сопроводительного письма (в вашем случае акта), а в графу 9 Дата/номер "обратного" письма-подтверждения (в вашем случае того же акта, т.к. он "двусторонний" документ). Тогда подписи получателя в журнале не требуются.
IMHO Юрий привел выдержку из п.29 не в Вашем контексте (Вы орган криптозащиты, а не обладатель конфиденциальной информации), но суть от этого не поменялась (можно использовать акты, роспись клиента в журнале не нужна).
В любом случае все это лишь рекомендации - Вам свои особенности учета желательно согласовать с лицензирующим органом.
Offline amdiman  
#33 Оставлено : 19 апреля 2012 г. 23:21:33(UTC)
amdiman

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.02.2012(UTC)
Сообщений: 46
Мужчина
Откуда: РФ

Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
Mayshev Vadim написал:
Нет, Вы неправильно поняли.
Акты (как и другие документы) можно использовать в отношениях продавец-покупатель. Но это не отменяет использования журнала учета (в данном случае журнала органа криптозащиты - в него Вы и записываете реквизиты этих документов).
В графу 8 пишете Дата/номер сопроводительного письма (в вашем случае акта), а в графу 9 Дата/номер "обратного" письма-подтверждения (в вашем случае того же акта, т.к. он "двусторонний" документ). Тогда подписи получателя в журнале не требуются.
IMHO Юрий привел выдержку из п.29 не в Вашем контексте (Вы орган криптозащиты, а не обладатель конфиденциальной информации), но суть от этого не поменялась (можно использовать акты, роспись клиента в журнале не нужна).
В любом случае все это лишь рекомендации - Вам свои особенности учета желательно согласовать с лицензирующим органом.


Вадим, спасибо, это мне понятно, и все-таки возвращаясь к моему вопросу кто должен со стороны клиента подписывать акт передачи ключевого носителя? руководитель(как ответвенное лицо организации) или сотрудник которому выработана ЭП и записана на этот ключевой носитель?
Offline Mayshev Vadim  
#34 Оставлено : 20 апреля 2012 г. 12:57:52(UTC)
Mayshev Vadim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.03.2008(UTC)
Сообщений: 142
Мужчина
Российская Федерация

Сказал «Спасибо»: 18 раз
Поблагодарили: 22 раз в 17 постах
Вам нужно добиться подписи единоличного исполнительного органа организации (которая оплачивает праздник) и владельца сертификата ключа подписи (если передаются персональные ключи ЭЦП), или их доверенных в установленном порядке лиц. В каких документах Вы это достигнете - это Ваше ноу-хау!
Offline Rams  
#35 Оставлено : 26 апреля 2012 г. 13:35:58(UTC)
Rams

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.01.2011(UTC)
Сообщений: 95
Мужчина
Откуда: Санкт-Петербург

В свете нового Постановления от 16 апреля 2012 г. №313 Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению ...", получится ли обосновать деятельность УЦ лишь направлениями №21 - №24?

Иначе возникают достаточно серьезные требования к персоналу.

Отредактировано пользователем 26 апреля 2012 г. 13:37:45(UTC)  | Причина: Не указана

Offline Laroux  
#36 Оставлено : 26 апреля 2012 г. 17:45:31(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах

Отредактировано пользователем 26 апреля 2012 г. 17:46:14(UTC)  | Причина: Не указана

Offline Юрий Маслов  
#37 Оставлено : 28 апреля 2012 г. 12:21:52(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Rams написал:
В свете нового Постановления от 16 апреля 2012 г. №313 Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению ...", получится ли обосновать деятельность УЦ лишь направлениями №21 - №24?

Иначе возникают достаточно серьезные требования к персоналу.


Раньше мы говорили, что УЦ должен иметь три лицензии ФСБ (распространение, обслуживание, услуги в области шифрования).
Это требование явно нигде не прописано. Только в требованиях к УЦ во всяких системах УЦ (ФНС, ПФР, торговые площадки и т.д.). Эти требования проистекали из сложившейся бизнес практики, когда в 1-ФЗ "Об ЭЦП" до 2006 года была статья, что деятельность УЦ подлежит лицензированию, а в 128-ФЗ "О лицензировании отдельных видов деятельности" такой деятельности не было. Противоречие, однако :-)
И был предложен вот такой способ разрешения противоречия: получайте 3 лицензии ФСБ. После 2006 года эти три лицензии стали "обычаем деловой практики".

Сейчас практика только будет складываться. Думаю, что она будет на основе требований по аккредитации УЦ в Минкомсвязи. Какие предъявит Минкомсвязь требования к УЦ по лицензированию, такие потом и войдут в жизнь.

С уважением,
КРИПТО-ПРО
Offline Rams  
#38 Оставлено : 3 мая 2012 г. 8:49:25(UTC)
Rams

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.01.2011(UTC)
Сообщений: 95
Мужчина
Откуда: Санкт-Петербург

Еще момент по 152 инструкции.

Общие положения: инструкция обязательна, если с использованием сертифицированных СКЗИ защищается информация, подлежащая обязательной защите.

А какую информацию, подлежащую обязательной защите защищает удостоверяющий центр?

Единственное, что можно сказать - УЦ участвует в этом процессе, выдавая ключи. А если не выдает, а лишь изготавливает сертификаты? Тогда какое отношение имеет 152 инструкция к УЦ?
Offline Юрий Маслов  
#39 Оставлено : 4 мая 2012 г. 17:28:00(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Rams написал:
Еще момент по 152 инструкции.

Общие положения: инструкция обязательна, если с использованием сертифицированных СКЗИ защищается информация, подлежащая обязательной защите.

А какую информацию, подлежащую обязательной защите защищает удостоверяющий центр?

Единственное, что можно сказать - УЦ участвует в этом процессе, выдавая ключи. А если не выдает, а лишь изготавливает сертификаты? Тогда какое отношение имеет 152 инструкция к УЦ?


Это общефилософский вопрос, который уже тут http://cryptopro.ru/foru....aspx?g=posts&t=4627 обсуждался. А проистекает он из вопроса, а зачем вообще нужны лицензии ФСБ для УЦ.

Есть две аксиомы (утверждения, не требуещие доказательства при общении с лицензионным органом):
- 152 инструкция обязательна для выполнения лицензиатами ФСБ.
- УЦ должен быть лицензиатом ФСБ.

Из этих двух утверждений логично следует, что 152 инструкция обязательна для выполнения УЦ.

Отредактировано пользователем 4 мая 2012 г. 18:59:07(UTC)  | Причина: Не указана

С уважением,
КРИПТО-ПРО
Offline ridick7770  
#40 Оставлено : 14 мая 2012 г. 14:47:44(UTC)
ridick7770

Статус: Участник

Группы: Участники
Зарегистрирован: 17.03.2012(UTC)
Сообщений: 27
Откуда: Moscow

Добрый день. Поясните, пожалуйста, момент: то, что входит в функции Органа криптозащиты относится только к внутреннему распорядку УЦ? Мне кажется, что сотрудник Органа криптографической защиты УЦ не может контролировать правильное обращение с СКЗИ пользователями клиентов УЦ. Или я что-то упустил?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
11 Страницы«<23456>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.