Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

11 Страницы«<56789>»
Опции
К последнему сообщению К первому непрочитанному
Offline agrohim_19  
#61 Оставлено : 28 февраля 2013 г. 9:39:00(UTC)
agrohim_19

Статус: Новичок

Группы: Участники
Зарегистрирован: 28.02.2013(UTC)
Сообщений: 2
Российская Федерация

Здравствуйте! Еще хочу уточнить по журналам (кажется, что я то-то напутала).
1 журнал: Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации) - Как я поняла в нем учитывать лицензии (или экземпляры) программ вроде КриптоПро и КонтинентАп?
2 Журнал: в нем учитываю сами дискеты с ключами
3 Журнал: учитываю сертификаты (т.е. сертификаты ключа подписи (бумага))
Поправьте меня пожалуйста
Вложение(я):
Журналы.JPG (285kb) загружен 120 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline Expert  
#62 Оставлено : 28 февраля 2013 г. 13:16:59(UTC)
Expert

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
agrohim_19 му

Предусмотрены три типовые формы:
- ЖУРНАЛА ПОЭКЗЕМПЛЯРНОГО УЧЕТА СКЗИ, ЭКСПЛУАТАЦИОННОЙ
И ТЕХНИЧЕСКОЙ ДОКУМЕНТАЦИИ К НИМ, КЛЮЧЕВЫХ ДОКУМЕНТОВ
(ДЛЯ ОРГАНА КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ)

- ЖУРНАЛА ПОЭКЗЕМПЛЯРНОГО УЧЕТА СКЗИ, ЭКСПЛУАТАЦИОННОЙ
И ТЕХНИЧЕСКОЙ ДОКУМЕНТАЦИИ К НИМ, КЛЮЧЕВЫХ ДОКУМЕНТОВ
(ДЛЯ ОБЛАДАТЕЛЯ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ)

-ТЕХНИЧЕСКОГО (АППАРАТНОГО) ЖУРНАЛА
Начнем с последнего. Если эксплуатационной и технической документацией к СКЗИ предусмотрено применение разовых ключевых носителей или криптоключи вводят и хранят (на весь срок их действия) непосредственно в СКЗИ, то такой разовый ключевой носитель или электронная запись соответствующего криптоключа должны регистрироваться в техническом (аппаратном) журнале (приложение 3 к Инструкции), ведущемся непосредственно пользователем СКЗИ. В техническом (аппаратном) журнале отражают также данные об эксплуатации СКЗИ и другие сведения, предусмотренные эксплуатационной и технической документацией. В иных случаях технический (аппаратный) журнал на СКЗИ не заводится (если нет прямых указаний о его ведении в эксплуатационной или технической документации к СКЗИ). Если вы ключи храните ключи на носителях (например, e-Token), то полагаю, это не ваш случай и такой журнал вам вести не следует.
Что касается ЖУРНАЛА ПОЭКЗЕМПЛЯРНОГО УЧЕТА СКЗИ, ЭКСПЛУАТАЦИОННОЙ
И ТЕХНИЧЕСКОЙ ДОКУМЕНТАЦИИ К НИМ, КЛЮЧЕВЫХ ДОКУМЕНТОВ то в одном журнале можно учитывать все, что подлежит учету (СКЗИ (дистрибутивы и лицензии), эксплуатационная и техническая документация к СКЗИ, ключевые документы), но мы например завели два таких журнала: в одном -учитываем СКЗИ (дистрибутивы и лицензии), эксплуатационная и техническая документация к СКЗИ, во втором- учитываем ключевые документы (ключи и сертификаты на носителях e-token, Ru-Token).
Вот таким образом ведем журналы.
Offline Eserten  
#63 Оставлено : 27 мая 2013 г. 12:18:35(UTC)
Eserten

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.06.2012(UTC)
Сообщений: 99
Откуда: Москва

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
Согласно пункту 26 приказа 152: "...программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование...". Т.е. кроме дистрибутивов КриптоПро CSP необходимо учитывать компьютеры, на которые установлен КриптоПро CSP?
Offline Laroux  
#64 Оставлено : 27 мая 2013 г. 12:26:31(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
Не.. диск должен учитываться, на который записан дистрибутив. Или еще пример: токен, на который записан контейнер с ключом
Offline Eserten  
#65 Оставлено : 27 мая 2013 г. 14:02:21(UTC)
Eserten

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.06.2012(UTC)
Сообщений: 99
Откуда: Москва

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
Автор: Laroux Перейти к цитате
Не.. диск должен учитываться, на который записан дистрибутив. Или еще пример: токен, на который записан контейнер с ключом


Тогда как же трактовать выдержку, которую я привел и где она используется?
Offline Laroux  
#66 Оставлено : 27 мая 2013 г. 20:48:32(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
ну вот так, как я и сказал))
а по поводу компов под СКЗИ: исчерпывающая информация содержится в документахе к КриптоПро CSP, к примеру
Offline andreiaaarh  
#67 Оставлено : 31 июля 2013 г. 19:43:53(UTC)
andreiaaarh

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.07.2013(UTC)
Сообщений: 1
Российская Федерация
Откуда: Архангельск

Здравствуйте! Может и нам кто-нибудь поможет разобраться с журналами. Организация не является УЦ и лицензиатом ФСБ, положение по СКЗИ разработаны в основном по 152 инструкции. На данный момент завели два журнала "поэземплярного учета СКЗИ..."(типовой как 152ой) и "аппаратный журнал"(тоже типовой, и ведется для каждого ПК на котором эксплуатируется СКЗИ, это правильно или нужен общий?). По поводу поэкземлярного все вроде бы ясно, учитываем дистрибутивы СКЗИ, лицензии, носители ключевых документов? Или надо что-то еще? Например криптопро записали лицензию, дистрибутив, токен.
А вот по поводу заполнения аппаратного журнала, возникают вопросы, в организации так же используется VipNet, раньше когда не было типового журналов генерили ключевую информацию, копировали на дискету, записывали в простенький журнал и символически передавали пользователю т.к. при установки клиента ключевая информация записывается в СКЗИ, тем самым мы попадаем под действие п.28 152 инструкции. Теперь же при применении типовых журналов встает вопрос при установке клиентов, надо ли дискеты передавать(не желательно т.к. нет возможности обеспечить всех металлическими хранилищами) и если не передавать как доставлять до пользователей ключевые документы и в каких журналах делать отметки, если на физ носитель ключи не записывались?

И еще маленький вопрос распространение ключевой информации является лицензируемым видом деятельности? Может ли организация заниматься генерацией ключей для собственных нужд и использования внутри организации(и какими нормативными актами РФ это возможность предоставляется или не запрещается)?

Отредактировано пользователем 31 июля 2013 г. 19:47:27(UTC)  | Причина: Не указана

Offline Евгения2013  
#68 Оставлено : 5 августа 2013 г. 8:01:32(UTC)
Евгения2013

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.08.2013(UTC)
Сообщений: 5

Цитата:
И еще маленький вопрос распространение ключевой информации является лицензируемым видом деятельности? Может ли организация заниматься генерацией ключей для собственных нужд и использования внутри организации(и какими нормативными актами РФ это возможность предоставляется или не запрещается)?


тоже возникают вопросы
Offline Expert  
#69 Оставлено : 5 августа 2013 г. 11:42:16(UTC)
Expert

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
Для Eserten, andreiaaarh , Евгения2013:
1.Для того что бы создавать ключи и распространять ключевую информацию должен быть создан орган криптографической защиты информации. Для разработки и осуществления мероприятий по организации и обеспечению безопасности конфиденциальной информации с использованием СКЗИ создается орган криптографической защиты. Орган криптографической защиты создается только лицензиатом
Основание: (п. 6 приказа ФАПСИ № 152).

2.Орган криптографической защиты осуществляет:
разработку мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, а также в соответствии с эксплуатационной и технической документацией к этим средствам;
поэкземплярный учет, используемых СКЗИ, эксплуатационной и технической документации к ним;
Изготовление из исходной ключевой информации ключевых документов, их распределение, рассылку и учет;
Основание: (п. 7 приказа ФАПСИ № 152).

3.Для изготовления и распространения ключевой информации необходимо получить лицензию.
Основание п.28 Приложения к Положению о лицензировании, утв. Постановление правительства от 16 апреля 2012 г. N 313 (См. Перечень работ и услуг требующих лицензии ФСБ).

4.Если организация не является лицензиатом ФСБ (не создан орган криптозащиты и не осуществляет соответствующие работы), а является только обладателем конфиденциальной информации, то достаточно только ведение журнала (для обладателя конфиденциальной информации).
Основание: (п.26 приказа ФАПСИ № 152)
Offline Евгения2013  
#70 Оставлено : 8 августа 2013 г. 5:15:57(UTC)
Евгения2013

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.08.2013(UTC)
Сообщений: 5

Я правильно понимаю?
Если организация является только владельцем,а не лицензиатом, то генерацию ключей надо запретить на всех уровнях,
генерацию ключей производит только УЦ, мы их забираем, далее ведем учет носителей ключевой информации.

И еще:
если ключ скомпромитирован (утерян) , ладно, мы сообщим- все мероприятия проведем, а новый ключ заказывать (считай заключать новый договор + оплачивать естественно) надо? или отозвав сертификат, УЦ сразу сделает новый по нашему запросу, за обслуживание организации вроде тоже платят?

и еще момент:
ключевой носитель закуплен, лицензию продлеваем ежегодно, а
дистрибьютив программы покупается ежегодно или один раз? Надо рассчитать будущие затраты и действия.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
11 Страницы«<56789>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.