Статус: Новичок
Группы: Участники
Зарегистрирован: 04.05.2009(UTC)
Сообщений: 3
Откуда: NSK
|
Подскажите, пожалуйста, каким требования должен соответствовать УЦ при получении лицензий на "Обслуживание, распространение, предоставление услуг в области шифрования"?
Насколько я понял, УЦ соответствует классу КС2 при выполнении всех требований из технической документации КриптоПРО УЦ. А более подробно все эти требования изложены во "Временных требованиях ФСБ к УЦ", а также для межсетевого экрана во "Временных требованиях ФСБ к МСЭ".
Как мне получить эти требования? Нужно делать запрос в ФСБ с просьбой предоставить эти документы? В интернете так и не нашел.
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
УЦ должен соответствовать требования, изложенным в документации на "КриптоПро УЦ". Ибо все эти требования соответствуют требования, изложенным в документе "Требования по информационной безопасности удостоверяющих центров". Именно это проверялось при сертификации продукта "КриптоПро УЦ".
Но если Вы по каким либо причинам хотите ознакомиться с документом "Требования по информационной безопасности удостоверяющих центров", то так как это документ имеет гриф "секретно", то Вы его можете получить только имея лицензию на гостайну и лицензию на разработку СКЗИ. Но Вы можете получить несекретную выписку из данного документа, если обратитесь в ЦЛСЗ ФСБ России. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 04.05.2009(UTC)
Сообщений: 3
Откуда: NSK
|
Спасибо за ответ. Просто рекомендации достаточно общие и я подумал что есть более подробные. Получается, мне необходим МСЭ 4го уровня, например, АПКШ "Континент". А также электронный замок "Соболь" на УЦ и ЦР? Так? А система контроля доступа по карточке нужна или достаточно закрывать помещение на обычный замок? В голове путаница, извините за тупые вопросы. А "Требования к средствам криптографической защиты конфиденциальной информации" тоже имеют гриф "Секретно"? Отредактировано пользователем 5 мая 2009 г. 18:28:38(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Да, "Требования к шифровальным (криптографическим) средствам защиты инфомации, не содержащей сведений государственной тайны" тоже имеют гриф "Секретно".
Да, Вам нужен МСЭ не ниже 4 класса по требованиям ФСБ, Напрмер "Континент". Его мы и рекомендуем по всем показателям. Замки "Соболь-PCI" на ЦС, ЦР и АРМ администратора ЦР. Также должна быть система контроля доступа в помещения.
Это ОБЯЗАТЕЛЬНЫЕ требования.
РЕКОМЕНДУЕТСЯ: Система контроля по карточке в серверное помещение и рабочие помещения должны быть оборудованы механическими замками. Но Вы можете построить систему контроля доступа и без карточек! Например, опечатывание помещения и хранение ключа в опечатаном виде (пенале) у ответственного лица с выдаче его по журналу выдачи ключей. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 04.05.2009(UTC)
Сообщений: 3
Откуда: NSK
|
Подскажите еще вот что. А какие правовые документы нам понадобятся? Я сейчас читаю статью http://www.intuit.ru/department/security/pki/20/1.html и там написано, что организация должна сформировать: * политику применения сертификатов и регламент УЦ; * политику аутентификации; * политику конфиденциальности (в отношении сведений, предоставляемых пользователями в целях аутентификации). Так ли это? Регламент в документации есть. Что еще нужно? Политика безопасности? Напишите, пожалуйста, каких документов будет достаточно и может быть есть ссылки на примеры?
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Не обращайте внимание на всё, что пишут :-)
Самое правильно для Вас - пройти обучение по курсу типа Т020 "Организационно-правовые основы применения ЭЦП и деятельности удостоверяющих центров" (http://www.itsecurity.ru/edu/kurs/t0_20.html).
Если кратко, то Вам нужны:
1. Регламенты УЦ (Регламент деятельности и/или Регламент оказания услуг)
2. Положение об УЦ
3. Приказы
4. Функциональные или должностные инструкции персонала УЦ
5. Технологические карты деятельности персонала УЦ
6. Технологические инструкции и журналы. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 18.01.2010(UTC)
Сообщений: 2
|
Подскажите пожалуйста, в соответствии с приказом ФАПСИ №152 необходимо вести технические журналы, так ли необходимо делоть это в рукописном виде или можно в электронном?
И формы журналов должны быть именно такие как в приложении к данному приказу или же я могу их подкорректировать?
если же нельзя, подскажите, где можно найти информацию о правильном заполнении этих журналов или какой нибудь пример.
помогите, кто чем может!!!!!
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Журналы можете вести в электронном виде. В 152-ом приказе приведена ТИПОВАЯ форма журналов. Это означает, что Вы их можете корректировать.
Рекомендации:
- журналов будет несколько.
- журнал учета ключевых документов. В этом журнале учитывайте ключевые носители, с записанными на них ключами. Сответственно, графами в журале будут: дата, тип ключевого носителя, номер ключевого носителя, серийный номер сертификата открытого ключа, кому передан (кто владелец).
- журнал учета лицензий на право использования СКЗИ. Это журнал ведется для каждой версии СКЗИ. Графами в журнале будут: дата получения, серийный номер лицензии, дата передачи, лицо, которому передана лицензия.
- журнал учета дистрибутивов СКЗИ. Это журнал ведется для каждой версии СКЗИ. Графами в журнале будут: дата получения, серийный номер дистрибутива, дата передачи, лицо, которому передан дистрибутив. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 18.01.2010(UTC)
Сообщений: 2
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.01.2008(UTC) Сообщений: 35 Сказал «Спасибо»: 3 раз
|
Юрий Маслов написал:Журналы можете вести в электронном виде. В нашей организации все необходимые журналы ведутся в бумажном виде. Хотелось бы упростить процедуру учета и перейти на электронную форму ведения журналов (изготовленных/переданных ключей, лицензий, экземпляров дистрибутивов СКЗИ). Ответственные сотрудники УЦ, которым передаются лицензии, дистрибутивы и ключи в обязательном порядке ставят в журналах личную подпись. Посоветуйте пожалуйста как правильнее организовать учет в электронной форме, обязательно ли проставление в журнале личной подписи ответственного лица. Если необходимо применять ЭЦП, то какими средствами лучше организовать такой учет.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
