Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

6 Страницы<1234>»
Опции
К последнему сообщению К первому непрочитанному
Offline Юрий Маслов  
#21 Оставлено : 5 марта 2012 г. 18:44:40(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Laroux написал:
Не поймал момент: клиент находится в другом городе; оплатил лицензию КриптоПро CSP, которую отправляют ему почтой. В журнале учета лицензий не делается запись? Или делается, но без росписи клиента?

В журнале учёта лицензий СКЗИ запись делается, но без росписи клиента. Это допускается пунктом 29 Инструкции, утверждённой Приказом ФАПСИ № 152.
С уважением,
КРИПТО-ПРО
Offline Myrzilka  
#22 Оставлено : 12 марта 2012 г. 16:10:26(UTC)
Myrzilka

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.03.2012(UTC)
Сообщений: 4

Добрый день. Подскажите, пожалуйста. Надо ли вносить в журнал сведения о СКЗИ, которые компания приобретает для дальнейшей перепродажи другому Юр. Лицу?
Offline Юрий Маслов  
#23 Оставлено : 12 марта 2012 г. 16:13:26(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Myrzilka написал:
Добрый день. Подскажите, пожалуйста. Надо ли вносить в журнал сведения о СКЗИ, которые компания приобретает для дальнейшей перепродажи другому Юр. Лицу?


Да, нужно. И причём обязательно! Именно этот журнал с такими записями с Вашей организации, как лицензиата ФСБ по распространению шифровальных (криптографических) средств, будет периодически проверять и требовать лицензионный орган.
С уважением,
КРИПТО-ПРО
Offline Myrzilka  
#24 Оставлено : 12 марта 2012 г. 16:42:40(UTC)
Myrzilka

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.03.2012(UTC)
Сообщений: 4

Большое спасибо за оперативный ответ.
Offline Myrzilka  
#25 Оставлено : 13 марта 2012 г. 17:20:41(UTC)
Myrzilka

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.03.2012(UTC)
Сообщений: 4

Здравствуйте, подскажите, пожалуйста, еще такой момент. В инструкции 152 есть две формы журналов учета СКЗИ - для органа криптографической защиты и для обладателя конфиденциальной информации. Организации, обладающей лицензиями ФСБ на криптографию, надо заполнять оба варианта журналов? Или только Журнал для органа криптогр. защиты. Т.к. между собой журналы несколько отличаются.
Offline Mayshev Vadim  
#26 Оставлено : 13 марта 2012 г. 18:38:48(UTC)
Mayshev Vadim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.03.2008(UTC)
Сообщений: 142
Мужчина
Российская Федерация

Сказал «Спасибо»: 17 раз
Поблагодарили: 22 раз в 17 постах
Да.
В журнал Органа КЗ (ОКЗ) вносятся ключи, созданные ОКЗ.
В журнал Обладателя КИ (ОКИ) вносятся ключи, используемые ОКЗ как ОКИ.
То же относится к распространяемым и используемым СКЗИ, эксплуатационной документации, формулярам и т.п.
При малом объеме ключей и СКЗИ в ОКЗ достаточно иметь один журнал ОКЗ и один журнал ОКИ. При большом объеме целесообразно заводить множество журналов для разных типов ключей и типов СКЗИ.
UPD: Суть журнала ОКЗ - создание и распространение, суть журнала ОКИ - получение и эксплуатация.

Отредактировано пользователем 13 марта 2012 г. 18:41:21(UTC)  | Причина: Не указана

Offline Myrzilka  
#27 Оставлено : 13 марта 2012 г. 18:50:13(UTC)
Myrzilka

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.03.2012(UTC)
Сообщений: 4

Спасибо большое за разъяснение. Я как раз мучалась над последним вопросом - суть журналов ))
Offline Юрий Маслов  
#28 Оставлено : 14 марта 2012 г. 14:40:51(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Mayshev Vadim написал:
Да.
В журнал Органа КЗ (ОКЗ) вносятся ключи, созданные ОКЗ.
В журнал Обладателя КИ (ОКИ) вносятся ключи, используемые ОКЗ как ОКИ.
То же относится к распространяемым и используемым СКЗИ, эксплуатационной документации, формулярам и т.п.
При малом объеме ключей и СКЗИ в ОКЗ достаточно иметь один журнал ОКЗ и один журнал ОКИ. При большом объеме целесообразно заводить множество журналов для разных типов ключей и типов СКЗИ.
UPD: Суть журнала ОКЗ - создание и распространение, суть журнала ОКИ - получение и эксплуатация.

Отлично, Вадим! И я узнал для себя новое и полезное. Спасибо от меня тоже!
С уважением,
КРИПТО-ПРО
Offline amdiman  
#29 Оставлено : 18 апреля 2012 г. 17:44:54(UTC)
amdiman

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.02.2012(UTC)
Сообщений: 46
Мужчина
Откуда: РФ

Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
Здравствуйте. Наша организация планирует вести журналы учета (СКЗИ, КД, Лицензий) в электронной форме. Возникает ряд вопросов:

1. Пунктом 29 Инструкции, утверждённой Приказом ФАПСИ № 152 это разрешено, но по акту. Возникает вопрос кто должен этот акт подписывать со стороны клиента? Руководитель организации получающей КД (т.к. посути это КД юридического лица) или сотрудник ответственный (менеджер например) который будет с ним работать?
2. Каким образом в дальнейшем (если клиент не вернет подписанный акт) мы будем отчитываться перед контролирующими органами? Это глобальная проблема, как вы ее решаете?
3. Хотелось бы увидеть форму (примерную) вышеупомянутого акта.

Спасибо.
Offline Mayshev Vadim  
#30 Оставлено : 18 апреля 2012 г. 18:23:28(UTC)
Mayshev Vadim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.03.2008(UTC)
Сообщений: 142
Мужчина
Российская Федерация

Сказал «Спасибо»: 17 раз
Поблагодарили: 22 раз в 17 постах
Орган криптозащиты может передавать "росписью получателя" или любым документом (актом, письмом, накладной и т.п.), реквизиты которого заносятся в соответствующие журналы органа криптозащиты и обладателя конфиденциальной информации.
В п. 29 имеется в виду, что по некоторому акту допускается передача "между допущенными к СКЗИ лицами" у обладателя конфиденциальной информации (например, когда журнал учета не доступен в выходной день, а передать ключи между пользователями требуется). К отношениям продавец-покупатель это не относится!
P.S. Да и редко требуется передавать, т.к. таким образом можно передать только ключи шифрования, а 99,9% ключей - персональные ключи ЭЦП (+ шифрование).
Offline amdiman  
#31 Оставлено : 18 апреля 2012 г. 22:56:49(UTC)
amdiman

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.02.2012(UTC)
Сообщений: 46
Мужчина
Откуда: РФ

Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
Юрий Маслов написал:

Dim написал:
А как быть с отметкой о получении (рассылке)? Насколько я понял, в столбце 6 должен расписывать сотрудник УЦ который сгенерил ключевую пару, а в пункте 9 сам клиент. Тоесть подпись клиента обязательна?

Не обязательно. Смотрите статью 29 Приказа 152 ФАПСИ "Обладатель конфиденциальной информации с согласия органа криптографической защиты может разрешить передачу СКЗИ, документации к ним, ключевых документов между допущенными к СКЗИ лицами по актам без обязательной отметки в журнале поэкземплярного учета."
Т.е. если есть бухгалтерские документы (акты) по передачи СКЗИ, то в журнале роспись сотрудника и клиента не обязательна.


Вадим, по Вашим словам вышесказанное Юрием неверно? И в отношениях продавец-покупатель нельзя использовать акты? Я правильно понял?
Offline Mayshev Vadim  
#32 Оставлено : 19 апреля 2012 г. 13:27:42(UTC)
Mayshev Vadim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.03.2008(UTC)
Сообщений: 142
Мужчина
Российская Федерация

Сказал «Спасибо»: 17 раз
Поблагодарили: 22 раз в 17 постах
Нет, Вы неправильно поняли.
Акты (как и другие документы) можно использовать в отношениях продавец-покупатель. Но это не отменяет использования журнала учета (в данном случае журнала органа криптозащиты - в него Вы и записываете реквизиты этих документов).
В графу 8 пишете Дата/номер сопроводительного письма (в вашем случае акта), а в графу 9 Дата/номер "обратного" письма-подтверждения (в вашем случае того же акта, т.к. он "двусторонний" документ). Тогда подписи получателя в журнале не требуются.
IMHO Юрий привел выдержку из п.29 не в Вашем контексте (Вы орган криптозащиты, а не обладатель конфиденциальной информации), но суть от этого не поменялась (можно использовать акты, роспись клиента в журнале не нужна).
В любом случае все это лишь рекомендации - Вам свои особенности учета желательно согласовать с лицензирующим органом.
Offline amdiman  
#33 Оставлено : 19 апреля 2012 г. 23:21:33(UTC)
amdiman

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.02.2012(UTC)
Сообщений: 46
Мужчина
Откуда: РФ

Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
Mayshev Vadim написал:
Нет, Вы неправильно поняли.
Акты (как и другие документы) можно использовать в отношениях продавец-покупатель. Но это не отменяет использования журнала учета (в данном случае журнала органа криптозащиты - в него Вы и записываете реквизиты этих документов).
В графу 8 пишете Дата/номер сопроводительного письма (в вашем случае акта), а в графу 9 Дата/номер "обратного" письма-подтверждения (в вашем случае того же акта, т.к. он "двусторонний" документ). Тогда подписи получателя в журнале не требуются.
IMHO Юрий привел выдержку из п.29 не в Вашем контексте (Вы орган криптозащиты, а не обладатель конфиденциальной информации), но суть от этого не поменялась (можно использовать акты, роспись клиента в журнале не нужна).
В любом случае все это лишь рекомендации - Вам свои особенности учета желательно согласовать с лицензирующим органом.


Вадим, спасибо, это мне понятно, и все-таки возвращаясь к моему вопросу кто должен со стороны клиента подписывать акт передачи ключевого носителя? руководитель(как ответвенное лицо организации) или сотрудник которому выработана ЭП и записана на этот ключевой носитель?
Offline Mayshev Vadim  
#34 Оставлено : 20 апреля 2012 г. 12:57:52(UTC)
Mayshev Vadim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.03.2008(UTC)
Сообщений: 142
Мужчина
Российская Федерация

Сказал «Спасибо»: 17 раз
Поблагодарили: 22 раз в 17 постах
Вам нужно добиться подписи единоличного исполнительного органа организации (которая оплачивает праздник) и владельца сертификата ключа подписи (если передаются персональные ключи ЭЦП), или их доверенных в установленном порядке лиц. В каких документах Вы это достигнете - это Ваше ноу-хау!
Offline Rams  
#35 Оставлено : 26 апреля 2012 г. 13:35:58(UTC)
Rams

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.01.2011(UTC)
Сообщений: 95
Мужчина
Откуда: Санкт-Петербург

В свете нового Постановления от 16 апреля 2012 г. №313 Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению ...", получится ли обосновать деятельность УЦ лишь направлениями №21 - №24?

Иначе возникают достаточно серьезные требования к персоналу.

Отредактировано пользователем 26 апреля 2012 г. 13:37:45(UTC)  | Причина: Не указана

Offline Laroux  
#36 Оставлено : 26 апреля 2012 г. 17:45:31(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах

Отредактировано пользователем 26 апреля 2012 г. 17:46:14(UTC)  | Причина: Не указана

Offline Юрий Маслов  
#37 Оставлено : 28 апреля 2012 г. 12:21:52(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Rams написал:
В свете нового Постановления от 16 апреля 2012 г. №313 Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению ...", получится ли обосновать деятельность УЦ лишь направлениями №21 - №24?

Иначе возникают достаточно серьезные требования к персоналу.


Раньше мы говорили, что УЦ должен иметь три лицензии ФСБ (распространение, обслуживание, услуги в области шифрования).
Это требование явно нигде не прописано. Только в требованиях к УЦ во всяких системах УЦ (ФНС, ПФР, торговые площадки и т.д.). Эти требования проистекали из сложившейся бизнес практики, когда в 1-ФЗ "Об ЭЦП" до 2006 года была статья, что деятельность УЦ подлежит лицензированию, а в 128-ФЗ "О лицензировании отдельных видов деятельности" такой деятельности не было. Противоречие, однако :-)
И был предложен вот такой способ разрешения противоречия: получайте 3 лицензии ФСБ. После 2006 года эти три лицензии стали "обычаем деловой практики".

Сейчас практика только будет складываться. Думаю, что она будет на основе требований по аккредитации УЦ в Минкомсвязи. Какие предъявит Минкомсвязь требования к УЦ по лицензированию, такие потом и войдут в жизнь.

С уважением,
КРИПТО-ПРО
Offline Rams  
#38 Оставлено : 3 мая 2012 г. 8:49:25(UTC)
Rams

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.01.2011(UTC)
Сообщений: 95
Мужчина
Откуда: Санкт-Петербург

Еще момент по 152 инструкции.

Общие положения: инструкция обязательна, если с использованием сертифицированных СКЗИ защищается информация, подлежащая обязательной защите.

А какую информацию, подлежащую обязательной защите защищает удостоверяющий центр?

Единственное, что можно сказать - УЦ участвует в этом процессе, выдавая ключи. А если не выдает, а лишь изготавливает сертификаты? Тогда какое отношение имеет 152 инструкция к УЦ?
Offline Юрий Маслов  
#39 Оставлено : 4 мая 2012 г. 17:28:00(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Rams написал:
Еще момент по 152 инструкции.

Общие положения: инструкция обязательна, если с использованием сертифицированных СКЗИ защищается информация, подлежащая обязательной защите.

А какую информацию, подлежащую обязательной защите защищает удостоверяющий центр?

Единственное, что можно сказать - УЦ участвует в этом процессе, выдавая ключи. А если не выдает, а лишь изготавливает сертификаты? Тогда какое отношение имеет 152 инструкция к УЦ?


Это общефилософский вопрос, который уже тут http://cryptopro.ru/foru....aspx?g=posts&t=4627 обсуждался. А проистекает он из вопроса, а зачем вообще нужны лицензии ФСБ для УЦ.

Есть две аксиомы (утверждения, не требуещие доказательства при общении с лицензионным органом):
- 152 инструкция обязательна для выполнения лицензиатами ФСБ.
- УЦ должен быть лицензиатом ФСБ.

Из этих двух утверждений логично следует, что 152 инструкция обязательна для выполнения УЦ.

Отредактировано пользователем 4 мая 2012 г. 18:59:07(UTC)  | Причина: Не указана

С уважением,
КРИПТО-ПРО
Offline ridick7770  
#40 Оставлено : 14 мая 2012 г. 14:47:44(UTC)
ridick7770

Статус: Участник

Группы: Участники
Зарегистрирован: 17.03.2012(UTC)
Сообщений: 27
Откуда: Moscow

Добрый день. Поясните, пожалуйста, момент: то, что входит в функции Органа криптозащиты относится только к внутреннему распорядку УЦ? Мне кажется, что сотрудник Органа криптографической защиты УЦ не может контролировать правильное обращение с СКЗИ пользователями клиентов УЦ. Или я что-то упустил?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
6 Страницы<1234>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.