Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

6 Страницы<12345>»
Опции
К последнему сообщению К первому непрочитанному
Offline Юрий Маслов  
#41 Оставлено : 14 мая 2012 г. 15:45:50(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
ridick7770 написал:
Добрый день. Поясните, пожалуйста, момент: то, что входит в функции Органа криптозащиты относится только к внутреннему распорядку УЦ? Мне кажется, что сотрудник Органа криптографической защиты УЦ не может контролировать правильное обращение с СКЗИ пользователями клиентов УЦ. Или я что-то упустил?


Здравствуйте!

Да, то, что входит в функции Органа криптозащиты относится только к внутреннему распорядку УЦ. Но есть и некоторые внешнии. А именно, Орган криптозащиты должен предоставить пользователям максимально полную информацию по правильному обращению с СКЗИ.
С уважением,
КРИПТО-ПРО
Offline ridick7770  
#42 Оставлено : 14 мая 2012 г. 19:52:18(UTC)
ridick7770

Статус: Участник

Группы: Участники
Зарегистрирован: 17.03.2012(UTC)
Сообщений: 27
Откуда: Moscow

А инструкция по обращению с СКЗИ пишется универсально для всех? Или следует писать 2 инструкции:
1. для УЦ и согласно его функционированию;
и
2. Для Пользователей клиентов УЦ, в которой содержится информация о структуре, правилах, требованиях согласно 152 приказу (в таком случае им надо назначать ответственное лицо и пользователей соответствующими распоряжениями, а также самостоятельно вести учет)...
Offline Laroux  
#43 Оставлено : 14 мая 2012 г. 20:15:04(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
Юрий Маслов написал:
ridick7770 написал:
Добрый день. Поясните, пожалуйста, момент: то, что входит в функции Органа криптозащиты относится только к внутреннему распорядку УЦ? Мне кажется, что сотрудник Органа криптографической защиты УЦ не может контролировать правильное обращение с СКЗИ пользователями клиентов УЦ. Или я что-то упустил?


Здравствуйте!

Да, то, что входит в функции Органа криптозащиты относится только к внутреннему распорядку УЦ. Но есть и некоторые внешнии. А именно, Орган криптозащиты должен предоставить пользователям максимально полную информацию по правильному обращению с СКЗИ.
Приложение к Приказу Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13 июня 2001 г. №152 раздел 2 п. 7
Цитата:
7. Орган криптографической защиты осуществляет:
проверку готовности обладателей конфиденциальной информации к самостоятельному использованию СКЗИ и составление заключений о возможности эксплуатации СКЗИ (с указанием типа и номеров используемых СКЗИ, номеров аппаратных, программных и аппаратно - программных средств, где установлены или к которым подключены СКЗИ, с указанием также номеров печатей (пломбиров), которыми опечатаны (опломбированы) технические средства, включая СКЗИ, и результатов проверки функционирования СКЗИ);
...
обучение лиц, использующих СКЗИ, правилам работы с ними;
...
учет обслуживаемых обладателей конфиденциальной информации, а также физических лиц, непосредственно допущенных к работе с СКЗИ


Прочесть это, конечно, можно по-разному (например отнести все это к "внутреннему" функционированию организации, а не к клиентам), но на самом деле к клиентам (сторонним организациям) это тоже относится...

Отредактировано пользователем 14 мая 2012 г. 20:17:39(UTC)  | Причина: Не указана

Offline ridick7770  
#44 Оставлено : 14 мая 2012 г. 20:39:54(UTC)
ridick7770

Статус: Участник

Группы: Участники
Зарегистрирован: 17.03.2012(UTC)
Сообщений: 27
Откуда: Moscow

так вот я и хочу понять... например, у в УЦ реализуется своя схема по работе с СКЗИ, организуется ОКЗ, в состав которого включаются соответствующие люди. Учет доступа и системы хранения, соответственно, тоже согласно внутреннему распорядку, ведутся журналы учета дистрибутивов СКЗИ, выдаваемых клиентам, серийных номеров СКЗИ и ключевых документов. Клиентам же вроде бы тоже надо соблюдать меры и правила работы с СКЗИ, согласно 152 приказу, я даю обобщенную "рыбу" (не показывать же мне им внутренние документы), которую они скорее всего и вести не будут и требования, соответственно, тоже не будут выполнять (я работал когда-то в ТехПоддержке и знаю как это выглядит - приносят какое-то ПО и говорят, что надо поставить, чтобы, допустим, работать с этп... какие там журналы, ответственные лица, обучения, приказы и т.д.)
Offline Laroux  
#45 Оставлено : 14 мая 2012 г. 20:52:21(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
Как по мне, то это меньшая их проблем.. меня больше вгоняет в ступор
Цитата:
обучение лиц, использующих СКЗИ, правилам работы с ними;
ибо невыполнимо, т.к. для этого должна быть либо лицензия на такую деятельность (я про обучение), либо заключен договор с организацией, которая для вас бы обучала этих пользователей.
Вроде бы формально нет проблем, но попробуйте продать что-нить с таким отношением...
Offline ridick7770  
#46 Оставлено : 14 мая 2012 г. 20:57:37(UTC)
ridick7770

Статус: Участник

Группы: Участники
Зарегистрирован: 17.03.2012(UTC)
Сообщений: 27
Откуда: Moscow

Laroux написал:
Как по мне, то это меньшая их проблем.. меня больше вгоняет в ступор
Цитата:
обучение лиц, использующих СКЗИ, правилам работы с ними;
ибо невыполнимо, т.к. для этого должна быть либо лицензия на такую деятельность (я про обучение), либо заключен договор с организацией, которая для вас бы обучала этих пользователей.
Вроде бы формально нет проблем, но попробуйте продать что-нить с таким отношением...

можно в инструкции пояснить, что обучение - это ознакомление с инструкцией под роспись. Но опять же - каким образом это делать с клиентами.. И это просто догадки.

Отредактировано пользователем 14 мая 2012 г. 21:03:08(UTC)  | Причина: Не указана

Offline Laroux  
#47 Оставлено : 14 мая 2012 г. 21:10:47(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
ridick7770 написал:
можно в инструкции пояснить, что обучение - это ознакомление с инструкцией под роспись
нельзя. Я не помню основание, но четко было сказано: обучение в организации, имеющей лицензию. Потом зачет и потом только можно допускать к работе с СКЗИ
Offline ridick7770  
#48 Оставлено : 14 мая 2012 г. 22:35:21(UTC)
ridick7770

Статус: Участник

Группы: Участники
Зарегистрирован: 17.03.2012(UTC)
Сообщений: 27
Откуда: Moscow

Laroux написал:
Я не помню основание, но четко было сказано: обучение в организации, имеющей лицензию. Потом зачет и потом только можно допускать к работе с СКЗИ

Интересно, кто из клиентов это соблюдает...
Offline Laroux  
#49 Оставлено : 15 мая 2012 г. 0:17:33(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
:)
Offline Юрий Маслов  
#50 Оставлено : 15 мая 2012 г. 10:52:29(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Коллеги!

Давайте не будем выдумывать, домысливать, читать побуквенно! Даже проверяющие подходят творчески и смотрят реально. Обучить пользователей СКЗИ на курсах повышения квалификации за счёт организатора информационной системы (лицензиата) - это нереально. Обучить пользователей СКЗИ на курсах повышения квалификации за счёт самого пользователя СКЗИ - это нереально и противоречит законодательству (Вы не можете заставить ничего сделать другое лицо. Вы можете только попросить). А вот провести обучение пользователей СКЗИ путём инструктажа или путём предоставления методических материалов для самооучения - это реально. И именно так и делается!
Организатор информационной системы (лицензиат) НЕ МОЖЕТ принимать зачёт и допускать или недопускать к работе СКЗИ сотрудника другой организации (пользователя СКЗИ)!!! Это чисто внутренние дела юрлиц. И инструкция 152 никак не может изменить ЗАКОНЫ (Гражданский кодекс, КЗоТ и т.д.). Статус не тот.

Призываю ещё раз. Не ищите блох. Вся страна уже 20 лет живёт по этой инструкции.
С уважением,
КРИПТО-ПРО
Offline freecod  
#51 Оставлено : 20 мая 2012 г. 14:55:17(UTC)
freecod

Статус: Активный участник

Группы: Участники
Зарегистрирован: 08.04.2010(UTC)
Сообщений: 57

Ещё вопрос про журнал выдачи СКЗИ. Допустим, мы творчески переосмыслили стандартную форму, объединили столбцы, но вся информация в принципе наличествует. Могут возникнуть претензии со стороны проверяющих?
Если мы решим заполнять журнал в электронном формате, не получим ли мы те же замечания - где подпись выдавшего, получившего? О каких актах передачи шла речь выше? Отгрузочные документы из 1С?
Могут ли возникнуть претензии к защищённости журнала? Если он к примеру реализован в виде excel файла на обычном, не аттестованном ПК? Можно ли реализовать его в виде написанного нами ПО с БД в Access?
Offline Юрий Маслов  
#52 Оставлено : 24 мая 2012 г. 11:38:50(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
freecod написал:
Ещё вопрос про журнал выдачи СКЗИ. Допустим, мы творчески переосмыслили стандартную форму, объединили столбцы, но вся информация в принципе наличествует. Могут возникнуть претензии со стороны проверяющих?
Если мы решим заполнять журнал в электронном формате, не получим ли мы те же замечания - где подпись выдавшего, получившего? О каких актах передачи шла речь выше? Отгрузочные документы из 1С?
Могут ли возникнуть претензии к защищённости журнала? Если он к примеру реализован в виде excel файла на обычном, не аттестованном ПК? Можно ли реализовать его в виде написанного нами ПО с БД в Access?


Если Ваши журналы отражают нужную для учёта информацию (что, кому, когда), то претензии со стороны проверяющих не будет.
Например, мы ведём свой учёт в журналах, оформленных в виде excel файлов и в таблицах БД MS SQL. Эти файлы (таблицы и БД) лежат на неаттестованных ПК, т.к. журналы не содержат конфиденциальной информации.

Претензии могут быть всегда (почему без шапки?, почему в шапке?). Это зависит от проверяющего. Если проверяющий разумный, то претензий не будет. Потому, что росписи ставятся в других, бухгалтерских, документа (акты передачи прав для лицензий и ТОРГ-12 для дистрибутивов и ПАКМ HSM). Если проверяющий неразумный, то он может предъявить претензии и к шрифту, которым Вы оформили бумажный журнах учёта и к цвету ручки, которым там расписывались :-)
С уважением,
КРИПТО-ПРО
Offline Laroux  
#53 Оставлено : 24 мая 2012 г. 15:32:11(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
Юрий Маслов написал:
Коллеги!

Давайте не будем выдумывать, домысливать, читать побуквенно! Даже проверяющие подходят творчески и смотрят реально. Обучить пользователей СКЗИ на курсах повышения квалификации за счёт организатора информационной системы (лицензиата) - это нереально. Обучить пользователей СКЗИ на курсах повышения квалификации за счёт самого пользователя СКЗИ - это нереально и противоречит законодательству (Вы не можете заставить ничего сделать другое лицо. Вы можете только попросить). А вот провести обучение пользователей СКЗИ путём инструктажа или путём предоставления методических материалов для самооучения - это реально. И именно так и делается!
Организатор информационной системы (лицензиат) НЕ МОЖЕТ принимать зачёт и допускать или недопускать к работе СКЗИ сотрудника другой организации (пользователя СКЗИ)!!! Это чисто внутренние дела юрлиц. И инструкция 152 никак не может изменить ЗАКОНЫ (Гражданский кодекс, КЗоТ и т.д.). Статус не тот.

Призываю ещё раз. Не ищите блох. Вся страна уже 20 лет живёт по этой инструкции.
да мы то прекрасно понимаем, что у нас все законодательство в насекомых, блин)))

По поводу обучения, кстати, даже на курсах повышения квалификации говорят именно так, как я и писал ;) и даже не намекают ни на какие-нить там инструктажи и/или материалы для ознакомления.

Ну да бог с ним: российские законы направлены на то, чтобы любого можно было в любой момент за что-нибудь привлечь. Вот и все
Offline Юрий Маслов  
#54 Оставлено : 24 мая 2012 г. 16:23:03(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Laroux написал:
По поводу обучения, кстати, даже на курсах повышения квалификации говорят именно так, как я и писал ;) и даже не намекают ни на какие-нить там инструктажи и/или материалы для ознакомления.

Ну да бог с ним: российские законы направлены на то, чтобы любого можно было в любой момент за что-нибудь привлечь. Вот и все


Ну ещё бы на обучающих курсах говорили по другому. Их цель - что бы как можно больше обучить людей, что влечёт увеличение выручки :-) И если они будут намекать на инструктажи и/или материалы для ознакомления, то этим они идут против своей цели.

Да, строгость российских законов компенсируется необязательностью их исполнения.

Из практики по 152-ой инструкции лицензиатов ФСБ (иных лиц нельзя наказать) наказывают за:
- отсутствие поэкземплярного учёта дистрибутивов СКЗИ, лицензий СКЗИ и ключевых документов;
- отсутствие внутренних инструкций по обращению с СКЗИ и ключевыми документами;
- отсутствие внутренних приказов по организации органа криптозащиты или персонального закрепления обязанности по обращению СКЗИ.


С уважением,
КРИПТО-ПРО
Offline Rams  
#55 Оставлено : 30 мая 2012 г. 9:21:15(UTC)
Rams

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.01.2011(UTC)
Сообщений: 95
Мужчина
Откуда: Санкт-Петербург

Каким образом выполняется абзац 2 пункта 27:
Цитата:

Органы криптографической защиты заводят и ведут на каждого пользователя СКЗИ лицевой счет, в котором регистрируют числящиеся за ним СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы.

Если учет ведется в виде базы MSSQL, как писал Юрий, то это сформированный отчет по таблице по выбранному пользователю УЦ, либо пользователю СКЗИ в рамках своей организации. А если нет электронного учета, тогда что это? Карточка?
Offline Amo_vivery  
#56 Оставлено : 17 августа 2012 г. 13:02:28(UTC)
Amo_vivery

Статус: Участник

Группы: Участники
Зарегистрирован: 16.08.2012(UTC)
Сообщений: 10

Сказал(а) «Спасибо»: 1 раз
Добрый день!
Помогите, пожалуйста, разобраться.
Должен ли удостоверяющий центр собирать информацию от клиентов по окончании срока действия их ключа об уничтожении ключевых носителей? Или учет в УЦ заканчивается в момент подписания акта приеме-передачи?
Согласно приказу 152 ФАПСИ:
П. 46 … После уничтожения пользователи СКЗИ должны уведомить об этом (телефонограммой, устным сообщением по телефону и т.п.) соответствующий орган криптографической защиты для списания уничтоженных документов с их лицевых счетов. Не реже одного раза в год пользователи СКЗИ должны направлять в орган криптографической защиты письменные отчеты об уничтоженных ключевых документох. …
Тогда как в более поздних Методических материала ФСБ от 21 февраля 2008 г.:
3.22. После уничтожения пользователи криптосредств должны уведомить об этом (телефонограммой, устным сообщением по телефону и т.п.) ответственного пользователя криптосредств для списания уничтоженных документов с их лицевых счетов.
При этом
2.6 … Допускается возложение функций ответственного пользователя криптосредств на:
одного из пользователей криптосредств;
на структурное подразделение или должностное лицо (работника), ответственных за обеспечение безопасности персональных данных, назначаемых оператором;
на специальное структурное подразделение по защите государственной тайны, использующее для этого шифровальные средства.
Offline ext4  
#57 Оставлено : 7 сентября 2012 г. 13:05:03(UTC)
ext4

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2012(UTC)
Сообщений: 11

Сказал(а) «Спасибо»: 3 раз
Юрий Маслов написал:
Laroux написал:
По поводу обучения, кстати, даже на курсах повышения квалификации говорят именно так, как я и писал ;) и даже не намекают ни на какие-нить там инструктажи и/или материалы для ознакомления.

Ну да бог с ним: российские законы направлены на то, чтобы любого можно было в любой момент за что-нибудь привлечь. Вот и все


Ну ещё бы на обучающих курсах говорили по другому. Их цель - что бы как можно больше обучить людей, что влечёт увеличение выручки :-) И если они будут намекать на инструктажи и/или материалы для ознакомления, то этим они идут против своей цели.

Да, строгость российских законов компенсируется необязательностью их исполнения.

Из практики по 152-ой инструкции лицензиатов ФСБ (иных лиц нельзя наказать) наказывают за:
- отсутствие поэкземплярного учёта дистрибутивов СКЗИ, лицензий СКЗИ и ключевых документов;
- отсутствие внутренних инструкций по обращению с СКЗИ и ключевыми документами;
- отсутствие внутренних приказов по организации органа криптозащиты или персонального закрепления обязанности по обращению СКЗИ.





Если не сложно, укажите пункт в 152-й инструции, который обязывает лицензиата ФАПСИ разрабатывать "внутренние инструкции по обращению с СКЗИ и ключевыми документами".

Отредактировано пользователем 12 сентября 2012 г. 13:31:38(UTC)  | Причина: Не указана

Offline Dmitriy8808  
#58 Оставлено : 1 февраля 2013 г. 10:34:57(UTC)
Dmitriy8808

Статус: Активный участник

Группы: Участники
Зарегистрирован: 08.04.2012(UTC)
Сообщений: 108

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 11 раз в 7 постах
Добрый день!
Если на один ключевой носитель записать несколько криптоключей, то это каким-то образом нужно отразить журнале поэкземплярного учета КД? Имеется в виду в журнале это будет одна позиция или несколько ( по колву ключей)
Offline Expert  
#59 Оставлено : 1 февраля 2013 г. 13:12:27(UTC)
Expert

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
ext4 пишет:
Если не сложно, укажите пункт в 152-й инструции, который обязывает лицензиата ФАПСИ разрабатывать "внутренние инструкции по обращению с СКЗИ и ключевыми документами".

Ну, например, п.10, 11, 16, 18 Инструкции (утв. Приказом № 152), можно еще найти…
Offline Expert  
#60 Оставлено : 1 февраля 2013 г. 13:18:11(UTC)
Expert

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
Dmitriy8808 пишет:
Добрый день!
Если на один ключевой носитель записать несколько криптоключей, то это каким-то образом нужно отразить журнале поэкземплярного учета КД? Имеется в виду в журнале это будет одна позиция или несколько ( по колву ключей).

Ответ см. в п. 26 Инструкции (утв. Приказом № 152).
Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования, ключевой блокнот. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
6 Страницы<12345>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.