Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

6 Страницы«<3456>
Опции
К последнему сообщению К первому непрочитанному
Offline Executer  
#81 Оставлено : 4 декабря 2013 г. 9:57:02(UTC)
Executer

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.03.2011(UTC)
Сообщений: 213
Мужчина
Откуда: Вологда

Сказал «Спасибо»: 32 раз
Поблагодарили: 17 раз в 13 постах
Автор: Expert Перейти к цитате

Сертификат это не ключевой документ и не ключевой носитель. Да, конечно, каждый сертификат имеет свой уникальный номер. Но это лишь номер сертификата(который правда содержит открытую часть ключа-ключ проверки ЭП). Но ключевой документ это ключ ЭП+ ключ проверки ЭП. Как определить номер такого ключевого документа полагаю могут сказать только разработчики СКЗИ.
Инструкция требует учитывать по номерам именно ключевые документы. В качестве компромиссного варианта учитываем ключевые носители (E-Token, Ру-Token, и т.п….) по их серийным (заводским) номерам, ведь выдаются же сертифицированные защищенные ключевые носители, которые не позволяют получить доступ к самому ключу.
Желательно получить ответ по этому вопросу от разработчиков- производителей СКЗИ.

А можно не производителю СКЗИ вмешаться?
Серийный номер сертификата в соответстви с требованиями к нему, должен быть УНИКАЛЬНЫМ. И в то же время, сертификат подтверждает однозначную связь между ключом проверки и закрытым ключом. Тогда, учтя серийный номер мы учитываем и весь ключевой документ.
В тоже время, при создании ключевого контейнера также формируется его уникальный номер, например:
по кнопке "Обзор" просмотра сертификата в КриптоПро СCSP:
Activ Co. ruToken 0 SDCARD\rutoken_238b62d7\0A00\0000
Выделенное и есть, по моему мнению, "номер такого ключевого документа".


Offline ext4  
#82 Оставлено : 4 декабря 2013 г. 14:38:02(UTC)
ext4

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2012(UTC)
Сообщений: 11

Сказал(а) «Спасибо»: 3 раз
Автор: Executer Перейти к цитате
Автор: ext4 Перейти к цитате
Всем доброго времени суток!

В процессе знакомства с прекрасным миром российской криптографии, у меня возникло несколько пустяковых вопросов по учету СКЗИ. Будут очень признателен всем, кто поделится своим мнением.

1. Что является единицей учета СКЗИ (в частности КриптоПро) - серийный номер( т.е. лицензия) или дистрибутив?
2. Есть мнение что лицензии КриптоПро учитывать необязательно. Так ли это?
3. Если лицензии КриптоПро учитывать необязательно, то в качестве единицы учета СКЗИ остается только номер дистрибутива, правильно?
4. Как тогда правильно заполнить журнал учета СКЗИ для обладателя КИ (т.е. пользователя), если с одного дистрибутива КриптоПро установлен двум и более пользователям? Ведь получится что один и тот же дистрибутив привязан к разным аппаратным средствам (графа 11).

В идеале каждой лицензии должен соответствовать ПОЛНЫЙ комплект поставки: Дистрибутив, комплект документации (с формуляром), лицензия. Физически Вы можете делать инсталляцию с одного и того же диска. Но у каждой установки должен быть комплект документации с оригинальным формуляром и оригинальной лицензией (оригинальная = формуляр и лицензия с синими печатями КриптоПро). Это в идеале - коробочная поставка конечному пользователю.
Я поступаю по другому. После появления нового релиза, например КриптоПро CSP, покупаю одну коробку (полный комплект), учитываю поставку у себя в органе КЗ. При поставке очередному клиенту пишу ему персональный диск с дистрибутивом и документацией (как в коробочном комплекте), присваиваю диску номер на основании номера дистрибутива, полученного в коробке (в конце добавляю порядковый номер, например: КриптоПро CSP №385К-019166-0001, распечатываю формуляр с диска поставки, вписываю туда этот номер и пишу его на созданном диске маркером, ставлю свою печать и подпись в формуляре.



Тогда в перечень работ и оказываемых услуг по вашей лицензии должен входить пункт 7. Производство (тиражирование) шифровальных (криптографических) средств. И в процессе её получения вы должны были соответствовать требованию:
е) наличие у соискателя лицензии приборов и оборудования, прошедших поверку и калибровку в соответствии с Федеральным законом "Об обеспечении единства измерений", принадлежащих ему на праве собственности или ином законном основании и необходимых для выполнения работ и оказания услуг, указанных в пунктах 1 - 11, 16 - 19 перечня;

Не подскажите, что за оборудование вы показывали проверяющим?
Offline DISVET  
#83 Оставлено : 4 декабря 2013 г. 15:43:50(UTC)
DISVET

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.11.2013(UTC)
Сообщений: 8

Подскажите, пожалуйста, как купить эту одну коробочку (полный комплект)?
Куда обратиться? Мне надо получить договор и счет на оплату.
Offline ext4  
#84 Оставлено : 5 декабря 2013 г. 17:03:11(UTC)
ext4

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2012(UTC)
Сообщений: 11

Сказал(а) «Спасибо»: 3 раз
Автор: DISVET Перейти к цитате
Подскажите, пожалуйста, как купить эту одну коробочку (полный комплект)?
Куда обратиться? Мне надо получить договор и счет на оплату.


Вот по этой ссылочке найдете необходимую вам информацию http://www.cryptopro.ru/buy
Offline DISVET  
#85 Оставлено : 6 декабря 2013 г. 13:19:33(UTC)
DISVET

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.11.2013(UTC)
Сообщений: 8

Спасибо большое! ))
Offline Expert  
#86 Оставлено : 8 декабря 2013 г. 18:29:08(UTC)
Expert

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
Для Executerа и ext4.

1.………………….
Я поступаю по другому. После появления нового релиза, например КриптоПро CSP, покупаю одну коробку (полный комплект), учитываю поставку у себя в органе КЗ. При поставке очередному клиенту пишу ему персональный диск с дистрибутивом и документацией (как в коробочном комплекте), присваиваю диску номер на основании номера дистрибутива, полученного в коробке (в конце добавляю порядковый номер, например: КриптоПро CSP №385К-019166-0001, распечатываю формуляр с диска поставки, вписываю туда этот номер и пишу его на созданном диске маркером, ставлю свою печать и подпись в формуляре.

2.Тогда в перечень работ и оказываемых услуг по вашей лицензии должен входить пункт 7. Производство (тиражирование) шифровальных (криптографических) средств. И в процессе её получения вы должны были соответствовать требованию:
е) наличие у соискателя лицензии приборов и оборудования, прошедших поверку и калибровку в соответствии с Федеральным законом "Об обеспечении единства измерений", принадлежащих ему на праве собственности или ином законном основании и необходимых для выполнения работ и оказания услуг, указанных в пунктах 1 - 11, 16 - 19 перечня;
Не подскажите, что за оборудование вы показывали проверяющим?
Ответ:
По п.1 Позволю немного поправить Вас (Executer). После изготовления копии полученного от производителя дистрибутива «КриптоПро CSP» вам следует зарегистрировать изготовленную копию дистрибутива в жкрнале поэкземплярного учета, при этом в каждой записи для СКЗИ его серийный номер (385К-019166) останется прежним, а вот номер экземпляра будет индивидуальным (1,2,3,….) в зависимости от количества копий, которые вы изготовили.

По п.2 с включением в лицензию права на осуществление тиражирования СКЗИ согласен. Позволю задать вопрос ext4. Какие измерительные приборы и оборудование используются для тиражирования «КриптоПро CSP»?
Для тиражирования должен использоваться аттестованный по требованиям безопасности АРМ (ПЭВМ или ноутбук). В Реестре средств измерений такие средства измерения (ПЭВМ или ноутбук) не значатся! А в соответствии с Федеральным законом "Об обеспечении единства измерений" поверке и калибровке подлежат только средства измерения.
Offline Мария Ди  
#87 Оставлено : 17 декабря 2013 г. 11:01:13(UTC)
Мария Ди

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.12.2013(UTC)
Сообщений: 4
Российская Федерация
Откуда: Ульяновск

Сказал(а) «Спасибо»: 2 раз
Ребят, возможно пишу не в теме, но кто-нибудь может подсказать что вхходит в должностные обязанности делопроизводителя УЦ?
Offline infocentre  
#88 Оставлено : 28 января 2014 г. 15:11:28(UTC)
infocentre

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.07.2012(UTC)
Сообщений: 255
Мужчина
Российская Федерация

Сказал «Спасибо»: 22 раз
Поблагодарили: 13 раз в 9 постах
Коллеги, если кто успешно реализовал электронный журнал учёта СКЗИ, и он прошёл проверку ФСБ - дайте свои контакты, зело интересно узнать :)

Потому как бумажный очень и очень неудобен.
Offline Akikso  
#89 Оставлено : 18 марта 2014 г. 16:58:21(UTC)
Akikso

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.03.2014(UTC)
Сообщений: 1

Уважаемые, подскажите, как исправить неверную запись в журнале поэкземплярного учета СКЗИ?
Offline Expert  
#90 Оставлено : 20 марта 2014 г. 9:33:07(UTC)
Expert

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
А что вы хотите исправить? Букву, слово, всю запись?

Если букву, слово или внести исправления в несколько колонок, то неверное написание (буквы, слова) зачеркивается (не заштриховавается!!!) серху пишется исправленное значение. В этой же строке, в которую вносились исправления, графе "Примечние" пишите: «Исправленному в графе(ах)________ верить». Сотрудник, внесший исправления, ставит роспись. Роспись заверяется печатью организации.

Если надо исправить всю строку, то в исправляемой строке, в графе «Примечание» делается запись: «Запись произведена ошибочно». Запись также заверяется подписью и печатью.
Offline Valentina  
#91 Оставлено : 10 апреля 2014 г. 12:54:09(UTC)
Valentina

Статус: Участник

Группы: Участники
Зарегистрирован: 02.04.2012(UTC)
Сообщений: 16

Сказал(а) «Спасибо»: 1 раз
Скажите,а можно ли два разных ключа(пользователя+руководителя) записывать на один Токен(сотрудник приказом назначен ответственный за использование и хранение ключа руководителя) и как в таком случае регистрировать носитель в журнале учета магнитных носителей ключевой информации(носитель один,а ключей два?).
Offline infocentre  
#92 Оставлено : 10 апреля 2014 г. 12:55:33(UTC)
infocentre

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.07.2012(UTC)
Сообщений: 255
Мужчина
Российская Федерация

Сказал «Спасибо»: 22 раз
Поблагодарили: 13 раз в 9 постах
Ну что, электронный никто не сделал?
Offline Spets  
#93 Оставлено : 3 июня 2014 г. 9:53:52(UTC)
Spets

Статус: Участник

Группы: Участники
Зарегистрирован: 16.04.2013(UTC)
Сообщений: 12
Российская Федерация
Откуда: Краснодар

Сказал(а) «Спасибо»: 2 раз
Автор: Valentina Перейти к цитате
Скажите,а можно ли два разных ключа(пользователя+руководителя) записывать на один Токен(сотрудник приказом назначен ответственный за использование и хранение ключа руководителя) и как в таком случае регистрировать носитель в журнале учета магнитных носителей ключевой информации(носитель один,а ключей два?).

Добрый день!
На мой взгляд, запись ключей разных пользователей на один токен - компрометация. В Вашем случае, конечно, доверенность позволяет это сделать. А что будете делать, если будет назначен другой сотрудник или сменится руководитель?
Offline Uatto  
#94 Оставлено : 26 декабря 2014 г. 11:14:54(UTC)
Uatto

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2010(UTC)
Сообщений: 69

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Товарищи, подскажите кто может, как правильно организовать орган криптозащиты и возложить нужные обязанности на работников, чтобы это удовлевторило и ФСБ и Минкомсвязи. Какой лучше сделать формат ОКЗ - рабочая группа в рамках структурного подразделения? Функции по работе с СКЗИ и конкретно УЦ должны быть закреплены именно в Должностных инструкциях работников?
Offline Veles  
#95 Оставлено : 23 марта 2015 г. 21:43:38(UTC)
Veles

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.02.2012(UTC)
Сообщений: 4
Мужчина
Откуда: Ейск

В последнее время УЦ начали реализовывать Сертификат ЭП с о встроенной лицензией КриптоПРО, поясните пожалуйста, как встроенную лицензию учитывать в Журнале СКЗИ (ОКЗ) и почему? Интересует вариант учета лицензии именно в журнале СКЗИ (ОКЗ). Рассмотрим возможные варианты:
Сразу оговорю, что номера столбцов взяты из типового журнала, приказа ФАПСИ
Вариант 1.
в Столбце 2 пишем название СКЗИ: «Лицензия СКЗИ КритпоПРО CSP в составе ключа подписи»;
в Столбце 3 указываем номер сертификата «111111FFFF221212AAA», в который данный лицензия встроена
Вариант 2.
в Столбце 2 пишем название СКЗИ: «Лицензия СКЗИ КритпоПРО CSP в составе ключа подписи»;
в Столбце 3 указываем номер носителя, на который данный сертификат записан «072653274»;
в Столбце 4 указываем номер сертификата «111111FFFF221212AAA», в который данный лицензия встроена
Вариант 3.
Ваш вариант и почему?
Offline arslanov  
#96 Оставлено : 14 октября 2015 г. 16:03:25(UTC)
arslanov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.01.2008(UTC)
Сообщений: 179
Российская Федерация
Откуда: Самара

Сказал(а) «Спасибо»: 63 раз
Поблагодарили: 24 раз в 19 постах
Автор: Юрий Маслов Перейти к цитате
Dim написал:
Уважаемый Юрий, извенити, но возникло еще несколько вопросов.

1. А зачем вести поэкземплярный учёа лицензий на право использования СКЗИ? Ведь эта бумага не ключевой документ, не ключевой наситель не СКЗИ.

Вопрос не к нам. А можете спросить у тех людей которых привлекли к ответственности (вплоть до уголовной) за то, что они посчитали что это бумажка не относится к СКЗИ. Мы, КРИПТО-ПРО, учитываем лицензии как СКЗИ.
Dim написал:
2. Чето немогу понять какие номера вписывать в 3 и 4 столбец. В 3 столбец вписывается серийный номер СКЗИ, который мы придумываем сами и рисуем его на CD и в формуляре или они могут не совподать? А какие номера и серии, для скажем eToken-а, вписывать в 3 и 4 столбец?

А я не могу понять, что это за столбцы 3 и 4 ! :-) Форма журнала - типовая. У каждого лицензиата могут быть вариации от этой формы. И нумерация столбцов ни о чём не говорит. Уточните Ваш вопрос!


Прочитал ВСЮ ветку, но так и не нашел объяснения толкового ПОЧЕМУ же именно надо вести поэкземплярный учет лицензий на СКЗИ Крипто ПРО. Кроме вот именно данного ответа. что кого-то проверили и кому-то досталось. Я не вижу законодательного или юридического основания в принципе. Если они есть то просьба предоставить в студию!
----------------------------
ПОЛОЖЕНИЕ ПКЗ-2005
2. Шифровальные (криптографические) средства защиты информации конфиденциального характера в настоящем Положении именуются средствами криптографической защиты информации (далее - СКЗИ). К СКЗИ относятся:
а) средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;
б) средства имитозащиты - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;
в) средства электронной цифровой подписи - аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;
г) средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;
д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации);
е) ключевые документы (независимо от вида носителя ключевой информации).
---------------------------
Гражданский кодекс Российской Федерации (часть четвертая)" от 18.12.2006 N 230-ФЗ
Статья 1236. Виды лицензионных договоров
1) предоставление лицензиату права использования результата интеллектуальной деятельности или средства индивидуализации с сохранением за лицензиаром права выдачи лицензий другим лицам (простая (неисключительная) лицензия)
--------------------------
Бланк лицензии на Крипто ПРО CSP
Настоящая простая (неисключительная) Лицензия предоставляет права по использованию тряляла и трололо......
--------------------------

СОБСТВЕННО ВОПРОС.
Нет же явного указания в самом ПКЗ 2005, что нужно вести учет лицензий. Учет средств - ДА! Сам бланк, т.е. лицензия - это ПРАВА, а право еще не говорит о том что оно само является средством криптографии. Ну вот есть у вас на руках бланк с серийным номером, а дистрибутива нет и установить ничего нельзя и использовать криптографию нельзя без дистрибутива.
Т.е. поскольку лицензия это право, а не само средство криптографии, то и вести учет не нужно?

Отредактировано пользователем 14 октября 2015 г. 16:15:01(UTC)  | Причина: Не указана

Offline arslanov  
#97 Оставлено : 26 октября 2015 г. 12:12:28(UTC)
arslanov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.01.2008(UTC)
Сообщений: 179
Российская Федерация
Откуда: Самара

Сказал(а) «Спасибо»: 63 раз
Поблагодарили: 24 раз в 19 постах
up
Offline arslanov  
#98 Оставлено : 16 ноября 2015 г. 15:36:01(UTC)
arslanov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.01.2008(UTC)
Сообщений: 179
Российская Федерация
Откуда: Самара

Сказал(а) «Спасибо»: 63 раз
Поблагодарили: 24 раз в 19 постах
Автор: arslanov Перейти к цитате
up


up
Offline rusedition  
#99 Оставлено : 9 июня 2016 г. 9:08:28(UTC)
rusedition

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.06.2016(UTC)
Сообщений: 1
Откуда: Россия

Доброго всем времени суток!
Прочитал ветку на несколько раз, но часть так и не понял, а очень нужно!
Уповаю на вашу помощь.
Если мы (организация) являемся филиалом, и лицензии КриптоПро закупаются центральным аппаратом (ЦА) большим количества а нам потом по корпоративной связи присылают серийники, как их учитывать в Журнале учета СКЗИ нет не номера фомуляра ничего, дистрибутив качаем с офф.сайта. что писать в колонке "от кого получены"?
Offline Alex5  
#100 Оставлено : 9 июня 2016 г. 12:31:58(UTC)
Alex5

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.06.2016(UTC)
Сообщений: 2

Добрый день.
На просторах интернета, как только не учитывают дистрибутивы лицензии формуляры.
Хотелось бы определиться с пошаговым учетом.
Т.е.
В УФК записали диск и выдали лицензии 5 шт.
В акте указано распечатать формуляры и заполнить 11 раздел.
Но пришла проверка и пригрозила пальчиком, почему не учитываются формуляры в журнале поэкземплярного учета СКЗИ и документации
Прошу помочь как правильно оформить запись в журнале на формуляры, что занести в формуляры т.к. они чистые раз распечатаны.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
6 Страницы«<3456>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.