Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Лицензирование, ФАПСИ № 152, Журнал поэкземплярного учета СКЗИ.
Статус: Активный участник
Группы: Участники
Зарегистрирован: 08.04.2010(UTC)
Сообщений: 57
|
Ещё вопрос про журнал выдачи СКЗИ. Допустим, мы творчески переосмыслили стандартную форму, объединили столбцы, но вся информация в принципе наличествует. Могут возникнуть претензии со стороны проверяющих?
Если мы решим заполнять журнал в электронном формате, не получим ли мы те же замечания - где подпись выдавшего, получившего? О каких актах передачи шла речь выше? Отгрузочные документы из 1С?
Могут ли возникнуть претензии к защищённости журнала? Если он к примеру реализован в виде excel файла на обычном, не аттестованном ПК? Можно ли реализовать его в виде написанного нами ПО с БД в Access?
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
freecod написал:Ещё вопрос про журнал выдачи СКЗИ. Допустим, мы творчески переосмыслили стандартную форму, объединили столбцы, но вся информация в принципе наличествует. Могут возникнуть претензии со стороны проверяющих?
Если мы решим заполнять журнал в электронном формате, не получим ли мы те же замечания - где подпись выдавшего, получившего? О каких актах передачи шла речь выше? Отгрузочные документы из 1С?
Могут ли возникнуть претензии к защищённости журнала? Если он к примеру реализован в виде excel файла на обычном, не аттестованном ПК? Можно ли реализовать его в виде написанного нами ПО с БД в Access? Если Ваши журналы отражают нужную для учёта информацию (что, кому, когда), то претензии со стороны проверяющих не будет. Например, мы ведём свой учёт в журналах, оформленных в виде excel файлов и в таблицах БД MS SQL. Эти файлы (таблицы и БД) лежат на неаттестованных ПК, т.к. журналы не содержат конфиденциальной информации. Претензии могут быть всегда (почему без шапки?, почему в шапке?). Это зависит от проверяющего. Если проверяющий разумный, то претензий не будет. Потому, что росписи ставятся в других, бухгалтерских, документа (акты передачи прав для лицензий и ТОРГ-12 для дистрибутивов и ПАКМ HSM). Если проверяющий неразумный, то он может предъявить претензии и к шрифту, которым Вы оформили бумажный журнах учёта и к цвету ручки, которым там расписывались :-) |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.07.2008(UTC) Сообщений: 1,287  Откуда: Краснодар Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
|
Юрий Маслов написал:Коллеги!
Давайте не будем выдумывать, домысливать, читать побуквенно! Даже проверяющие подходят творчески и смотрят реально. Обучить пользователей СКЗИ на курсах повышения квалификации за счёт организатора информационной системы (лицензиата) - это нереально. Обучить пользователей СКЗИ на курсах повышения квалификации за счёт самого пользователя СКЗИ - это нереально и противоречит законодательству (Вы не можете заставить ничего сделать другое лицо. Вы можете только попросить). А вот провести обучение пользователей СКЗИ путём инструктажа или путём предоставления методических материалов для самооучения - это реально. И именно так и делается!
Организатор информационной системы (лицензиат) НЕ МОЖЕТ принимать зачёт и допускать или недопускать к работе СКЗИ сотрудника другой организации (пользователя СКЗИ)!!! Это чисто внутренние дела юрлиц. И инструкция 152 никак не может изменить ЗАКОНЫ (Гражданский кодекс, КЗоТ и т.д.). Статус не тот.
Призываю ещё раз. Не ищите блох. Вся страна уже 20 лет живёт по этой инструкции. да мы то прекрасно понимаем, что у нас все законодательство в насекомых, блин))) По поводу обучения, кстати, даже на курсах повышения квалификации говорят именно так, как я и писал ;) и даже не намекают ни на какие-нить там инструктажи и/или материалы для ознакомления. Ну да бог с ним: российские законы направлены на то, чтобы любого можно было в любой момент за что-нибудь привлечь. Вот и все
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Laroux написал:По поводу обучения, кстати, даже на курсах повышения квалификации говорят именно так, как я и писал ;) и даже не намекают ни на какие-нить там инструктажи и/или материалы для ознакомления.
Ну да бог с ним: российские законы направлены на то, чтобы любого можно было в любой момент за что-нибудь привлечь. Вот и все Ну ещё бы на обучающих курсах говорили по другому. Их цель - что бы как можно больше обучить людей, что влечёт увеличение выручки :-) И если они будут намекать на инструктажи и/или материалы для ознакомления, то этим они идут против своей цели. Да, строгость российских законов компенсируется необязательностью их исполнения. Из практики по 152-ой инструкции лицензиатов ФСБ (иных лиц нельзя наказать) наказывают за: - отсутствие поэкземплярного учёта дистрибутивов СКЗИ, лицензий СКЗИ и ключевых документов; - отсутствие внутренних инструкций по обращению с СКЗИ и ключевыми документами; - отсутствие внутренних приказов по организации органа криптозащиты или персонального закрепления обязанности по обращению СКЗИ. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Каким образом выполняется абзац 2 пункта 27: Цитата:
Органы криптографической защиты заводят и ведут на каждого пользователя СКЗИ лицевой счет, в котором регистрируют числящиеся за ним СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы.
Если учет ведется в виде базы MSSQL, как писал Юрий, то это сформированный отчет по таблице по выбранному пользователю УЦ, либо пользователю СКЗИ в рамках своей организации. А если нет электронного учета, тогда что это? Карточка?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 16.08.2012(UTC)
Сообщений: 10
Сказал(а) «Спасибо»: 1 раз
|
Добрый день!
Помогите, пожалуйста, разобраться.
Должен ли удостоверяющий центр собирать информацию от клиентов по окончании срока действия их ключа об уничтожении ключевых носителей? Или учет в УЦ заканчивается в момент подписания акта приеме-передачи?
Согласно приказу 152 ФАПСИ:
П. 46 … После уничтожения пользователи СКЗИ должны уведомить об этом (телефонограммой, устным сообщением по телефону и т.п.) соответствующий орган криптографической защиты для списания уничтоженных документов с их лицевых счетов. Не реже одного раза в год пользователи СКЗИ должны направлять в орган криптографической защиты письменные отчеты об уничтоженных ключевых документох. …
Тогда как в более поздних Методических материала ФСБ от 21 февраля 2008 г.:
3.22. После уничтожения пользователи криптосредств должны уведомить об этом (телефонограммой, устным сообщением по телефону и т.п.) ответственного пользователя криптосредств для списания уничтоженных документов с их лицевых счетов.
При этом
2.6 … Допускается возложение функций ответственного пользователя криптосредств на:
одного из пользователей криптосредств;
на структурное подразделение или должностное лицо (работника), ответственных за обеспечение безопасности персональных данных, назначаемых оператором;
на специальное структурное подразделение по защите государственной тайны, использующее для этого шифровальные средства.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.09.2012(UTC)
Сообщений: 11
Сказал(а) «Спасибо»: 3 раз
|
Юрий Маслов написал:Laroux написал:По поводу обучения, кстати, даже на курсах повышения квалификации говорят именно так, как я и писал ;) и даже не намекают ни на какие-нить там инструктажи и/или материалы для ознакомления.
Ну да бог с ним: российские законы направлены на то, чтобы любого можно было в любой момент за что-нибудь привлечь. Вот и все Ну ещё бы на обучающих курсах говорили по другому. Их цель - что бы как можно больше обучить людей, что влечёт увеличение выручки :-) И если они будут намекать на инструктажи и/или материалы для ознакомления, то этим они идут против своей цели. Да, строгость российских законов компенсируется необязательностью их исполнения. Из практики по 152-ой инструкции лицензиатов ФСБ (иных лиц нельзя наказать) наказывают за: - отсутствие поэкземплярного учёта дистрибутивов СКЗИ, лицензий СКЗИ и ключевых документов; - отсутствие внутренних инструкций по обращению с СКЗИ и ключевыми документами; - отсутствие внутренних приказов по организации органа криптозащиты или персонального закрепления обязанности по обращению СКЗИ. Если не сложно, укажите пункт в 152-й инструции, который обязывает лицензиата ФАПСИ разрабатывать "внутренние инструкции по обращению с СКЗИ и ключевыми документами". Отредактировано пользователем 12 сентября 2012 г. 13:31:38(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 08.04.2012(UTC)
Сообщений: 109
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 11 раз в 7 постах
|
Добрый день!
Если на один ключевой носитель записать несколько криптоключей, то это каким-то образом нужно отразить журнале поэкземплярного учета КД? Имеется в виду в журнале это будет одна позиция или несколько ( по колву ключей)
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
|
ext4 пишет:
Если не сложно, укажите пункт в 152-й инструции, который обязывает лицензиата ФАПСИ разрабатывать "внутренние инструкции по обращению с СКЗИ и ключевыми документами".
Ну, например, п.10, 11, 16, 18 Инструкции (утв. Приказом № 152), можно еще найти…
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
|
Dmitriy8808 пишет:
Добрый день!
Если на один ключевой носитель записать несколько криптоключей, то это каким-то образом нужно отразить журнале поэкземплярного учета КД? Имеется в виду в журнале это будет одна позиция или несколько ( по колву ключей).
Ответ см. в п. 26 Инструкции (утв. Приказом № 152).
Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования, ключевой блокнот. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно.
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Лицензирование, ФАПСИ № 152, Журнал поэкземплярного учета СКЗИ.
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
