Автор: Михаил, ООО Лаборатория безопасности бизнеса | 33900 | 14.01.2012 22:00 |
Кто подскажет- почему работники гос.и мун.предприятий генерируют ключи на несертифицированные носители. Посмотрел инструкции на сайтах региональных УФК и нигде не увидел (кроме Москвы) чтобы было конкретно указано на то, что генерировать ключи и хранить их следует на сертифицированных носителях.
|
Автор: Прохожий | 33903 | 15.01.2012 16:47 |
Наверное потому, что у нас носители не производят.
А у фстэка разве есть что-то из носителей в перечнях? Что-то я не помню Или речь идет про айрон кей - так он не в нашей системе сертифицирован а в дод юсей |
Автор: Михаил, ООО Лаборатория безопасности бизнеса | 33904 | 15.01.2012 19:06 |
1.Сертифицированы ФСТЭК носители RUTOKEN и E-TOKEN.
2. Наша позиция по этому вопросу- так как закрытый ключ электронной подписи является конфиденциальной информацией то и храниться он должен на сертифицированных носителяхю 3. Участникам электронных аукционов удостоверяющие центры выдают ( и это прописано в регламентах) ключи на сертифицированных носителях . |
Автор: Кирилл | 33905 | 15.01.2012 21:27 |
Лично я здесь наблюдаю подмену понятий. Лично я нигде не видел, чтобы для конфиденциалки требовались сертифицированные носители, но стоит отметить, что при передаче информации необходимо использовать средства защиты. Собственно, Rutoken и eToken имеют встроенное шифрованное хранилище, а для иных вариантов носителей можно использовать дополнительные сертифицированные СКЗИ.
|
Автор: Yason, мол.спец. | 33916 | 16.01.2012 09:48 |
От знакомого слышал, когда он устраивался в гос. орг., его спросили: "цель информационной безопасности?"
Ответ думаю уже многие поняли - все средства защиты должны быть сертифицированы. ;-) |
Автор: Некто | 33920 | 16.01.2012 10:44 |
Yason, мол.спец. | 33916
Сообщения агенства ОББ - это весьма серьезный предмет для обсуждения. Особенное если выводы из него делаются .. кхм.. парадоксальные |
Автор: Михаил, ООО Лаборатория безопасности бизнеса | 33925 | 16.01.2012 13:13 |
1. Какие носители использовать определяет организатор электронного документооборота.
2.В данном случае рассматриваем электронный документооборот на электронных площадках отобранных Правительством РФ для размещения заказов для государственных и муниципальных нужд. 3.В соответствии с регламентом удостоверяющие центры выдают участникам торгов ( для примера коммерческим предприятиям) электронные ключи ЭП на сертифицированных носителях. В тоже время работники государственных и муниципальных предприятий , учреждений и т.д. самостоятельно генерируют закрытые ключи на несертифицированных носетелях и использу.т их на электронных площадках. 4.Получается, что в государственных и муниципальных предприятиях уровень безопасности информации ниже чем коммерческих . 5. Вот и спрашивается ПОЧЕМУ . Может есть какой документ , определяющий какой использовать носителю ключа государственными и муниципальными предприятиями ? |
Автор: Алексей | 33929 | 16.01.2012 14:34 |
1. В формуляре сертифицированного СКЗИ КриптоПро CSP есть раздел:
2.8 Формирование закрытых ключей производится на типы носителей: ГМД 3,5’’, USB диски eToken Смарт-карты РИК Смарт-карты Оскар, Магистра Rutoken Раздел HDD ПЭВМ (в Windows -реестр) Идентификаторы Touch-Memory DS1995, DS1996 Т.е. использование регламентируется эксплуатационной документацией на СКЗИ. 2. Сертифицированы не сами носители, а их ПО (драйверы, утилиты) по уровню контроля за отсутствием НДВ (При этом гарантии, что коммерческими организациями используется именно сертифицированное ПО, нет..Тем более, что КриптоПро прекрасно работает с этими носителями без какого-либо дополнительного ПО). 3. Регламент для УЦ, выпускающих ключи для коммерческих организаций, на Федеральное казначейство не распространяется. |
Автор: Кирилл | 33930 | 16.01.2012 14:49 |
Цитата:
3.В соответствии с регламентом удостоверяющие центры выдают участникам торгов ( для примера коммерческим предприятиям) электронные ключи ЭП на сертифицированных носителях. В тоже время работники государственных и муниципальных предприятий , учреждений и т.д. самостоятельно генерируют закрытые ключи на несертифицированных носетелях и использу.т их на электронных площадках. 4.Получается, что в государственных и муниципальных предприятиях уровень безопасности информации ниже чем коммерческих . Конец цитаты. В этих двух пунктах так коротко, но, в то же время, предельно ясно раскрывается вся тонкость и загадочность русской души, воспеваемой классиками. Как же удивительна и необъяснима тяга нашего народа к апеллированию бумагами, содержание которых, подчас, простому русскому мужику кажется еще мудреней, чем буржуинам простая русская душа. |
Автор: Михаил, ООО Лаборатория безопасности бизнеса | 33931 | 16.01.2012 14:54 |
1. В ответ на п.п.1 - читали, знаем .
2. Мы говорим не о том как оно есть, а о том как оно должно быть . И желательно с ссылками на нормативные документы. Что касается программного обеспечения СКЗИ . Не думаю что и инсталяция ПО выполняется в соответствии с правилами пользования , согласованными с ФСБ РФ. что нужно сделать перед инсталяцией можно посмотреть по сылке Это не наши требования это требования производителя . 3.Для получения аккредитации на площадках для гос.и мун. нужд удостоверяющий центр обязан выполнить ряд требованиий . Этот порядок был согласован с Мин.ээконом.развития. На основании этих требований УЦ разработали регламенты. В регламентах прописано что ключи пользователям УЦ выдаются на сертифицированных носителях . 4. Сегодня мы имеем, что в одной системе электронного документооборота одни могут использовать несертифицированные носители , другие обязаны использовать сертифицированные. 5. Поэтому и начали искать документальное подтверждение использования несертифицированных носителей |
Просмотров темы: 14203