Автор: Михаил, ООО Лаборатория безопасности бизнеса | 33900	14.01.2012 22:00
Кто подскажет- почему работники гос.и мун.предприятий генерируют ключи на несертифицированные носители. Посмотрел инструкции на сайтах региональных УФК и нигде не увидел (кроме Москвы) чтобы было конкретно указано на то, что генерировать ключи и хранить их следует на сертифицированных носителях.

Автор: Прохожий | 33903	15.01.2012 16:47
Наверное потому, что у нас носители не производят. А у фстэка разве есть что-то из носителей в перечнях? Что-то я не помню Или речь идет про айрон кей - так он не в нашей системе сертифицирован а в дод юсей

Автор: Михаил, ООО Лаборатория безопасности бизнеса | 33904	15.01.2012 19:06
1.Сертифицированы ФСТЭК носители RUTOKEN и E-TOKEN. 2. Наша позиция по этому вопросу- так как закрытый ключ электронной подписи является конфиденциальной информацией то и храниться он должен на сертифицированных носителяхю 3. Участникам электронных аукционов удостоверяющие центры выдают ( и это прописано в регламентах) ключи на сертифицированных носителях .

Автор: Кирилл | 33905	15.01.2012 21:27
Лично я здесь наблюдаю подмену понятий. Лично я нигде не видел, чтобы для конфиденциалки требовались сертифицированные носители, но стоит отметить, что при передаче информации необходимо использовать средства защиты. Собственно, Rutoken и eToken имеют встроенное шифрованное хранилище, а для иных вариантов носителей можно использовать дополнительные сертифицированные СКЗИ.

Автор: Yason, мол.спец. | 33916	16.01.2012 09:48
От знакомого слышал, когда он устраивался в гос. орг., его спросили: "цель информационной безопасности?" Ответ думаю уже многие поняли - все средства защиты должны быть сертифицированы. ;-)

Автор: Некто | 33920	16.01.2012 10:44
Yason, мол.спец. | 33916 Сообщения агенства ОББ - это весьма серьезный предмет для обсуждения. Особенное если выводы из него делаются .. кхм.. парадоксальные

Автор: Михаил, ООО Лаборатория безопасности бизнеса | 33925

16.01.2012 13:13

1. Какие носители использовать определяет организатор электронного документооборота. 2.В данном случае рассматриваем электронный документооборот на электронных площадках отобранных Правительством РФ для размещения заказов для государственных и муниципальных нужд. 3.В соответствии с регламентом удостоверяющие центры выдают участникам торгов ( для примера коммерческим предприятиям) электронные ключи ЭП на сертифицированных носителях. В тоже время работники государственных и муниципальных предприятий , учреждений и т.д. самостоятельно генерируют закрытые ключи на несертифицированных носетелях и использу.т их на электронных площадках. 4.Получается, что в государственных и муниципальных предприятиях уровень безопасности информации ниже чем коммерческих . 5. Вот и спрашивается ПОЧЕМУ . Может есть какой документ , определяющий какой использовать носителю ключа государственными и муниципальными предприятиями ?

Автор: Алексей | 33929

16.01.2012 14:34

1. В формуляре сертифицированного СКЗИ КриптоПро CSP есть раздел: 2.8 Формирование закрытых ключей производится на типы носителей: ГМД 3,5’’, USB диски eToken Смарт-карты РИК Смарт-карты Оскар, Магистра Rutoken Раздел HDD ПЭВМ (в Windows -реестр) Идентификаторы Touch-Memory DS1995, DS1996 Т.е. использование регламентируется эксплуатационной документацией на СКЗИ. 2. Сертифицированы не сами носители, а их ПО (драйверы, утилиты) по уровню контроля за отсутствием НДВ (При этом гарантии, что коммерческими организациями используется именно сертифицированное ПО, нет..Тем более, что КриптоПро прекрасно работает с этими носителями без какого-либо дополнительного ПО). 3. Регламент для УЦ, выпускающих ключи для коммерческих организаций, на Федеральное казначейство не распространяется.

Автор: Кирилл | 33930

16.01.2012 14:49

Цитата: 3.В соответствии с регламентом удостоверяющие центры выдают участникам торгов ( для примера коммерческим предприятиям) электронные ключи ЭП на сертифицированных носителях. В тоже время работники государственных и муниципальных предприятий , учреждений и т.д. самостоятельно генерируют закрытые ключи на несертифицированных носетелях и использу.т их на электронных площадках. 4.Получается, что в государственных и муниципальных предприятиях уровень безопасности информации ниже чем коммерческих . Конец цитаты. В этих двух пунктах так коротко, но, в то же время, предельно ясно раскрывается вся тонкость и загадочность русской души, воспеваемой классиками. Как же удивительна и необъяснима тяга нашего народа к апеллированию бумагами, содержание которых, подчас, простому русскому мужику кажется еще мудреней, чем буржуинам простая русская душа.

Автор: Михаил, ООО Лаборатория безопасности бизнеса | 33931

16.01.2012 14:54

1. В ответ на п.п.1 - читали, знаем . 2. Мы говорим не о том как оно есть, а о том как оно должно быть . И желательно с ссылками на нормативные документы. Что касается программного обеспечения СКЗИ . Не думаю что и инсталяция ПО выполняется в соответствии с правилами пользования , согласованными с ФСБ РФ. что нужно сделать перед инсталяцией можно посмотреть по сылке http://www.terminal62.ru/skzi.html (информация в верхней части страницы - КриптоПро CSP) Это не наши требования это требования производителя . 3.Для получения аккредитации на площадках для гос.и мун. нужд удостоверяющий центр обязан выполнить ряд требованиий . Этот порядок был согласован с Мин.ээконом.развития. На основании этих требований УЦ разработали регламенты. В регламентах прописано что ключи пользователям УЦ выдаются на сертифицированных носителях . 4. Сегодня мы имеем, что в одной системе электронного документооборота одни могут использовать несертифицированные носители , другие обязаны использовать сертифицированные. 5. Поэтому и начали искать документальное подтверждение использования несертифицированных носителей

Автор: Михаил , ООО Лаборатория безопасности бизнеса | 33932	16.01.2012 15:03
Уточнение по п.п.5 Поэтому и начали искать документальное подтверждение на разрешение использования несертифицированных носителей в системе электронного документооборота на ЭТП.

Автор: Михаил, ООО Лаборатория безопасности бизнеса | 33934	16.01.2012 15:46
Ставим вопрос по другому : 1. Каким документом запрещено использование несертифицированных носителей ключа ЭП в государственных системах электронного документооборота ? или 2. Каким документом разрешено использование несертифицированных носителей ключа ЭП в государственных системах электронного документооборота ? Ответ прошу в виде: номер, дата документа и его наименование .

Автор: Прохожий | 33948

16.01.2012 20:14

2 Михаил, ООО Лаборатория безопасности бизнеса 33934 Развели турусы на колесах. Читайте нормы ну или разжевалки и не изобретайте новых правил от себя. Приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" Зарегистрирован в Минюсте РФ 6 августа 2001 г.Регистрационный N 2848 Настоящий приказ вступает в силу по истечении 10 дней после дня его официального опубликования Текст приказа опубликован в Бюллетене нормативных актов федеральных органов исполнительной власти от 20 августа 2001 г., N 34 III. Порядок обращения с СКЗИ и криптоключами к ним. Мероприятия при компрометации криптоключей*(10) 24. Для организации и обеспечения безопасности хранения, обработки и передачи по каналам связи конфиденциальной информации следует использовать СКЗИ, позволяющие реализовать принцип абонентского шифрования и предусматривающие запись криптоключей на электронные ключевые носители многократного (долговременного) использования (дискеты, компакт-диски (CD-ROM), Data Key, Smart Card, Touch Memory и т.п.). 46. Разовые ключевые носители, а также электронные записи ключевой информации, соответствующей выведенным из действия криптоключам, непосредственно в СКЗИ или иных дополнительных устройствах уничтожаются пользователями этих СКЗИ самостоятельно под расписку в техническом (аппаратном) журнале. Ключевые документы уничтожаются либо пользователями СКЗИ, либо сотрудниками органа криптографической защиты под расписку в соответствующих журналах поэкземплярного учета, а уничтожение большого объема ключевых документов может быть оформлено актом. При этом пользователям СКЗИ разрешается уничтожать только использованные непосредственно ими (предназначенные для них) криптоключи. После уничтожения пользователи СКЗИ должны уведомить об этом (телефонограммой, устным сообщением по телефону и т.п.) соответствующий орган криптографической защиты для списания уничтоженных документов с их лицевых счетов. Не реже одного раза в год пользователи СКЗИ должны направлять в орган криптографической защиты письменные отчеты об уничтоженных ключевых документах. V. Контроль за организацией и обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации 67. Контроль за организацией и обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации - государственный контроль осуществляют федеральные органы правительственной связи и информации* (Теперь ФСО-ФСБ после упразднения ФАПСИ). В ходе государственного контроля изучаются и оцениваются: организация безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации; достигнутый уровень криптографической защиты конфиденциальной информации; условия использования СКЗИ. Вот контролеры и могут предложить дополнительные меры если основных мер недостаточно. http://www.rcb.ru/dep/2007-04/8318/ Возможность использовать не сертифицированные средства подтверждена в Положении о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (ПКЗ-2005), утвержденном Приказом Федеральной службы безопасности РФ от 9 февраля 2005 г. № 66, п. 8 которого гласит, что "при организации обмена информацией, доступ к которой ограничивается по решению обладателя, пользователя (потребителя) данной информации, собственника (владельца) информационных ресурсов (информационных систем), не являющихся организациями, выполняющими государственные заказы, или уполномоченными ими лицами (за исключением информации, содержащей сведения, к которым в соответствии с законодательством Российской Федерации не может быть ограничен доступ), необходимость ее криптографической защиты и выбор применяемых СКЗИ определяются соглашениями между участниками обмен". Таким образом, если организуют электронный документооборот путем создания корпоративной информационной системы, то организатор ЭДО вправе самостоятельно определить, будет он использовать в своей системе СКЗИ, и если да, то сертифицированные или нет. Прохождение процедуры сертификации СКЗИ позволяет участнику ЭДО с большей долей вероятности получить продукт, отвечающий принятым к уровню безопасности требованиям. При этом надежность СКЗИ подтверждена уполномоченным государственным органом власти, в то время как для несертифицируемых средств гарантом надежности системы выступает только сам ее разработчик. Однако необходимо отметить, что отсутствие такого сертификата не всегда означает, что СКЗИ предоставляет низкий или недостаточный уровень защиты передаваемой информации. Вне зависимости от наличия или отсутствия сертификата качественная и надежная работа СКЗИ, кроме всего пр

Автор: Прохожий | 33949

16.01.2012 20:17

далее.. http://www.rcb.ru/dep/2007-04/8318/ Вне зависимости от наличия или отсутствия сертификата качественная и надежная работа СКЗИ, кроме всего прочего, зависит от корректной интеграции средства в систему ЭДО. На портале ГОСУСЛУГИ используют интернет протокол который ни разу не сертифицирован - накажите их за это!!!! Норм всего пяток - перечитайте их заново и сами решите для себя вам шашечки или ехать Пока явного запрета нет, но... я лично запретил бы. (частное мнение не носящее форму нормы***)

Автор: Михаил, ООО Лаборатория безопасности бизнеса | 33950	16.01.2012 20:21
Для Прозожего. 1.Написал много и одновременно ничего нового. 2.На данный момент следует вывод , что документа определяющего использование сертифицированных носителей ключа ЭП в СЭД на электронных площадках ждя гос.и мун.нужд НЕТ .

Автор: Анатолий | 65099	26.08.2016 06:46
Нужен ли "журнал учета СКЗИ", если в организации есть только ключи ЭП и ВипНет Клиент? Если да, то нужно ли регистрировать в "журнале учета СКЗИ" ВипНет?

Автор: Работник холдинга | 65106	26.08.2016 21:14
Анатолий | 65099 Если вы сами купили дистрибутив - нужно учитывать. Если дистрибутив вам передала сторонняя или вышестоящая организация, то вы - конечный пользователь, а учёт ведёт окз этой организации. В любом случае у вас должен быть документ подтверждающий легальность получения дистрибутива (накладная, акт приема-передачи и т.п.). И конечно вы аккуратно ведёте тех журнал установки СКЗИ.

Автор: Сергей | 93018

13.05.2018 13:25

Когда речь идёт о сертифицированных носителях ключей ЭП, то про какой сертификат идёт речь, про ФСБ или ФСТЭК. Вопроос возник из-за того, что разные сертифицированные носители имеют разные(ФСБ или ФСТЭК) сертификаты, а какие-то имею оба сертификата. Хочется понять каким сертификатом должен обладать сертифицированный носитель ключевой информация для использования его под хранение ключей электронной подписи.

Просмотров темы: 14211

Copyright © 2004-2019, ООО "ГРОТЕК"