Журнал учета СКЗИ

26 янв 2018 14:22 #6617 от Новичок
Подскажите как быть, если в Формуляре на СКЗИ Крипто Про 3.9 написано:"Формуляр входит в комплект поставки СКЗИ ЖТЯИ.00083-01 и должен постоянно храниться в органе (подразделении), ответственном за эксплуатацию СКЗИ". Я так понимаю это означает хранение в сейфе Ответственного пользователя СКЗИ в Организации?
При это УФК в Актах установки требуют распечатать формуляр и передать на хранение пользователю СКЗИ. А при разговоре с сотрудниками УФК они вообще сказали отксерить Формуляр который они выдали, и раздать пользователям. Это не противоречит тому что я цитировал из Формуляра?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 апр 2018 13:46 #7165 от xpressive
Доброго времени суток. Так как я раньше не занимался СКЗИ, то у меня вопрос. Заранее спасибо за ответ.

У нас в организации поставили:
1) VipNET
2) Крипто-ПРО
3) а также имеются Рутокены и ЭЦП на обычных флэш носителях.

Используется все это для обмена информации с банком и финансовой отчетности Таском.

Должен ли я руководствоваться и применять Приказ ФАПСИ 152 и ПЗК-2005,

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 апр 2018 13:55 #7166 от Alex_04

xpressive пишет: Используется все это для обмена информации с банком и финансовой отчетности Таском.
Должен ли я руководствоваться и применять Приказ ФАПСИ 152 и ПЗК-2005,

Приказ ФАПСИ № 152 касается всех пользователей СКЗИ, поэтому - да, должны им руководствоваться.
Про ПЗК-2005 не могу сказать определенно, возможно тоже "да".

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

07 мая 2018 07:15 #7331 от ViktorGRBS
Если вы не генерируете (производите) средства защиты, то ПКЗ-2005 вам не нужно.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 мая 2018 12:11 - 09 мая 2018 12:12 #7339 от ikmz
Являются ли корневые сертификаты "Сертификат Головного удостоверяющего центра" и "Сертификат Удостоверяющего центра ФК" ключевой информацией? Ведь, мы скачиваем, устанавливаем их и грубо говоря установленные сертификаты уже находятся на своих местах где положено быть по инструкции ФК, на ключевом носителе а это уже жесткий диск. Если они считаются ключевой информацией, верно ли полагать что их нужно записывать в Журнал учета СКЗИ?
Да, я понимаю что написано мною многим может наверное показаться очень странной занятие, но....

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 мая 2018 05:04 #7340 от ViktorGRBS
нет, т.к. они находятся в свободном доступе

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

29 мая 2018 09:26 #7453 от ferramentum
Добрый день. Прошу по возможности разъяснить несколько моментов.
1. Должен ли пользователь ЭЦП сдавать ключевой носитель после окончания рабочего дня с занесением данного факта в журнал учета СКЗИ (ЭЦП)? Или достаточно выдать под роспись до момента окончания срока действия, либо увольнени? В 152 ФАПСИ не нашел. Данный вопрос возник, из-за того что в организации несколько зданий в черте одного города. Если должны сдавать ежедневно, то на кого можно возложить данную обязанность? Нужно ли спец образование?
2. Нужно ли вносить в журнал все жесткие диски ПК на которых стоит VipNET, КриптоПРО или просто программа в которой есть персональные данные. Да и в принципе что делать с VipNET? Свободное ПО же
3.Организовать обучение сотрудников допущенных к работе с СКЗИ. ЧТо это? Всех сотрудников которые используют ЭЦП, или только админов ИБ? Если всех то кто имеет право учить?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

01 июнь 2018 06:49 #7491 от ViktorGRBS
1. Пользователю СКЗИ выдаётся: ключевой носитель, формуляр. Хранится и эксплуатируется согласно формуляра. Заносятся соотв. записи в журнал учёта. С этого момента (по идее и по политике ИБ организации) вся ответственность на нём.
2. Да, вносится каждый дистрибутив, т.к. они нумерованные. VipNet нам выдавали на диске, я присвоил ему внутренний номер + распечатал всем пользователям формуляры (хотя закрытых ключей не используем)
3. В организации разрабатывается и утверждается программа обучения, план обучения (будущих) пользователей СКЗИ (сотрудников, допущенных до работы с СКЗИ). По окончанию обучения проводится аттестация (можно в форме тестов), издается приказ по организации "О сотрудниках, допущенных до работы с СКЗИ". Право учить имеет (насколько я понимаю) Администратор ИБ организации.
ИМХО, но вроде не далеко от реальности.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 июль 2018 06:14 #7902 от mikeabramyan
Доброго времени суток! Вопросы такие, в журнале учета СКЗИ обязательно ли учитывать ключевые носители или если есть журнал учета ключевых носителей то там может их и регистрировать? А ПАК Соболь (электронный замок) куда включать, тоже в журнал учета СКЗИ? И извинияюсь, что вопрос не по теме, а в журнал учета машинных носителей информации включаются ibutton (таблетки к соболям)? А их потом надо включать в журнал ключевых носителей информации? Они же содержат ключ по который соболь понимает пользователь это или нет. Извините еще раз за сумбурные вопросы, просто в голове каша, не знаю с какого журнала учета начать, т.к. до меня журналы эти благополучно не велись...

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 июль 2018 07:11 #7906 от ViktorGRBS

mikeabramyan пишет: Доброго времени суток! Вопросы такие, в журнале учета СКЗИ обязательно ли учитывать ключевые носители или если есть журнал учета ключевых носителей то там может их и регистрировать? А ПАК Соболь (электронный замок) куда включать, тоже в журнал учета СКЗИ? И извинияюсь, что вопрос не по теме, а в журнал учета машинных носителей информации включаются ibutton (таблетки к соболям)? А их потом надо включать в журнал ключевых носителей информации? Они же содержат ключ по который соболь понимает пользователь это или нет. Извините еще раз за сумбурные вопросы, просто в голове каша, не знаю с какого журнала учета начать, т.к. до меня журналы эти благополучно не велись...


для ключевых носителей с отдельно создал "Журнал учета". если ПАК Соболь - СКЗИ, то в журнал учёта СКЗИ.
ibutton такой же ключ, просто в другом форм-факторе, соответственно в "Журнал учета ключевых носителей".
Начните с прочтения 152 Приказа, параллельно делайте Журнал учета СКЗИ, совмещая теорию с практикой)! Успехов!
Спасибо сказали: mikeabramyan

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 июль 2018 07:31 #7909 от Beck

Часть сообщения скрыта для гостей. Пожалуйста, авторизуйтесь или зарегистрируйтесь, чтобы увидеть его.
Спасибо сказали: mikeabramyan

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 июль 2018 10:11 #7914 от two_oceans
Верно, кроме защиты от несанкционированного доступа ПАК Соболь можно использовать со СКЗИ КриптоПро CSP или SecurityCode CSP, тогда Соболь выступает в качестве аппаратного датчика случайных чисел и считывателя ibutton. Поэтому в некоторых случаях Соболь включается в поставку КриптоПро классов КС2 и выше. В зависимости от использования и обстоятельств получения возможно его расценивать просто как считыватель для другого СКЗИ.
Спасибо сказали: mikeabramyan

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

10 июль 2018 12:49 - 10 июль 2018 12:50 #7920 от Alex_04

mikeabramyan пишет: ПАК Соболь (электронный замок) куда включать, тоже в журнал учета СКЗИ?

Beck пишет: ПАК Соболь - программно-аппаратный комплекс от несанкционированного доступа, и для таких штук есть отдельный журнал

Коллега прав, и называться он может, к примеру "Журнал учета СЗИ" (средств защиты информации), коим и является ПАК "Соболь".
И в остальном Beck выше всё правильно посоветовал - попробуйте именно так и сделать.
Спасибо сказали: mikeabramyan

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 авг 2018 06:35 #8233 от Olonsoc
Нашел тут образцы по заполнению документов по учету СКЗИ: Образцы документов.

Из примеров пришел к выводу, что удобней будет завести несколько журналов учета СКЗИ.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

11 окт 2018 13:20 #9013 от Lesnoy
Добрый день! Организации УФК выдало 1 диск с "Континент АП", который в дальнейшем был установлен на несколько компьютеров. Как правильно мне зафиксировать данное действие в журнале учета СКЗИ?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.