КриптоПРО 3.6

two_oceans пишет: Про журнал вопрос не стоит...

Имхо - как раз таки вся работа по выдаче и получению СКЗИ с лицензиями тесно связана именно с этим любимым журналом.

Дела внутри ФК регламентируются всевозможными внутренними НПА/инструкциями... порой впечатление, что внутренние НПА либо частично противоречат закону либо просто слишком много на себя берут и регламентируют в отношении других организации то, на что полномочий у ФК нет.

Далеко не так. Конкретно в части СКЗИ деятельность ФК основана на строгом исполнении Приказа ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечения безопасного хранения, обработки и передачипо каналам связи с использованием средств криптографической защиты информации с ограниченным доступом,не содержащей сведений, составляющих государственную тайну" . ЭТО основа, на которой строятся внутренние НПА казначейства в части СКЗИ. (противоречить с ФАПСИ, ФСБ, ФСТЭК и т.п. казначейству и всем чревато...)

Все же я не понимаю... Как-то нет единой и ясной последовательности действий.

Почитать выше указанную Инструкцию придется. Да, она не проста для понимания. В ней регламентированы работы как органов криптозащиты, что входят в состав УФК, так и обычных владельцев СКЗИ организаций.

II. Организация и обеспечение безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации
...
8. Обладатели конфиденциальной информации, если они приняли решение о необходимости криптографической защиты такой информации или если решение о необходимости ее криптографической защиты в соответствии с Положением ПКЗ-99 принято государственными органами или государственными организациями, обязаны выполнять указания соответствующих органов криптографической защиты по всем вопросам организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации.
...
20. Пользователи СКЗИ обязаны: ...
...
III. Порядок обращения с СКЗИ и криптоключами к ним. Мероприятия при компрометации криптоключей
...

Ну и следующие разделы данной Инструкции тоже очень немаловажны.
Типовая форма Журнала учета СКЗИ для пользователей приведена в приложении № 2. Приложения № 1 и 3 - для органа криптозащиты.

Alex_04 пишет:

two_oceans пишет: Про журнал вопрос не стоит...

Имхо - как раз таки вся работа по выдаче и получению СКЗИ с лицензиями тесно связана именно с этим любимым журналом.

Я имел ввиду, что в журнале однозначно регистрируем, а вот таскать ли каждый акт в ФК при смене железа? Сомневаюсь, что Приказ 152 ответит, скорее уж зависит с какой ноги встали в УФК. Так что Вы мне сейчас ответили совсем про другое.

Alex_04 пишет: Далеко не так. Конкретно в части СКЗИ деятельность ФК основана на строгом исполнении Приказа ФАПСИ от 13 июня 2001 г. N 152....Почитать выше указанную Инструкцию придется. Да, она не проста для понимания. В ней регламентированы работы как органов криптозащиты, что входят в состав УФК, так и обычных владельцев СКЗИ организаций.

Давненько ее читал (2 с хвостиком года назад, когда журнал планировал нормально завести), может чего-то не помню. Согласен, какие-то процедуры там указаны. Не принимая во внимание в целом трудный для понимания слог которым пишутся нормативные документы, и специфическую терминологию информационной безопасности, там вообще нет конкретных наименований, вот кто эти процитированные "органы криптозащиты". Кто и каким актом наделил какие-то подразделения ФК выступать в качестве "органов криптозащиты"? На этот вопрос тоже приказ не ответит. Заходим в раздел УЦ на сайте ФК видим там кучу версий регламента УЦ и ссылку на положение о ФК от 2004 года, наделяющее полномочиями удостоверяющего центра, самого положения тут не приведено. Несколько не очевидно, скорее уж орган криптозащиты может выполнять функцию УЦ, но про функцию органа криптозащиты не сказано. В регламенте об этом не вижу ни слова. Про выдачу СКЗИ есть, но заявления на выдачу, образцы актов отсутствуют нашел в приказе о порядке организации работы УЦ, но что-то не совпадают с тем что на сайтах теротделов, видимо уже поменялись. Такое ощущение, что ФК вообще сверхсекретный орган, который даже те документы, что требуется публиковать - централизованно не публикует.
Опять же все УЦ по разному выпускают сертификаты - УЦ ФК отказывается выпускать сертификаты для СМЭВ; отказывается выпускать сертификаты ЮЛ с ФИО не руководителя (по крайней мере, наш теротдел); отказывается выпускать сертификаты ЮЛ с наименование ИС в поле CN (по крайней мере, наш теротдел). Другим аккредитованным УЦ это нисколько не мешает и при этом все руководствуются указаниями ФСБ и ФСТЭК.Поэтому кивать на приказ 152 во всем - несколько уклончиво, там еще воз и маленькая тележка НПА нужна для прояснения и не все из них опубликованы. Некоторые положения (конечно не противоречащие приказу 152), только трактовка от УЦ и ничего более.

Alex_04 пишет: Типовая форма Журнала учета СКЗИ для пользователей приведена в приложении № 2.

Спасибо. Опять же я это еще 2 с лишним года назад выяснил. Или даже 4 года назад когда перечитывал тему про журнал на этом форуме после увольнения предыдущего администратора ИБ в организации. С того времени от ФК СКЗИ не запрашивали. Так как при предыдущем журнал не велся, я без понятия получали ли КриптоПро 3.6 и Континент в ФК, версии КриптоПро на всех компьютерах были разные, тем не менее на одном компьютере была бессрочная лицензия. Однако пиратская или ФКшная или другого УЦ неизвестно. Скорее всего первое - потому что к 3.6.7777 попала в черный список, но вдруг ее вернуть надо (опять же неизвестно чего возвращать, не говоря уж о том что тот компьютер заменили, да и вообще с тех пор инвентарные номера меняли). Годовые были от других УЦ, благополучно истекли. Сейчас от других УЦ все также есть ограниченные лицензии КриптоПро (внедренные в сертификат), хотя карточки давно не запрашивали.

two_oceans пишет: таскать ли каждый акт в ФК при смене железа?

Имхо - нет. Но на случай совместной проверки организации со стороны ОРСиБИ УФК и ФСБ (имеют право и могут) для внутреннего пользования т.с. лучше сделать Акты уничтожения СКЗИ на старом и Акты установки СКЗИ на новом АРМ. А движение СКЗИ д.б. отражено в соответствующем разделе Формуляра ОБЯЗАТЕЛЬНО. При несовпадении данных АРМ в Актах установки и уничтожения СКЗИ, когда наступит необходимость предоставления последнего в ТОФК, достаточно показать спецу казначейства этот самый раздел формуляра - вопросов не будет.

вот кто эти процитированные "органы криптозащиты". Кто и каким актом наделил какие-то подразделения ФК выступать в качестве "органов криптозащиты"? На этот вопрос тоже приказ не ответит.

Имхо - владельцам СКЗИ это так критично вникать в тонкости взаимоотношений между ФАПСИ и органами криптозащиты? У них там своя взаимная любовь, основанная на междусобойных НПА, кстати о чем четко сказано в том же 152 приказе:

II. Организация и обеспечение безопасности
хранения, обработки и передачи по каналам связи
с использованием СКЗИ конфиденциальной информации
...
6. Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты <*>, о чем письменно уведомляет ФАПСИ.

---

<*> Органом криптографической защиты может быть организация, структурное подразделение организации - лицензиата ФАПСИ, обладателя конфиденциальной информации. Функции органа криптографической защиты могут быть возложены на физическое лицо.

Допускается возложение функций органа криптографической защиты на специальное структурное подразделение по защите государственной тайны, использующее для этого шифровальные средства.
Количество органов криптографической защиты и их численность устанавливает лицензиат ФАПСИ.

Оно Вам надо, это углубление в суть НЕ ваших проблем?

В регламенте... образцы актов отсутствуют

В последней редакции - да, к моему личному непониманию, убрали образцы актов установки и уничтожения, почему - ??? Многие коллеги в недоумении. Есть очень большая надежда (и вероятность, имхо), что в новой версии Регламента (или новой его редакции) их вновь вернут, ибо необходимость Актов вытекает из 152 приказа ФАПСИ, а примерных форм нет - неувязочка получается...

Такое ощущение, что ФК вообще сверхсекретный орган, который даже те документы, что требуется публиковать - централизованно не публикует.

Ну давайте не будем обвинять ФК во всех грехах. Да в каждом отраслевом главке могут наворотить НПА, в которых при желании можно отыскать кучу нестыковок, а то и противоречий. В работе ФК они тоже есть, но справедливости ради надо понимать, что на казну навешали уже чуть больше чем до х.. (как совершенно правильно говорит один наш коллега) и немудрено, что возникают "нюансы" - кто не работает, тот не ошибается. (с) И ещё: много-ли можно назвать федеральных госорганов с представительствами до самых последних захудалых районов? Уверен, что пальцев одной руки даже много будет. А какой круг вопрос приходится им решать? Уж поверьте - не "узко специализированный".

УЦ ФК отказывается выпускать сертификаты для СМЭВ...

Много для каких ИС хотелось-бы получать серты на халяву через бесплатный УЦ ФК, но он имеет право выпускать только тем, что утверждены письмом ЦА ФК от 17.03.2016 № 07-04-05/11-179: moufk.roskazna.ru/upload/iblock/94d/pere...5_04_2016_ver1_.docx + для ГИС ЕСГФК (Совместное письмо Счётной Палаты и ФК от 11.05.2017 № 15-01184/07-04-0511-417).

Другим аккредитованным УЦ это нисколько не мешает и при этом все руководствуются указаниями ФСБ и ФСТЭК.

При этом нет полной уверенности, что их сертификаты 100% соответствуют последним изменениям 63-ФЗ и ещё одному наиболее важному НПА в части сертификатов - Приказу ФСБ от 27.12.2011 N 795 "Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи" . Как грится - любой каприз, но за ваши деньги, пожалуйста - обращайтесь в любые платные АУЦ, никто не запрещает.

Так как при предыдущем журнал не велся, я без понятия получали ли КриптоПро 3.6 и Континент в ФК...

Это легко установить (при желании), связавшись с соответствующим специалистом органа ФК, в котором обслуживается организация. Заодно и выяснится на каких АРМах пиратские лицензии, а на каких казначейские. И да: как правило платные УЦ лицензии выдают с ограниченным сроком действия (чтоб кормиться за счет вас через определенное время), а казначейские все бессрочные.

форма журнала как и терминология в 152 приказе - относительно абстрактны, я думаю что проверяющие ни разу не встречали ДВУХ идентично оформленных журнала в своей жизни!))

ViktorGRBS пишет: форма журнала как и терминология в 152 приказе - относительно абстрактны, я думаю что проверяющие ни разу не встречали ДВУХ идентично оформленных журнала в своей жизни!))

Таки да, НО господа-товарищи! давайте всё же про этот злосчастный Журнал не здесь, а в этой теме, пожалуйста.

Alex_04 пишет:

В регламенте... образцы актов отсутствуют

В последней редакции - да, к моему личному непониманию, убрали образцы актов установки и уничтожения, почему - ??? Многие коллеги в недоумении. Есть очень большая надежда (и вероятность, имхо), что в новой версии Регламента (или новой его редакции) их вновь вернут, ибо необходимость Актов вытекает из 152 приказа ФАПСИ, а примерных форм нет - неувязочка получается...

А мне, наоборот, новая редакция Регламента нравится больше.
Да, необходимость составления актов вытекает из приказа 152, но необходимость предоставления копий в ОКЗИ оттуда не вытекает. Это вытекало из предыдущей версии Регламента, т.е. по сути мы должны были контролировать соблюдение 152 приказа в части установки/удаления средства ЭП.
Приказ 152 для обладателей конфиденциальной информации, в том числе составление актов, никто не отменял, просто согласно последней редакции Регламента мы уже не должны контролировать его соблюдение.
И да, плохо, что нет примерных форм актов, но почему они должны быть именно в Регламенте Удостоверяющего центра, а не где-то еще?
Когда будет Регламент ОКЗИ, тогда посмотрим...

когда наступит необходимость предоставления последнего в ТОФК, достаточно показать спецу казначейства этот самый раздел формуляра - вопросов не будет.

Спасибо, доходчиво объяснили. Правда теперь еще надо формуляр поискать. На vipnet я нашел формуляры и сложил в сейф, а вот КриптоПро пока ни одного не попадалось. Хотя по ответам формуляры должны быть у пользователей, может я зря их в сейф сложил? С другой стороны, которые не приложены, я теперь могу и не найти. Со специалистом ФК свяжусь, но искать мне. Кстати, а если формуляр на "железное" СКЗИ, у кого хранить?

Оно Вам надо, это углубление в суть НЕ ваших проблем?

Вообще конечно нет, однако вот это предложение прочитать и понять приказ 152 как бы подразумевает вникание во тонкости. Или предлагаете ограничиться пониманием по принципу "наше-не наше"? Тогда придется на слово поверить что все имеют те права о которых заявляют.

примерных форм нет - неувязочка получается

Согласен, хотя это не значит, что их не потребуют при выдаче СКЗИ.

Ну давайте не будем обвинять ФК во всех грехах.

Конечно, я же не говорю что все плохие, но где-то в верхних уровнях ФК есть некие неуравновешенные личности, которые не могут изменить все что нужно сразу и на пару лет, а меняют каждый месяц по чуть-чуть. Наверно из тех, что собакам хвосты по сантиметру рубят.

И ещё: много-ли можно назвать федеральных госорганов с представительствами до самых последних захудалых районов

Вот с этим не соглашусь, ФОИВ гораздо больше чем пальцев на руках и ногах. И то что формально некоторые из них "укрупнили" и сделали межрайонные управления, сократили штат, не означает что абсолютно все мелкие отделения исчезли.

А какой круг вопрос приходится им решать? Уж поверьте - не "узко специализированный".

утверждены письмом ЦА ФК от 17.03.2016 № 07-04-05/11-179

опять же собственное решение ЦА ФК. Слов нет от таких "несоответствий".

При этом нет полной уверенности, что их сертификаты 100% соответствуют последним изменениям 63-ФЗ и ещё одному наиболее важному НПА в части сертификатов - Приказу ФСБ от 27.12.2011 N 795 "Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи"

63-ФЗ наверно соответствуют. Хотя лично у меня нет уверенности, что даже УЦ ФК соответствует приказу 795 на 100%. Не видел пока какой-либо автоматической проверки всех критериев. Длину и формат полей, наличие записи о СКЗИ и класс политики в лучшем случае проверили, остальное на совести ручной проверки УЦ.

И да: как правило платные УЦ лицензии выдают с ограниченным сроком действия (чтоб кормиться за счет вас через определенное время), а казначейские все бессрочные.

Можно подумать "бессрочная" лицензия что-то меняет, с учетом того что сертификат определенной версии СКЗИ выдают года на 3 и вся "бессрочность" ограничена этим периодом. У АУЦ тоже есть в прайсах бессрочные, только стоят они в 2 раза дороже чем годовые. Легко подсчитать что разница между 3 годовыми и "бессрочной" на 3 года по стоимости 2 годовых = стоимость одной годовой.

Про ограниченность я имел в виду другое - без лицензии КриптоПро разрешено использовать, но только для расшифровки и проверки подписи, а также соединения с сайтами не требующими авторизацию пользователя по сертификату. СКБ "Контур" включает в некоторые сертификаты расширение сертификата с "ограниченной лицензией", то есть теоретически таким сертификатом по договоренности между Контуром и КриптоПро можно подписывать и авторизовываться в информационных системах Контура, даже на компьютере без введенной лицензии КриптоПро. Практически я один раз так попробовал и не вышло, возможно версия КриптоПро не подошла. При этом по запросу могут выдать равноценную обычную годовую лицензию КриптоПро.

Спрашивается, почему УЦ ФК не может по аналогии договорится с КриптоПро и включить в свои сертификаты ограниченную лицензию для казначейских ИС.

ViktorGRBS пишет: что вы измените в формуляре?

Я не собираюсь менять, просто согласно того же формуляра установщик и документация - один дистрибутив.

two_oceans пишет:

утверждены письмом ЦА ФК от 17.03.2016 № 07-04-05/11-179

опять же собственное решение ЦА ФК.

ВНИМАНИЕ: Спойлер!

Я не говорю про халявные на левые ИС, я говорю про государственную СМЭВ, которая единственный способ интеграции с казначейской ГИС ГМП, ради которой ФК обзванивают ОМСУ и пугают ФЗ о необходимости в ней работать. Очень логично, с одной стороны грозить за не работу, а с другой отказывать в выдаче сертификатов для работы, то есть фактически принуждать к обращению в АУЦ.

Слов нет от таких "несоответствий".

Может быть, потому, что казначейство НЕ является оператором СМЭВ (в отличие от ГИС ГМП)?

two_oceans пишет:

Alex_04 пишет: утверждены письмом ЦА ФК от 17.03.2016 № 07-04-05/11-179

two_oceans пишет: опять же собственное решение ЦА ФК

Здесь неточен коллега: "не утверждены письмом", а "перечислены в письме" со ссылкой на соответствующие НПА.
Так что желающие получить сертификат для СМЭВ в УЦ ФК - сначала пусть примут соответствующий НПА.
А пока нет правовых оснований.
Есть порядок бесплатной передачи СКЗИ во временное пользование - давайте его исполнять.
Тем кому тяжело исполнять и возникает много вопросов: "Почему акты? Почему диски? Почему журналы? Почему формуляры? Почему карточки?" может проще купить себе СКЗИ?

two_oceans пишет: теперь еще надо формуляр поискать... по ответам формуляры должны быть у пользователей... если формуляр на "железное" СКЗИ, у кого хранить?

Формуляры в формате PDF д.б. записаны вместе со всей документацией на СКЗИ на том же CD-R, записанном в ТОФК. Надо лишь найти и распечатать их в количестве = числу пользователей данного СКЗИ. И да, должны храниться у этих самых пользователей СКЗИ, которые и несут персональную ответственность за используемое ими ПО СКЗИ. Но тут уж, как показывает практика, везде по разному: если юзвери не внушают доверия админу, последний хранит формуляры у себя.

предлагаете ограничиться пониманием по принципу "наше-не наше"?

Ну примерно так: кесареву - кесарево (с). Зачем выносить себе моск инфой, относящейся к ОКЗИ в том же 152-м ФАПСИ?

ФОИВ гораздо больше чем пальцев на руках и ногах. И то что формально некоторые из них "укрупнили" и сделали межрайонные управления, сократили штат, не означает что абсолютно все мелкие отделения исчезли.

Надо лишь найти и распечатать их в количестве = числу пользователей данного СКЗИ.

Хм, если только распечатать, то в формулярах будут пустые разделы по приемке. Без понятия какими данными их заполнить.

Ну, мои пользователи не столько "не внушают доверия", сколько "ни в зуб ногой" о том что они хранят. А хранят они тонны всякого бумажного хлама - обычно надо вывернуть все шкафы и пересмотреть папки чтобы найти. Все что выдавали УЦ где-то бережно хранится, хотя сроки годовых лицензий давно вышли.

А пока нет правовых оснований.

Может быть, потому, что казначейство НЕ является оператором СМЭВ (в отличие от ГИС ГМП)?

Возможно, но тогда почему нет иного способа взаимодействия с ГИС ГМП кроме СМЭВ? Риторический вопрос. Об этом гудят везде на региональных совещаниях и форумах, а ФК считает, что все просто отлично.

может проще купить себе СКЗИ?

Тоже склоняюсь к такому выводу, в АУЦ за плату, но включают в счет и спецификацию без предварительного заполнения кучи бумажек, по устному звонку. Хотя скорее всего акты установки тоже потребуют. И возврат старого комплекта, если заказать обновление с 3.6 до 4.0 вместо новой лицензии 4.0.

В целом, я понял: спрашиваю не в том месте. Вы мне отвечаете как это организовано в Вашем УФК и все ответы разные в деталях. Значит надо спрашивать детали у нашего УФК. И спрошу на форуме КриптоПро насчет тиражирования СКЗИ по соглашению с ФК (как это видится от производителя СКЗИ) и процитирую сюда. Потому что мне совсем не понятен момент с обновлением версии с сайта КриптоПро и, в частности, с заполнением раздела о приемке и заверением копий сертификатов соответствия. По поводу других сертифицированных средств (антивирусов и т.д.) производители говорят запрашивать сертификаты напрямую у них.

что они ещё дополнительно делают

Я скорее про то, что если в отделении осталось 2 человека, то они наверняка работают в том числе "за того парня", которого сократили, просто мы этого не знаем. Согласен, проехали.

two_oceans пишет: если только распечатать, то в формулярах будут пустые разделы по приемке. Без понятия какими данными их заполнить.

Этот раздел - клиенту никак: если-бы получали в ТОФК - заполнил-бы оператор (У)РЦР. Пользователи заполняют раздел 11 "Сведения о закреплении изделия при эксплуатации" (если конкретно для КриптоПро-4.0).

two_oceans пишет: ... разговаривал по телефону с СКБ "Контур" ... они мне уверенно заявили, что если у меня установлен криптопро 4.0, новый сертификат выпустят с гост-2012. Я усомнился..

Итак, сертификаты СМЭВ получили, и естественно они с гост-2001. Ну я понимаю, надеяться было глупо, сотрудницы из отдела продаж вообще не в теме.

Alex_04 пишет:

two_oceans пишет: если только распечатать, то в формулярах будут пустые разделы по приемке. Без понятия какими данными их заполнить.

Этот раздел - клиенту никак: если-бы получали в ТОФК - заполнил-бы оператор (У)РЦР.

Ясно, просто немного сами себе противоречите - чуть ранее говорили в духе "незачем искать формуляры" (а там может было заполнено), "можно просто распечатать формуляр с диска". А оказывается, надо все же найти заполненные. Хотя, шальная мысль - даже если есть некий "кризис с лицензиями" и выдают по 1 штуке, может хотя бы формуляров заполнят по количеству владельцев сертификатов. Или обязательно должно совпадать количество лицензий и заполненных формуляров? Подожду пока схлынет "смена 28 июня" и пойду спрашивать теротдел.

two_oceans пишет: просто немного сами себе противоречите...

"незачем искать формуляры" (а там может было заполнено), "можно просто распечатать формуляр с диска" - имел в виду, что если никто совсем не знает были они (формуляры) вообще или нет? (сори что неясно выразился)

шальная мысль - может хотя бы формуляров заполнят по количеству владельцев сертификатов.

Нет, ибо, как Вы сами совершенно верно написали:

обязательно должно совпадать количество лицензий и заполненных формуляров

Логика проста: на 1 комп мона поставить тока 1 крипту -> и лицензия тока 1, а раз кол-во ПО=1, то и формуляров на 1 ПО = 1.

Опять же такая логика хороша, когда выдают лицензий по количеству владельцев сертификата, а тут ссылаются на нехватку лицензий. И говорят (неофициально) что сможем же мы технически 1 номер на все компы ввести. Тут какая-то совсем другая логика напрашивается.
Что-то вроде "все равно какая лицензия, главное что ПО сертифицированное с материального носителя". Чтобы доказать нужен формуляр с заполненной приемкой. Если только один формуляр полагается, видимо ксерокопия решает вопрос в рамках такой извращенной логики.