- Сообщений: 2426
- Спасибо получено: 405
Имхо - как раз таки вся работа по выдаче и получению СКЗИ с лицензиями тесно связана именно с этим любимым журналом.two_oceans пишет: Про журнал вопрос не стоит...
Далеко не так. Конкретно в части СКЗИ деятельность ФК основана на строгом исполнении Приказа ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечения безопасного хранения, обработки и передачипо каналам связи с использованием средств криптографической защиты информации с ограниченным доступом,не содержащей сведений, составляющих государственную тайну" . ЭТО основа, на которой строятся внутренние НПА казначейства в части СКЗИ.Дела внутри ФК регламентируются всевозможными внутренними НПА/инструкциями... порой впечатление, что внутренние НПА либо частично противоречат закону либо просто слишком много на себя берут и регламентируют в отношении других организации то, на что полномочий у ФК нет.
Почитать выше указанную Инструкцию придется. Да, она не проста для понимания. В ней регламентированы работы как органов криптозащиты, что входят в состав УФК, так и обычных владельцев СКЗИ организаций.Все же я не понимаю... Как-то нет единой и ясной последовательности действий.
Ну и следующие разделы данной Инструкции тоже очень немаловажны.II. Организация и обеспечение безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации
...
8. Обладатели конфиденциальной информации, если они приняли решение о необходимости криптографической защиты такой информации или если решение о необходимости ее криптографической защиты в соответствии с Положением ПКЗ-99 принято государственными органами или государственными организациями, обязаны выполнять указания соответствующих органов криптографической защиты по всем вопросам организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации.
...
20. Пользователи СКЗИ обязаны: ...
...
III. Порядок обращения с СКЗИ и криптоключами к ним. Мероприятия при компрометации криптоключей
...
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Я имел ввиду, что в журнале однозначно регистрируем, а вот таскать ли каждый акт в ФК при смене железа? Сомневаюсь, что Приказ 152 ответит, скорее уж зависит с какой ноги встали в УФК. Так что Вы мне сейчас ответили совсем про другое.Alex_04 пишет:
Имхо - как раз таки вся работа по выдаче и получению СКЗИ с лицензиями тесно связана именно с этим любимым журналом.two_oceans пишет: Про журнал вопрос не стоит...
Давненько ее читал (2 с хвостиком года назад, когда журнал планировал нормально завести), может чего-то не помню. Согласен, какие-то процедуры там указаны. Не принимая во внимание в целом трудный для понимания слог которым пишутся нормативные документы, и специфическую терминологию информационной безопасности, там вообще нет конкретных наименований, вот кто эти процитированные "органы криптозащиты". Кто и каким актом наделил какие-то подразделения ФК выступать в качестве "органов криптозащиты"? На этот вопрос тоже приказ не ответит. Заходим в раздел УЦ на сайте ФК видим там кучу версий регламента УЦ и ссылку на положение о ФК от 2004 года, наделяющее полномочиями удостоверяющего центра, самого положения тут не приведено. Несколько не очевидно, скорее уж орган криптозащиты может выполнять функцию УЦ, но про функцию органа криптозащиты не сказано. В регламенте об этом не вижу ни слова. Про выдачу СКЗИ есть, но заявления на выдачу, образцы актовAlex_04 пишет: Далеко не так. Конкретно в части СКЗИ деятельность ФК основана на строгом исполнении Приказа ФАПСИ от 13 июня 2001 г. N 152....Почитать выше указанную Инструкцию придется. Да, она не проста для понимания. В ней регламентированы работы как органов криптозащиты, что входят в состав УФК, так и обычных владельцев СКЗИ организаций.
Спасибо. Опять же я это еще 2 с лишним года назад выяснил. Или даже 4 года назад когда перечитывал тему про журнал на этом форуме после увольнения предыдущего администратора ИБ в организации. С того времени от ФК СКЗИ не запрашивали. Так как при предыдущем журнал не велся, я без понятия получали ли КриптоПро 3.6 и Континент в ФК, версии КриптоПро на всех компьютерах были разные, тем не менее на одном компьютере была бессрочная лицензия. Однако пиратская или ФКшная или другого УЦ неизвестно. Скорее всего первое - потому что к 3.6.7777 попала в черный список, но вдруг ее вернуть надо (опять же неизвестно чего возвращать, не говоря уж о том что тот компьютер заменили, да и вообще с тех пор инвентарные номера меняли). Годовые были от других УЦ, благополучно истекли. Сейчас от других УЦ все также есть ограниченные лицензии КриптоПро (внедренные в сертификат), хотя карточки давно не запрашивали.Alex_04 пишет: Типовая форма Журнала учета СКЗИ для пользователей приведена в приложении № 2.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Имхо - нет. Но на случай совместной проверки организации со стороны ОРСиБИ УФК и ФСБ (имеют право и могут) для внутреннего пользования т.с. лучше сделать Акты уничтожения СКЗИ на старом и Акты установки СКЗИ на новом АРМ. А движение СКЗИ д.б. отражено в соответствующем разделе Формуляра ОБЯЗАТЕЛЬНО. При несовпадении данных АРМ в Актах установки и уничтожения СКЗИ, когда наступит необходимость предоставления последнего в ТОФК, достаточно показать спецу казначейства этот самый раздел формуляра - вопросов не будет.two_oceans пишет: таскать ли каждый акт в ФК при смене железа?
Имхо - владельцам СКЗИ это так критично вникать в тонкости взаимоотношений между ФАПСИ и органами криптозащиты? У них там своя взаимная любовь, основанная на междусобойных НПА, кстати о чем четко сказано в том же 152 приказе:вот кто эти процитированные "органы криптозащиты". Кто и каким актом наделил какие-то подразделения ФК выступать в качестве "органов криптозащиты"? На этот вопрос тоже приказ не ответит.
Оно Вам надо, это углубление в суть НЕ ваших проблем?II. Организация и обеспечение безопасности
хранения, обработки и передачи по каналам связи
с использованием СКЗИ конфиденциальной информации
...
6. Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты <*>, о чем письменно уведомляет ФАПСИ.
<*> Органом криптографической защиты может быть организация, структурное подразделение организации - лицензиата ФАПСИ, обладателя конфиденциальной информации. Функции органа криптографической защиты могут быть возложены на физическое лицо.
Допускается возложение функций органа криптографической защиты на специальное структурное подразделение по защите государственной тайны, использующее для этого шифровальные средства.
Количество органов криптографической защиты и их численность устанавливает лицензиат ФАПСИ.
В последней редакции - да, к моему личному непониманию, убрали образцы актов установки и уничтожения, почему - ??? Многие коллеги в недоумении. Есть очень большая надежда (и вероятность, имхо), что в новой версии Регламента (или новой его редакции) их вновь вернут, ибо необходимость Актов вытекает из 152 приказа ФАПСИ, а примерных форм нет - неувязочка получается...В регламенте... образцы актов
отсутствуют
Ну давайте не будем обвинять ФК во всех грехах. Да в каждом отраслевом главке могут наворотить НПА, в которых при желании можно отыскать кучу нестыковок, а то и противоречий. В работе ФК они тоже есть, но справедливости ради надо понимать, что на казну навешали уже чуть больше чем до х.. (как совершенно правильно говорит один наш коллега) и немудрено, что возникают "нюансы" - кто не работает, тот не ошибается. (с) И ещё: много-ли можно назвать федеральных госорганов с представительствами до самых последних захудалых районов? Уверен, что пальцев одной руки даже много будет. А какой круг вопрос приходится им решать? Уж поверьте - не "узко специализированный".Такое ощущение, что ФК вообще сверхсекретный орган, который даже те документы, что требуется публиковать - централизованно не публикует.
Много для каких ИС хотелось-бы получать серты на халяву через бесплатный УЦ ФК, но он имеет право выпускать только тем, что утверждены письмом ЦА ФК от 17.03.2016 № 07-04-05/11-179: moufk.roskazna.ru/upload/iblock/94d/pere...5_04_2016_ver1_.docx + для ГИС ЕСГФК (Совместное письмо Счётной Палаты и ФК от 11.05.2017 № 15-01184/07-04-0511-417).УЦ ФК отказывается выпускать сертификаты для СМЭВ...
При этом нет полной уверенности, что их сертификаты 100% соответствуют последним изменениям 63-ФЗ и ещё одному наиболее важному НПА в части сертификатов - Приказу ФСБ от 27.12.2011 N 795 "Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи" . Как грится - любой каприз, но за ваши деньги, пожалуйста - обращайтесь в любые платные АУЦ, никто не запрещает.Другим аккредитованным УЦ это нисколько не мешает и при этом все руководствуются указаниями ФСБ и ФСТЭК.
Это легко установить (при желании), связавшись с соответствующим специалистом органа ФК, в котором обслуживается организация. Заодно и выяснится на каких АРМах пиратские лицензии, а на каких казначейские. И да: как правило платные УЦ лицензии выдают с ограниченным сроком действия (чтоб кормиться за счет вас через определенное время), а казначейские все бессрочные.Так как при предыдущем журнал не велся, я без понятия получали ли КриптоПро 3.6 и Континент в ФК...
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Таки да, НО господа-товарищи! давайте всё же про этот злосчастный Журнал не здесь, а в этой теме, пожалуйста.ViktorGRBS пишет: форма журнала как и терминология в 152 приказе - относительно абстрактны, я думаю что проверяющие ни разу не встречали ДВУХ идентично оформленных журнала в своей жизни!))
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
А мне, наоборот, новая редакция Регламента нравится больше.Alex_04 пишет:
В последней редакции - да, к моему личному непониманию, убрали образцы актов установки и уничтожения, почему - ??? Многие коллеги в недоумении. Есть очень большая надежда (и вероятность, имхо), что в новой версии Регламента (или новой его редакции) их вновь вернут, ибо необходимость Актов вытекает из 152 приказа ФАПСИ, а примерных форм нет - неувязочка получается...В регламенте... образцы актов
отсутствуют
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Спасибо, доходчиво объяснили. Правда теперь еще надо формуляр поискать. На vipnet я нашел формуляры и сложил в сейф, а вот КриптоПро пока ни одного не попадалось. Хотя по ответам формуляры должны быть у пользователей, может я зря их в сейф сложил? С другой стороны, которые не приложены, я теперь могу и не найти. Со специалистом ФК свяжусь, но искать мне. Кстати, а если формуляр на "железное" СКЗИ, у кого хранить?когда наступит необходимость предоставления последнего в ТОФК, достаточно показать спецу казначейства этот самый раздел формуляра - вопросов не будет.
Вообще конечно нет, однако вот это предложение прочитать и понять приказ 152 как бы подразумевает вникание во тонкости. Или предлагаете ограничиться пониманием по принципу "наше-не наше"? Тогда придется на слово поверить что все имеют те права о которых заявляют.Оно Вам надо, это углубление в суть НЕ ваших проблем?
Согласен, хотя это не значит, что их не потребуют при выдаче СКЗИ.примерных форм нет - неувязочка получается
Конечно, я же не говорю что все плохие, но где-то в верхних уровнях ФК есть некие неуравновешенные личности, которые не могут изменить все что нужно сразу и на пару лет, а меняют каждый месяц по чуть-чуть. Наверно из тех, что собакам хвосты по сантиметру рубят.Ну давайте не будем обвинять ФК во всех грехах.
Вот с этим не соглашусь, ФОИВ гораздо больше чем пальцев на руках и ногах. И то что формально некоторые из них "укрупнили" и сделали межрайонные управления, сократили штат, не означает что абсолютно все мелкие отделения исчезли.И ещё: много-ли можно назвать федеральных госорганов с представительствами до самых последних захудалых районов
А какой круг вопрос приходится им решать? Уж поверьте - не "узко специализированный".
опять же собственное решение ЦА ФК.утверждены письмом ЦА ФК от 17.03.2016 № 07-04-05/11-179
63-ФЗ наверно соответствуют. Хотя лично у меня нет уверенности, что даже УЦ ФК соответствует приказу 795 на 100%. Не видел пока какой-либо автоматической проверки всех критериев. Длину и формат полей, наличие записи о СКЗИ и класс политики в лучшем случае проверили, остальное на совести ручной проверки УЦ.При этом нет полной уверенности, что их сертификаты 100% соответствуют последним изменениям 63-ФЗ и ещё одному наиболее важному НПА в части сертификатов - Приказу ФСБ от 27.12.2011 N 795 "Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи"
Можно подумать "бессрочная" лицензия что-то меняет, с учетом того что сертификат определенной версии СКЗИ выдают года на 3 и вся "бессрочность" ограничена этим периодом. У АУЦ тоже есть в прайсах бессрочные, только стоят они в 2 раза дороже чем годовые. Легко подсчитать что разница между 3 годовыми и "бессрочной" на 3 года по стоимости 2 годовых = стоимость одной годовой.И да: как правило платные УЦ лицензии выдают с ограниченным сроком действия (чтоб кормиться за счет вас через определенное время), а казначейские все бессрочные.
Я не собираюсь менять, просто согласно того же формуляра установщик и документация - один дистрибутив.ViktorGRBS пишет: что вы измените в формуляре?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Может быть, потому, что казначейство НЕ является оператором СМЭВ (в отличие от ГИС ГМП)?two_oceans пишет:
опять же собственное решение ЦА ФК.утверждены письмом ЦА ФК от 17.03.2016 № 07-04-05/11-179
Слов нет от таких "несоответствий".ВНИМАНИЕ: Спойлер!Я не говорю про халявные на левые ИС, я говорю про государственную СМЭВ, которая единственный способ интеграции с казначейской ГИС ГМП, ради которой ФК обзванивают ОМСУ и пугают ФЗ о необходимости в ней работать. Очень логично, с одной стороны грозить за не работу, а с другой отказывать в выдаче сертификатов для работы, то есть фактически принуждать к обращению в АУЦ.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Здесь неточен коллега: "не утверждены письмом", а "перечислены в письме" со ссылкой на соответствующие НПА.two_oceans пишет:
Alex_04 пишет: утверждены письмом ЦА ФК от 17.03.2016 № 07-04-05/11-179
two_oceans пишет: опять же собственное решение ЦА ФК
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Формуляры в формате PDF д.б. записаны вместе со всей документацией на СКЗИ на том же CD-R, записанном в ТОФК. Надо лишь найти и распечатать их в количестве = числу пользователей данного СКЗИ. И да, должны храниться у этих самых пользователей СКЗИ, которые и несут персональную ответственность за используемое ими ПО СКЗИ. Но тут уж, как показывает практика, везде по разному: если юзвери не внушают доверия админу, последний хранит формуляры у себя.two_oceans пишет: теперь еще надо формуляр поискать... по ответам формуляры должны быть у пользователей... если формуляр на "железное" СКЗИ, у кого хранить?
Ну примерно так: кесареву - кесарево (с). Зачем выносить себе моск инфой, относящейся к ОКЗИ в том же 152-м ФАПСИ?предлагаете ограничиться пониманием по принципу "наше-не наше"?
ФОИВ гораздо больше чем пальцев на руках и ногах. И то что формально некоторые из них "укрупнили" и сделали межрайонные управления, сократили штат, не означает что абсолютно все мелкие отделения исчезли.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Хм, если только распечатать, то в формулярах будут пустые разделы по приемке. Без понятия какими данными их заполнить.Надо лишь найти и распечатать их в количестве = числу пользователей данного СКЗИ.
А пока нет правовых оснований.
Возможно, но тогда почему нет иного способа взаимодействия с ГИС ГМП кроме СМЭВ? Риторический вопрос. Об этом гудят везде на региональных совещаниях и форумах, а ФК считает, что все просто отлично.Может быть, потому, что казначейство НЕ является оператором СМЭВ (в отличие от ГИС ГМП)?
Тоже склоняюсь к такому выводу, в АУЦ за плату, но включают в счет и спецификацию без предварительного заполнения кучи бумажек, по устному звонку. Хотя скорее всего акты установки тоже потребуют. И возврат старого комплекта, если заказать обновление с 3.6 до 4.0 вместо новой лицензии 4.0.может проще купить себе СКЗИ?
Я скорее про то, что если в отделении осталось 2 человека, то они наверняка работают в том числе "за того парня", которого сократили, просто мы этого не знаем. Согласен, проехали.что они ещё дополнительно делают
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Этот раздел - клиенту никак: если-бы получали в ТОФК - заполнил-бы оператор (У)РЦР. Пользователи заполняют раздел 11 "Сведения о закреплении изделия при эксплуатации" (если конкретно для КриптоПро-4.0).two_oceans пишет: если только распечатать, то в формулярах будут пустые разделы по приемке. Без понятия какими данными их заполнить.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Итак, сертификаты СМЭВ получили, и естественно они с гост-2001. Ну я понимаю, надеяться было глупо, сотрудницы из отдела продаж вообще не в теме.two_oceans пишет: ... разговаривал по телефону с СКБ "Контур" ... они мне уверенно заявили, что если у меня установлен криптопро 4.0, новый сертификат выпустят с гост-2012. Я усомнился..
Ясно, просто немного сами себе противоречите - чуть ранее говорили в духе "незачем искать формуляры" (а там может было заполнено), "можно просто распечатать формуляр с диска". А оказывается, надо все же найти заполненные. Хотя, шальная мысль - даже если есть некий "кризис с лицензиями" и выдают по 1 штуке, может хотя бы формуляров заполнят по количеству владельцев сертификатов. Или обязательно должно совпадать количество лицензий и заполненных формуляров? Подожду пока схлынет "смена 28 июня" и пойду спрашивать теротдел.Alex_04 пишет:
Этот раздел - клиенту никак: если-бы получали в ТОФК - заполнил-бы оператор (У)РЦР.two_oceans пишет: если только распечатать, то в формулярах будут пустые разделы по приемке. Без понятия какими данными их заполнить.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
"незачем искать формуляры" (а там может было заполнено), "можно просто распечатать формуляр с диска" - имел в виду, что если никто совсем не знает были они (формуляры) вообще или нет? (сори что неясно выразился)two_oceans пишет: просто немного сами себе противоречите...
Нет, ибо, как Вы сами совершенно верно написали:шальная мысль - может хотя бы формуляров заполнят по количеству владельцев сертификатов.
Логика проста: на 1 комп мона поставить тока 1 крипту -> и лицензия тока 1, а раз кол-во ПО=1, то и формуляров на 1 ПО = 1.обязательно должно совпадать количество лицензий и заполненных формуляров
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Подробнее...