- Сообщений: 2426
- Спасибо получено: 405
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Затрудняюсь с точным ответом, наверно в каждом УФК свои рекомендации. Возможно достаточно указывать серийный номер сертификата.levastk пишет: Как ведется учет криптоключей в журнале?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
ОТВЕТ:Пётр пишет: ВОПРОС
01. На юсб флешке оставлять старый номер 12 или нанести новый номер 40?
02. Эти номера в журнале вписываются только в колонку №1 или же ещё в какую то колонку их надо вписать?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Примерно как--то так, за искл. этого п.02, о чем как раз дальше:Пётр пишет: ... 02. Распечатал один раз формуляр и в соответствующем разделе формуляра расписался, закрепив формуляр за собой. ...
Нет, неправильно. Вместе со СКЗИ на CD из ТОФК получаете лицензии на СКЗИ по числу компьютеров пользователей СКЗИ. А это значит, что формуляры на СКЗИ привязаны к числу компов, на которые оно установлено. т.е. сколько компов со СКЗИ - столько распечаток формуляров, в каждом из которых прописывается конкретный пользователь (а не 1 козел отпущения в лице ИТ-спеца), несущий ответственность за эксплуатацию СКЗИ с указанным в лицензии номером.2 ... своим сотрудникам, при установке на их компьютеры программ СКЗИ, я формуляры не распечатываю и сотрудники нигде в формулярах не расписываются. Формуляр идет строгой привязкой к дистрибутиву на носителе, а не к факту установки на компьютер.?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Приказом назначается админ ИБ, а ведение данного журнала - это уже его обязанность в соответствии с приказом ФАПСИ. По большому счету, если раньше не было приказа об АИБ, то журнал все-равно кто-то д.б. вести, но не будем углубляться - не вижу смысла толочь воду в ступе, выясняя причины его неведения.alax1 пишет: 1. Может ли журнал заводиться на основе приказа
ИМХО, исходя из выше написанного сугубо моего мнения (не факт, что правильного) - в журнале ставить реальные даты (или хотя-бы близкие к ним) получения или действий со СКЗИ, ключевыми носителями и т.п.2. Как лучше поступить если ключевые носители СКЗИ уже используются а журнал заводится только сейчас?
Да, речь о каждом пользователе СКЗИ, на компе которого оно установлено. Основание - приказы о наделением правом электронной подписи или работы со СКЗИ в том-то и там-то и т.п., в которых отдельным пунктом можно указать что-то подобное этому:3. В формуляре на СКЗИ есть графы Номер и дата приказа о назначении ответственного за эксплуатацию СКЗИ. Речь идет о пользователе СКЗИ? Нет ли примеров этих приказов?
3. Указанные в пунктах 1-2 настоящего приказа (распоряжения или постановления) уполномоченные лица несут персональную ответственность за:
• сохранение в тайне конфиденциальной информации, ставшей им известной в процессе электронного документооборота между НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ и Управлением Федерального казначейства по ...;
• сохранение в тайне закрытых ключей проверки электронной подписи и иной ключевой информации;
• соблюдение правил эксплуатации средств АРМ ППО СУФД-online, средств проверки электронной подписи и средств криптографической защиты информации.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Alex_04 пишет: Приказом назначается админ ИБ, а ведение данного журнала - это уже его обязанность в соответствии с приказом ФАПСИ. По большому счету, если раньше не было приказа об АИБ, то журнал все-равно кто-то д.б. вести, но не будем углубляться - не вижу смысла толочь воду в ступе, выясняя причины его неведения.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Не знаю как в других УФК, но в нашем ТОФК раньше требовали 1 общий приказ о назначении админа ИБ и на каждую систему/программу отдельные. По новому Регламенту УЦ ФК копии приказов больше не предоставляются в ТОФК, но клиентам все же рекомендую их делать или обновлять для внутреннего пользования - мало кто вздумает их проверить?alax1 пишет: Должен ли еще быть общий приказ или для каждой системы ( у нас еще есть банк-клиенты с ключами) издается отдельный приказ, или нужен и общий приказ о назначении АИБ и отдельные приказы по каждой системе?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Учитывая что ключи для работы с казначейством генерируются в организации по идее организация должна для этого получать лицензию ФСБ1.Для того что бы создавать ключи и распространять ключевую информацию должен быть создан орган криптографической защиты информации. Для разработки и осуществления мероприятий по организации и обеспечению безопасности конфиденциальной информации с использованием СКЗИ создается орган криптографической защиты. Орган криптографической защиты создается только лицензиатом
Основание: (п. 6 приказа ФАПСИ № 152).
2.Орган криптографической защиты осуществляет:
разработку мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, а также в соответствии с эксплуатационной и технической документацией к этим средствам;
поэкземплярный учет, используемых СКЗИ, эксплуатационной и технической документации к ним;
Изготовление из исходной ключевой информации ключевых документов, их распределение, рассылку и учет;
Основание: (п. 7 приказа ФАПСИ № 152).
3.Для изготовления и распространения ключевой информации необходимо получить лицензию.
Основание п.28 Приложения к Положению о лицензировании, утв. Постановление правительства от 16 апреля 2012 г. N 313 (См. Перечень работ и услуг требующих лицензии ФСБ).
4.Если организация не является лицензиатом ФСБ (не создан орган криптозащиты и не осуществляет соответствующие работы), а является только обладателем конфиденциальной информации, то достаточно только ведение журнала (для обладателя конфиденциальной информации).
Основание: (п.26 приказа ФАПСИ № 152)
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Да - просить "бумажку" и на континент TLS. Если сразу не записали на диск и Jinn (?!) - пусть TLS хотя-бы пишут. Вообще довольно "странно" мягко говоря была произведена выдача...alax1 пишет: как быть с Continent_TLS_Client если на него нет никакой бумаги - попросить сооотв. бумагу в нашем территориальном казначействе? Для Continent_TLS_Client нужно создавать отдельный диск с номером?
Имхо - не учитывать, т.к. это плагины, не требующие лицензирования, не заморачиваюсь на счет них.3. В некоторых системах (например закупках) компоненты формирования электронной подписи скачиваются прямо с сайта. Их можно не учитывать в журнале?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Приведенное Вами касается Органа криптографической защиты информации, коим является, в частности, Отдел режима секретности и безопасности информации УФК! Вы работаете в ОРСиБИ? Если нет - ложитесь спасть спокойно, пока крышу окончательно не снесло от журналистики...alax1 пишет: Читаю про журналы и чем дальше тем печальнее. Из обсуждения ведения журналов на сайте Крипто-про - сообщение № 69 - www.cryptopro.ru/forum2/default.aspx?g=posts&t=3810&p=4
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Нет, длинный лицензионный номер (с тире который) не надо светить ни в Журнале, ни в Акте установки - это конфиденциальная информация.alax1 пишет: Вопрос - в карточки на СКЗИ выданной в казначействе указано номер лицензии. Нужно ли его указывать в этой колонке?
ИМХО:Вопрос по колонкам №№ 7 и 8. Здесь должен указываться сотрудник которому в конечном счете установлена ПО и дата передачи ПО сотруднику совпадающая с датой установки или ФИО сотрудника который получил ПО в казначействе и дата получения ПО в казначействе?
Да, все правильно.Правильно ли я понимаю что карточка учета СКЗИ и диск с дистрибутивом, акт установки хранится у администратора безопасности в сейфе а у сотрудника на АРМ которого установлено СКЗИ хранится формуляр на СКЗИ с заполненной записью об установке?
Не знаю правильно-ли делаю, но каждую установку СКЗИ не записываю в Журнал - зачем, если они оформляются Актом? У пользователя хранятся формуляр и карточка учета, раз в ней его подпись в получении.На каждое СКЗИ при его установки оформляется запись в журнале учета, акт, формуляр, получается карточка учета СКЗИ и все или что-то еще?
то в гр.6 указываете реквизиты официального письма вашей организации с просьбой о его приобретении у них, в гр.5 - наименование данной фирмы. Вообще данный журнал ведется не для учета только казначейских СКЗИ и т.п. - ЛЮБОГО от ЛЮБОЙ организации.Если СКЗИ приобретается у коммерческой фирмы...
Ведется он в соответствии с Инструкцией по делопроизводству, утвержденной в вашей организации, если ее нет - в соответствии с типовыми рекомендациями по ведению делопроизводства. Это надо погуглить в инете. Везде м.б. свои "нюансы", могу и ошибаться, но обычно в конце каждого года листы журналов складываются в обычный скоросшиватель, прошиваются, нумеруются и заверяются на последней странице печатью и подписью специалиста с правом заверения.В каком виде должен оформляться журнал? Могут ли это быть листы в пружинной папке или это должен быть сшитый журнал? Нужно ли где-то ставить печати организации при его заведении?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Подробнее...