Требования ФСБ к СКЗИ - Форум по вопросам информационной безопасности

для Salder | 60266

Чревато, если есть запрет в нормативных документах. (ГТ, например)

a-s-grif

Мне кажется, что для КИ такого не имеется?
А флешки, которые используются как как ключевые документы ЭП так и вообще предполагают использование при подписании документа ЭП и теоретически это может быть документ как в рамках ИС, так и за её пределами.

Нет?

Для КИ скорее всего нет. Но можете составить любой дополняемый перечень АС для контролирующих.

Здравствуйте!
Помогите, пожалуйста, разобраться с требованиями к хранению СКЗИ в помещениях.
Согласно требованиям ФСБ № 149/6/6-622 "4.8. Для хранения ключевых документов, эксплуатационной и технической документации, инсталлирующих криптосредства носителей должно быть предусмотрено необходимое число надежных металлических хранилищ..."
Для каждого пользователя, имеющего токен, нужен отдельный сейф?
Если так, то они обязательно должны быть металлическими?

to Николай
Приветствую! В общем случае исполняйте требования, приведенные в формуляре на каждое конкретное применяемое СКЗИ. Для СКЗИ КС1 встречал "хранение в металлическом сейфе или опечатанном шкафу ответственного лица". В сущности, необходима организационная политика, при которой имеется лицо (лица), ответственное(ые) за выдачу/прием СКЗИ, генерацию ключей и т.д. Вот ему пользователи должны сдавать с отметкой в журнале свои токены по окончании работы с ними. Именно в его сейфе/шкафу должны храниться токены и документация на применяемые СКЗИ + проч. документация по системе защиты. Но тут возможны отклонения в процессе, которые продиктованы все теми же формулярами на конкретные СКЗИ.

Николай
""необходимое число" определяется оргмерами. Например, одно металлическое хранилище ответственного с опечатанными личной печатью пользователей пеналами с СКЗИ.
Кстати, на память токены позволительно носить с собой, но это нужно точно прочитать формуляр и сертификат. Плюс требования ФСБ именно к хранению содержисого токена (т.е. что за файлы)

Oko, Практик, спасибо большое за ответы!
Тоесть, если нет противоречий в формулярах, то возможно использовать на одну ИСПДН один сейф (ответственного пользователя) и личные пеналы с пломбирами.
И насчет учета ключей/дубликатов. Если я правильно понял, то дубликаты ключей от РП и сейфа ответственного пользователя хранятся у оператора, а их оригиналы хранятся у дежурного, который их выдает/собирает под роспись в соответствующем журнале.

Николай,

Согласен.
Только кто такой "оператор"? Формально это юр лицо (лицензиат), тогда его руководитель (директор, начальник) и будет ответственным за дубликаты. Но он может, например, сам опечатать конверт или пенал с дубликатами, и перепоручить хранение секретарю, РСП и пр
Главное, оговорить перечень ситуаций и документов для внепланового вскрытия (обычная инструкция под роспись. Думаю, отдельный журнал не нужен, хватит комиссионных актов вскрытия при пользовании дубликата - не часто нужно).
Кстати, вполне стыкуется с традиционными ФСБшными процедурами, пришедшими из ГТ
Но очень полезно согласовать (хотя бы устно) с лицензиаром - у его сотрудников бывает "художественное видение", а спорить с ними очень трудно, обычно проще в разумных пределах откорректировать

Николай | 60295

"Согласно требованиям ФСБ № 149/6/6-622..."

Руководствоваться теперь нужно приказом ФСБ № 378 от 10 июля 2014 года, а не типовыми требованиями № 149/6/6-622.
В одном из блогов по ИБ (Артема Агеева) был приведен официальный ответ 8 Центра ФСБ на запрос о применении типовых требований и методических рекомендаций ФСБ 2008 года после выхода 378 приказа, где было четно написано, что эти 2 документа применять более не следует.

Оргмеры описаны в Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну
(приказ ФАПСИ от 13.06.2001 № 152)

Обязательна к исполнению наряду с приказом ФСБ № 378 (только для ИСПД).

Автор: Игорь | 60310 21.12.2015 09:40
Николай | 60295

"Согласно требованиям ФСБ № 149/6/6-622..."

Руководствоваться теперь нужно приказом ФСБ № 378 от 10 июля 2014 года, а не типовыми требованиями № 149/6/6-622.
В одном из блогов по ИБ (Артема Агеева) был приведен официальный ответ 8 Центра ФСБ на запрос о применении типовых требований и методических рекомендаций ФСБ 2008 года после выхода 378 приказа, где было четно написано, что эти 2 документа применять более не следует.