Контакты
Подписка
МЕНЮ
Контакты
Подписка

Сертифицированный носитель ключа ЭП - Форум по вопросам информационной безопасности

Сертифицированный носитель ключа ЭП - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2

Автор: Михаил , ООО Лаборатория безопасности бизнеса | 33932 16.01.2012 15:03
Уточнение по п.п.5

Поэтому и начали искать документальное подтверждение на разрешение использования несертифицированных носителей в системе электронного документооборота на ЭТП.

Автор: Михаил, ООО Лаборатория безопасности бизнеса | 33934 16.01.2012 15:46
Ставим вопрос по другому :

1. Каким документом запрещено использование несертифицированных носителей ключа ЭП в государственных системах электронного документооборота ?

или

2. Каким документом разрешено использование несертифицированных носителей ключа ЭП в государственных системах электронного документооборота ?


Ответ прошу в виде: номер, дата документа и его наименование .

Автор: Прохожий | 33948 16.01.2012 20:14
2 Михаил, ООО Лаборатория безопасности бизнеса 33934
Развели турусы на колесах.
Читайте нормы ну или разжевалки и не изобретайте новых правил от себя.

Приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну"

Зарегистрирован в Минюсте РФ 6 августа 2001 г.Регистрационный N 2848
Настоящий приказ вступает в силу по истечении 10 дней после дня его официального опубликования Текст приказа опубликован в Бюллетене нормативных актов федеральных органов исполнительной власти от 20 августа 2001 г., N 34

III. Порядок обращения с СКЗИ и криптоключами к ним. Мероприятия при компрометации криптоключей*(10)
24. Для организации и обеспечения безопасности хранения, обработки и передачи по каналам связи конфиденциальной информации следует использовать СКЗИ, позволяющие реализовать принцип абонентского шифрования и предусматривающие запись криптоключей на электронные ключевые носители многократного (долговременного) использования (дискеты, компакт-диски (CD-ROM), Data Key, Smart Card, Touch Memory и т.п.).
46. Разовые ключевые носители, а также электронные записи ключевой информации, соответствующей выведенным из действия криптоключам, непосредственно в СКЗИ или иных дополнительных устройствах уничтожаются пользователями этих СКЗИ самостоятельно под расписку в техническом (аппаратном) журнале.
Ключевые документы уничтожаются либо пользователями СКЗИ, либо сотрудниками органа криптографической защиты под расписку в соответствующих журналах поэкземплярного учета, а уничтожение большого объема ключевых документов может быть оформлено актом. При этом пользователям СКЗИ разрешается уничтожать только использованные непосредственно ими (предназначенные для них) криптоключи. После уничтожения пользователи СКЗИ должны уведомить об этом (телефонограммой, устным сообщением по телефону и т.п.) соответствующий орган криптографической защиты для списания уничтоженных документов с их лицевых счетов. Не реже одного раза в год пользователи СКЗИ должны направлять в орган криптографической защиты письменные отчеты об уничтоженных ключевых документах.

V. Контроль за организацией и обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации

67. Контроль за организацией и обеспечением безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации - государственный контроль осуществляют федеральные органы правительственной связи и информации*
(Теперь ФСО-ФСБ после упразднения ФАПСИ).
В ходе государственного контроля изучаются и оцениваются:
организация безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации;
достигнутый уровень криптографической защиты конфиденциальной информации;
условия использования СКЗИ.

Вот контролеры и могут предложить дополнительные меры если основных мер недостаточно.

http://www.rcb.ru/dep/2007-04/8318/
Возможность использовать не сертифицированные средства подтверждена в Положении о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (ПКЗ-2005), утвержденном Приказом Федеральной службы безопасности РФ от 9 февраля 2005 г. № 66, п. 8 которого гласит, что "при организации обмена информацией, доступ к которой ограничивается по решению обладателя, пользователя (потребителя) данной информации, собственника (владельца) информационных ресурсов (информационных систем), не являющихся организациями, выполняющими государственные заказы, или уполномоченными ими лицами (за исключением информации, содержащей сведения, к которым в соответствии с законодательством Российской Федерации не может быть ограничен доступ), необходимость ее криптографической защиты и выбор применяемых СКЗИ определяются соглашениями между участниками обмен".
Таким образом, если организуют электронный документооборот путем создания корпоративной информационной системы, то организатор ЭДО вправе самостоятельно определить, будет он использовать в своей системе СКЗИ, и если да, то сертифицированные или нет.
Прохождение процедуры сертификации СКЗИ позволяет участнику ЭДО с большей долей вероятности получить продукт, отвечающий принятым к уровню безопасности требованиям.
При этом надежность СКЗИ подтверждена уполномоченным государственным органом власти, в то время как для несертифицируемых средств гарантом надежности системы выступает только сам ее разработчик.
Однако необходимо отметить, что отсутствие такого сертификата не всегда означает, что СКЗИ предоставляет низкий или недостаточный уровень защиты передаваемой информации.
Вне зависимости от наличия или отсутствия сертификата качественная и надежная работа СКЗИ, кроме всего пр

Автор: Прохожий | 33949 16.01.2012 20:17
далее..

http://www.rcb.ru/dep/2007-04/8318/

Вне зависимости от наличия или отсутствия сертификата качественная и надежная работа СКЗИ, кроме всего прочего, зависит от корректной интеграции средства в систему ЭДО.

На портале ГОСУСЛУГИ используют интернет протокол который ни разу не сертифицирован - накажите их за это!!!!

Норм всего пяток - перечитайте их заново и сами решите для себя вам шашечки или ехать
Пока явного запрета нет, но...
я лично запретил бы.
(частное мнение не носящее форму нормы***)

Автор: Михаил, ООО Лаборатория безопасности бизнеса | 33950 16.01.2012 20:21
Для Прозожего.

1.Написал много и одновременно ничего нового.

2.На данный момент следует вывод , что документа определяющего использование сертифицированных носителей ключа ЭП в СЭД на электронных площадках ждя гос.и мун.нужд НЕТ .
Прошло несколько лет

Автор: Анатолий | 65099 26.08.2016 06:46
Нужен ли "журнал учета СКЗИ", если в организации есть только ключи ЭП и ВипНет Клиент?
Если да, то нужно ли регистрировать в "журнале учета СКЗИ" ВипНет?

Автор: Работник холдинга | 65106 26.08.2016 21:14
Анатолий | 65099

Если вы сами купили дистрибутив - нужно учитывать. Если дистрибутив вам передала сторонняя или вышестоящая организация, то вы - конечный пользователь, а учёт ведёт окз этой организации. В любом случае у вас должен быть документ подтверждающий легальность получения дистрибутива (накладная, акт приема-передачи и т.п.). И конечно вы аккуратно ведёте тех журнал установки СКЗИ.
Прошла пара лет

Автор: Сергей | 93018 13.05.2018 13:25
Когда речь идёт о сертифицированных носителях ключей ЭП, то про какой сертификат идёт речь, про ФСБ или ФСТЭК. Вопроос возник из-за того, что разные сертифицированные носители имеют разные(ФСБ или ФСТЭК) сертификаты, а какие-то имею оба сертификата.

Хочется понять каким сертификатом должен обладать сертифицированный носитель ключевой информация для использования его под хранение ключей электронной подписи.

Страницы: < 1 2

Просмотров темы: 14529

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*