25 марта, понедельник 07:21
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Учет СКЗИ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Учет СКЗИ

    Добрый день.
    Столкнулся с ситуацией что в организации вроде есть внутренняя документация по работе с СКЗИ в которой описывается ведение журналов, проведение обучения и т.д., но по факту мероприятия не выполняются, как в данном случае правильно начать заполнять журналы по СКЗИ? Необходимо завести новый журнал и в него внести все СКЗИ с датой заведения журнала? Если СКЗИ уже эксплуатируется с неопределенного срока какую дату ставить в поле установки (подключения)?


    Так же есть вопрос что вообще можно считать СКЗИ. Например есть ПО - КриптоАРМ, КриптоПРО, Сигнатура и т.д. мы их заносим в журнал. А как правильно вести учет ЭП и токенов к ним? Необходимо токен и ЭП заносить в журнал отдельно или токен без контейнера не считается за СКЗИ, и становится СКЗИ когда на него записывается ЭП?
    Необходимо ли вести учет сертификатов открытого ключа?

    Спасибо.

  • #2
    Для начала рекомендуется изучить ПКЗ-2005 и Приказ ФАПСИ № 152.

    Комментарий


    • #3
      danxiel
      Еще имеет смысл посмотреть регламенты используемых УЦ и правила использования/формуляры на СКЗИ. И в и-нете навалом всяких инструкций/положений, на которые так же имеет смысл взглянуть и сравнить с имеющейся нормативкой.
      По вопросам:
      - не понятно, что такое (в контексте вопроса) ЭП? /КМК, это вопрос к Вам - что представляет из себя ЭП?/
      - в целом, токен считается СКЗИ (и на него должен быть заполненный формуляр);
      - выданные бумажные сертификаты (при наличии) храним вместе с дистрибутивами на СКЗИ.
      Последний раз редактировалось saches; 11.03.2019, 14:17.

      Комментарий


      • #4
        ПО СКЗИ смотрите перечень сертифицированных средств на сайте ФСБ.
        Имеется сертификат о том, что является СКЗИ - значит СКЗИ.
        КриптоАРМ, КриптоПРО CSP, Верба, Сигнатура - СКЗИ, даже если вы их используете только для проверки ЭП.
        А значит поэкземплярный учет, выдача, ведение формуляров, контроль доступа, также учет тех. средств.
        Кстати не все токены являются СКЗИ, по крайней мере по документации.

        Комментарий


        • #5
          Сообщение от svarog.coop Посмотреть сообщение
          Имеется сертификат о том, что является СКЗИ - значит СКЗИ.
          Любопытный подход. Если нет сертификата, то не считаем это СКЗИ

          Комментарий


          • #6
            КриптоАРМ разве умеет самостоятельно в крипту?

            Комментарий


            • #7
              Термин "СКЗИ" сугубо нашенский и должен сопровождаться соответствующим сертификатом.

              Комментарий


              • #8
                Сообщение от donZhukan Посмотреть сообщение
                КриптоАРМ разве умеет самостоятельно в крипту?
                Есть ПО КриптоАРМ, есть СКЗИ КриптоАРМ. СКЗИ нужно учитывать в Журнале.

                Сообщение от Berckut Посмотреть сообщение

                Любопытный подход. Если нет сертификата, то не считаем это СКЗИ
                У меня такой же подход.

                Комментарий


                • #9
                  Сообщение от svarog.coop Посмотреть сообщение
                  Термин "СКЗИ" сугубо нашенский и должен сопровождаться соответствующим сертификатом.
                  Данный подход, в контексте учета СКЗИ работает не всегда, а в остальных случаях вообще, КМК, выглядит странно, если не сказать дико.
                  В целом, лучше пользоваться определением СКЗИ из ПП-313. Т.к., например, ключевые документы так же надо бы учитывать, но сертификатов на них не бывает.

                  Комментарий


                  • #10
                    С учетом согласен. Для ключевых документов должен вестись журнал учета КД, а для СКЗИ - журнал поэкземплярного учета СКЗИ.
                    Один журнал не заменяет другого.

                    Комментарий


                    • #11
                      Сообщение от svarog.coop Посмотреть сообщение
                      С учетом согласен. Для ключевых документов должен вестись журнал учета КД, а для СКЗИ - журнал поэкземплярного учета СКЗИ.
                      Один журнал не заменяет другого.
                      Если посмотреть в Приложения №1 и 2 Приказа № 152 ФАПСИ, там имеет место - ТИПОВАЯ ФОРМА ЖУРНАЛА ПОЭКЗЕМПЛЯРНОГО УЧЕТА СКЗИ, ЭКСПЛУАТАЦИОННОЙ И ТЕХНИЧЕСКОЙ ДОКУМЕНТАЦИИ К НИМ, КЛЮЧЕВЫХ ДОКУМЕНТОВ.
                      Есть еще технический журнал для учета разовых ключевых носителей, но это несколько отдельная тема.

                      Комментарий


                      • #12
                        Сообщение от saches Посмотреть сообщение
                        Если посмотреть в Приложения №1 и 2 Приказа № 152 ФАПСИ, там имеет место - ТИПОВАЯ ФОРМА ЖУРНАЛА ПОЭКЗЕМПЛЯРНОГО УЧЕТА СКЗИ, ЭКСПЛУАТАЦИОННОЙ И ТЕХНИЧЕСКОЙ ДОКУМЕНТАЦИИ К НИМ, КЛЮЧЕВЫХ ДОКУМЕНТОВ.
                        Есть еще технический журнал для учета разовых ключевых носителей, но это несколько отдельная тема.
                        Я веду два журнала: Журнал Ключевой информации (ключи ЭП + носители) и Журнал СКЗИ (дистрибутивы, документация, лицензии и пр.).

                        Комментарий


                        • #13
                          В целом, насколько я в курсе, при проверках ФСБ смотрит не столько на кол-во журналов, сколько на факт учета всей необходимой информации (по Приказу 152), касающейся всего жизненного цикла (условный термин) СКЗИ в организации. Т.е. что за СКЗИ, когда введено в действие, кому выдавалось, кому передавалось (у кого/где сейчас находится), когда было уничтожено.

                          Комментарий


                          • #14
                            По поводу ведения журналов учёта.
                            Всё искал возможность вести журналы электронно....
                            Тут прочитал запись "ПДн. СКЗИ. Перечни, журналы и другие записи в электронной форме" https://www.securitylab.ru/blog/personal/sborisov/342619.php

                            А как вы ведёте учёт СКЗИ, ключей - на бумаге или электронно?

                            Комментарий


                            • #15
                              Веду журнал учета электронно. Во время проверки ЦБ проверяющего это не удовлетворило. Пришлось распечатать и подписать. Возможно другого проверяющего устроило бы. Сейчас продолжаем вести в электронном виде, но периодически распечатываем, подписываем и подшиваем.

                              Комментарий


                              • #16
                                Сообщение от Airat_Kzn Посмотреть сообщение
                                По поводу ведения журналов учёта.
                                Всё искал возможность вести журналы электронно....
                                Тут прочитал запись "ПДн. СКЗИ. Перечни, журналы и другие записи в электронной форме" https://www.securitylab.ru/blog/personal/sborisov/342619.php

                                А как вы ведёте учёт СКЗИ, ключей - на бумаге или электронно?
                                На бумаге тоьлко журнал выдачи. Там расписываться надо.
                                Осталыные электронно.

                                Комментарий


                                • #17
                                  Сообщение от Berckut Посмотреть сообщение

                                  На бумаге тоьлко журнал выдачи. Там расписываться надо.
                                  Осталыные электронно.
                                  Но, получается, если иметь Акты передачи с подписью, то и Журнал выдачи можно вести электронно.

                                  Комментарий


                                  • #18
                                    Сообщение от tim100 Посмотреть сообщение
                                    периодически распечатываем, подписываем и подшиваем.
                                    собираете всех пользователей и расписываются?

                                    Комментарий


                                    • #19
                                      СКЗИ (такие как крипто про, крипто арм и крипто ком) ведем в электронном журнале + акты ввода в эсксплуатацию (электронные)
                                      Токены для сотрудников ОПЕРО для ДБО, бухгалтеров для СБИС в бумажном журнале учета
                                      Токены для клиентов - только акты приема-передачи в юр.делах

                                      Комментарий


                                      • #20
                                        учет ведем в 1С: Менеджер безопасности со слегка доработанными формами.
                                        Журнал учета выдачи ключевых носителей на бумаге. Можно и электронно вести, но тогда придется оформлять передачу актами.

                                        Комментарий

                                        Пользователи, просматривающие эту тему

                                        Свернуть

                                        Присутствует 1. Участников: 0, гостей: 1.

                                        Обработка...
                                        X