28 февраля, воскресенье 12:33
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Уничтожение СКЗИ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Уничтожение СКЗИ

    Доброго времени суток! У меня к Вам вопрос уважаемые форумчане...
    Кто и как уничтожает СКЗИ (с ключевыми всё понятно метод "молота и наковальни" ), а как обстоят дела со средствами для уничтожения которых стандартной наковальней и молотом не обойтись... Типа ФПСУ...Аппаратура Циско...и т.д. и т.п.???
    плюс в дагонку... Описываете ли вы данный "Порядок уничтожения СКЗИ" в Регламенте по использованию СКЗИ в организации...

  • #2
    А зачем вообще уничтожать сами средства?

    Комментарий


    • #3
      Ну во-первых, раньше уничтожение шифровальных средств, используемых в том числе для собственных нужд, было лицензируемым видом деятельности. В связи с этим большое количество организаций имеют такой вид лицензии и обратившись к ним, можно снять с себя эту головную боль.
      Во-вторых, если шифровальное средство употребляется для защиты ПДн, то есть "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 года за №149/6/6-622.
      В них в частности есть пункт 3.19:
      Криптосредства уничтожают (утилизируют) по решению оператора, владеющего криптосредствами, и с уведомлением организации, ответственной в соответствии с ПКЗ-2005 за организацию поэкземплярного учета криптосредств.
      По поводу аппаратуры Циско и ФПСУ - тут уже все зависит от величины молотка и Вашей фантазии. Вообще в том же документе, далее в том же пункте говорится о то, что:
      Намеченные к уничтожению (утилизации) криптосредства подлежат изъятию из аппаратных средств, с которыми они функционировали. При этом криптосредства считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к криптосредствам процедура удаления программного обеспечения криптосредств и они полностью отсоединены от аппаратных средств.
      Так что открываете аппарат, достаете криптосредство "и ногами его, ногами!" (с) Ширли-Мырли
      По последнему вопросу в этом же документе есть пункт 1.3, в котором в частности:
      Оператор с учетом особенностей своей деятельности может разрабатывать не противоречащие настоящим Требованиям методические рекомендации по их применению.

      Комментарий


      • #4
        Сообщение от В.Травников Посмотреть сообщение
        уведомлением организации, ответственной в соответствии с ПКЗ-2005 за организацию поэкземплярного учета криптосредств
        Вопрос...если мы приобрели данное СКЗИ у разработчика...обязаны ли мы его уведомлять что мы уничтожаем "его, т.е. уже НАШЕ" СКЗИ? И организацией поэкземплярного учета являемся уже МЫ. По большому счету, организации, которые распространяют СКЗИ, "распространив" его, просто списывают его со своих книг учета, максимум указав № документа согласно которого это средство было "распространено"...и им по большому счёту поср*ть что с ним в дальнейшем произошло, и ответственность они никакую не несут, если их средство используется, к примеру для злых целей, или как подставка для ног, или по назначению.

        Сообщение от В.Травников Посмотреть сообщение
        если исполнена предусмотренная эксплуатационной и технической документацией к криптосредствам процедура удаления программного обеспечения криптосредств и они полностью отсоединены от аппаратных средств
        Ага...перелистал кучу документации с СКЗИ...и нифика не нашёл описания процедуры изъятия криптосредств из девайся у производителя...

        Сообщение от В.Травников Посмотреть сообщение
        Оператор с учетом особенностей своей деятельности может разрабатывать не противоречащие настоящим Требованиям методические рекомендации по их применению.
        ...возникает вопрос по понятиям... тут вообще понятие на понятии "типовые" да еще и "рекомендации" загляним в толковы словарь "рекомендация - (лат. recommendatio - совет)", синоним слова "типовой" - обычный, те в переводе на русский язык появляется определение "обычный совет", если наверняка посмотреть на позицию 8 центра ФСБ, их так замучали вопросами с просьбами чтобы получить от них совет, что они решили выпустить документ "советов", но так как они наверное не могли дать ответы на все вопросы, то отвечали чтото типа "незнаю", и прибавилось к названию документа "советов" приписачка "обычных". Но вот в чем загвоздка совет, это не правило и не требование, не указ и не закон, которыми должна пользоваться организация. можно сделать "шах и мат", возможно ли применение на практике, к примеру "типовых правил дорожного движения", я так понимаю это приставку "обычные", что требования есть, но они разработаны для 99,9% случаев это типа "типовые", а для 0.1% случаев используются требования, которые могут и противоречить им...всё только уперается в один "вопрос как долго проверяемый по вопросам указанным в своих "типовых требованиях" будет оправдываться за несоблюдение перед проверяющим "их типовых требований". тут у Вас наверное возникнет "обычный совет" или "типовая рекомендация" типа "невыё...живайся", вот этот "типовой совет" можно использовать только при нарушении закона
        Последний раз редактировалось Банкирёнышъ; 09.06.2011, 09:43.

        Комментарий


        • #5
          И все-таки, зачем уничтожать СКЗИ каким-то особым образом? В приведенных цитатах об этом ничего нет. Да и неформального смысла в этом тоже не усматривается.

          Комментарий


          • #6
            Сообщение от ion Посмотреть сообщение
            И все-таки, зачем уничтожать СКЗИ каким-то особым образом? В приведенных цитатах об этом ничего нет. Да и неформального смысла в этом тоже не усматривается.
            Чтобы исключить возможность использования данных средств всякими нехорошими дятьками которые могут угрожать безопасности РФ "О МЕРАХ ПО СОБЛЮДЕНИЮ ЗАКОННОСТИ В ОБЛАСТИ РАЗРАБОТКИ, ПРОИЗВОДСТВА, РЕАЛИЗАЦИИ И ЭКСПЛУАТАЦИИ ШИФРОВАЛЬНЫХ СРЕДСТВ, А ТАКЖЕ ПРЕДОСТАВЛЕНИЯ УСЛУГ В ОБЛАСТИ ШИФРОВАНИЯ ИНФОРМАЦИИ" УКАЗ президента РФ от 3 апреля 1995 г. N 334

            Комментарий

            Обработка...
            X