Открыть список
Как стать автором
Обновить

Комментарии 18

В пункте 3 Приказа ФАПСИ от 13 июня 2001 г. N 152 написано:
Безопасность хранения и обработки с использованием СКЗИ конфиденциальной информации, передаваемой вне сетей конфиденциальной связи, организуют и обеспечивают лица, имеющие лицензию ФАПСИ.

Подскажите, есть ли нормативный документ, определяющий правоприемственность ФСБ перед ФАПСИ по данному вопросу, а главное документ, в котором бы лицензии ФАПСИ (не думаю, что сейчас остались действующие) приравнивались к лицензиям ФСБ в части качающейся.
Нет приказа, который бы отменил указанный выше приказ ФАПСИ, он остается актуален и по сей день. Сейчас в области обеспечения безопасности персональных данных действует несколько нормативно-методических документов ФСБ России. www.fsb.ru/fsb/science/single.htm%21id%3D10437725%40fsbResearchart.html

При этом согласно указу президента от 11 марта 2003 года № 308 все обязанности ФАПСИ были распределены между несколькими службами, включая ФСБ. Поэтому лицензия ФСБ фактически заменяет лицензию ФАПСИ.
К сожалению вы не ответили на мой вопрос. Это всё и так можно прочитать.
Какой документ однозначно определяет, что лицензия, выданная ФАПСИ = лицензии ФСБ?
Документа, который бы прямо говорил, что лицензия, выданная ФАПСИ, = лицензии ФСБ, нет. Но, повторимся, что все обязанности ФАПСИ в области криптографической защиты информации переданы ФСБ России. Лицензированием деятельности, связанной с СКЗИ, также сейчас занимается ФСБ. При этом сама ФСБ ссылается на Инструкцию ФАПСИ в части учета СКЗИ – в этом и заключается парадокс ситуации и проблематика устаревшей инструкции. Очевидно, что сейчас вопрос с лицензиями решается скорее «по умолчанию» (ФАПСИ=ФСБ)
Спасибо, мои мысли подтвердились. Если посмотреть на виды деятельности, которые выдавались в лицензии ФАПСИ и какие сейчас выдаются в лицензии ФСБ, то они не стыкуются.
Мало того, что инструкция устарела, так ещё нет однозначности, а просто ссылки к старому документу.

И ещё интересно определение конфединциальной информации ( кому все эти вилы из инструкции в итоге нужны, а кому нет).

Да помню как надо было регаться в какойто системе
ЭЦП гендиректора была у кого-то сотрудника, который ее сам и получил тоже для работы.
Сходил к нему, взял ключ, скопировал себе, отдал обратно.
Вопрос для обсуждения: нужно ли заносить в журнал поэкземплярного учета ПАК типа Континента или Vipnet HW?
Нужно, ведь с ПАК идет сертификат соответствия, и по факту вы приобретаете СКЗИ.

Задачи, достойные Ростелекома.


Алсо:
СКЗИ — коммит 97323587a534369e19d7083aa81c1e2f1a134dee. Выдан git@git.internal Wed Dec 30 17:10:38 2020 +0200 по адресу /projects/foo.git

Серийник не забыли подтереть?
Все указанные в посте данные вымышленные. Имена, номера лицензий и т.п. только для примера, а все совпадения, как говорится, случайны.
А в чём моральное устаревание учёта?
ЗЫ: вы как то тактично забыли про журнал учёта ключевых носителей, ( а в конце статьи смешали удаление СКЗИ с АРМ с удалением ключевой информации с ключевого носителя) с которым намного интереснее, либо я упустил. Так же упустили другие требования к АРМ с СКЗИ, которые тоже должны отражаться в журнале, правда в другом (третьем).
Мы не про моральное устаревание учета, а про устаревание требований к его ведению.

Действительно, журналом учета СКЗИ все не ограничивается. Есть еще типовая форма технического (аппаратного) журнала, в котором как раз ведется учет АРМ с СКЗИ. В нем отмечаются все действия, проводимые с СКЗИ (например, обновление). Там тоже есть свои особенности, но как мы написали выше, все, что нужно делать с СКЗИ в одном посте не уместишь.
А вот журнала ключевых носителей в инструкциях ФАПСИ (ФСБ) нет, поэтому каждая организация может вести его по своему усмотрению.
А что писать в журнале, если СКЗИ скачано с сайта производителя?
Дистрибутив с СКЗИ надо проверить на целостность контрольной суммы. Вместе с дистрибутивами СКЗИ на странице загрузки размещаются контрольные суммы установочных модулей и документации. Контрольные суммы рассчитываются в соответствии с ГОСТ Р 34.11 94 с учётом RFC 4357, а также md5.
Установка СКЗИ на рабочее место осуществляется только в случае подтверждения целостности полученных установочных модулей СКЗИ и эксплуатационной документации.
Проверка должна быть осуществлена с помощью утилиты cpverify.exe, входящей в состав СКЗИ «КриптоПро CSP» cpverify -mk , либо иным другим сертифицированным ФСБ шифровальным (криптографическим) средством, реализующим ГОСТ Р 34.11-94.
После дистрибутив можно записать на диск и учесть его, как эталонный экземпляр.

А если имеется в виду, что пользователь сам взял, скачал и установил, то это, конечно, должно расцениваться, как инцидент ИБ. Но обычно в комплекте с СКЗИ всегда идет дистрибутив.
К сожалению он, дистрибутив, обычно идет за отдельную стоимость. Причем не малую.
Довольно долго занимался практическим учетом СКЗИ и криптоключей. На самом деле вещь полезная, довольно неплохо повышает внутреннюю дисциплину в компании, а соответственно и безопасность.

На самом деле если автоматизировать процесс, то все становится очень быстрым и простым.
Бесплатные системы учета и автоматизации этого процесса доступны в Интернете.

Хотя конечно Приказ ФАПСИ 152 сильно устарел. Он покрывает все особенности современной криптографии. Например, передачу ключей без носителей (когда вы скидываете *.pfx вашему хостинг провайдеру для организации HTTPS) вашего корпоративного сайта, разделение ключей, работа с сертификатами и многое другое.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.