Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 След.
Ответить
RSS
Криптосредства
Лицевые счета на пользователей криптосредств.
п. 3.5 Ответственный пользователь криптосредств заводит и ведет на каждого пользователя криптосредств лицевой счет, в котором регистрирует числящиеся за ними криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы. Поясните пожалуйста, что за лицевые счета? Можно где-нибудь посмотреть примеры?
В ДОУ лицевой счет аналогичен реестру.
По простому - форма учета
пример.
1-нр пп
2 - дата
3 - что выдано
4 - на ....листах
в...папках
в....упаковках
5 - роспись в получении
6 - роспись по возвращении

и т.д.
Хочу поднять тему.
Типовые требования по организации и обеспечению функционирования шифровальных средств, предназначенных для обеспечения безопасности персональных данных - документ действующий, но к сожалению я никогда и нигде не видел такие "Лицевые счета"
У кого как в фирмах документально решается этот вопрос с лицевыми считами ?? Скиньте бланк посмотреть. :!:
Павел, "Типовые требования по организации и обеспечению функционирования шифровальных средств, предназначенных для обеспечения безопасности персональных данных" это переработанная под ПДн Инструкция ФАПСИ №152 от 2001 года (ее никто не отменял, она действующая), то есть данные требования - частный случай Инструкции ФАПСИ №152 от 2001 года.

Пункт 3.5. (ТИПОВЫЕ ТРЕБОВАНИЯ)
Все полученные экземпляры криптосредств, эксплуатационной и технической
документации к ним, ключевых документов должны быть выданы под расписку в
соответствующем журнале поэкземплярного учета пользователям криптосредств, несущим
персональную ответственность за их сохранность.
Ответственный пользователь криптосредств заводит и ведет на каждого пользователя
криптосредств лицевой счет, в котором регистрирует числящиеся за ними криптосредства,
эксплуатационную и техническую документацию к ним, ключевые документы.

Пункт 27. (Инструкция ФАПСИ)Все полученные обладателем конфиденциальной информации экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность.
Органы криптографической защиты заводят и ведут на каждого пользователя СКЗИ лицевой счет, в котором регистрируют числящиеся за ним СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы.

Разницу заметили? В требованиях они возложили обязанность вести лицевые счета на "Ответственного пользователя" назначаемого ОПЕРАТОРОМ.

В инструкции же есть пункт 6.
Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты, о чем письменно уведомляет ФАПСИ.

Встает вопрос, зачем Вам вести лицевой счет, если это должен делать созданный лицензиатом ФСБ (тем кто вам предоставил криптосредство) орган. Лицензиат ФСБ - распространяет СКЗИ и ведет лицевые счета. Вы как пользователь СКЗИ ведете Журнал учета СКЗИ.

Вот такое у меня видение данного вопроса.
ВадимКа,
все верно, лицензиат ФСБ ведет такой журнал.

Однако, клиент, получающий ключи, дистрибутивы, документацию и т.д. также ведет журнал учета СКЗИ.
Цитата
Михаил пишет:
ВадимКа,
все верно, лицензиат ФСБ ведет такой журнал.

Однако, клиент, получающий ключи, дистрибутивы, документацию и т.д. также ведет журнал учета СКЗИ.

Михаил, к чему слово ОДНАКО?

Цитата
ВадимКа пишет:
Лицензиат ФСБ - распространяет СКЗИ и ведет лицевые счета. Вы как пользователь СКЗИ ведете Журнал учета СКЗИ.
По моему вы повторяете мою мысль.
ВадимКа,
Михаил,
Вообще-то я с вами согласен, в тех комплектах документации по ИСПДн, которые я видел не было документа под названием "Лицевой счет пользователя СКЗИ". Но давайте разберем эти ТИПОВЫЕ ТРЕБОВАНИЯ чуть детальнее:
Итак, первое. Кто такой ответственный пользователь. Об этом звере нам рассказывает пункт 2.6
Цитата
2.6 Обеспечение функционирования и безопасности криптосредств возлагается на ответственного пользователя криптосредств, имеющего необходимый уровень квалификации, назначаемого приказом оператора (далее – ответственный пользователь криптосредств)
То есть это все таки человек работающий в штате оператора, осуществляющего обработку ПДн.
Второе. В пункте 3.4 говориться что все выданные пользователям СКЗИ должны быть учтены в журнале и даже приводиться бланк этого журнала в Приложении 2 и 3.
Третье. В пункте 3.5 говориться о каких то лицевых счетах. Если бы был верен тезис лицевой счет=журнал учета выдачи, то не нужно было бы вставлять этот пункт 3.5, ведь в пункте 3.4 уже сказано про журналы. Делаем вывод, что лицевой счет не равно журнал учета выдачи и лицевой счет это отдельный документ который должен быть у ответственного пользователя на каждого, кто работает с СКЗИ в этой фирме.
Скажите где я не прав? И если все таки кто-то размышлял так же как я, то покажите этот ваш документ под названием лицевой счет. Не будьте жмотами )))
Изменено: Павел - 16.08.2011 07:35:29
Возможно, вы не совсем поняли разницу между Журналом учета СКЗИ и лицевым счетом.
Лицензиат ФСБ ведет:
1) журнал учета СКЗИ;
2) лицевой счет.
Оператор ведет:
1) журнал учета СКЗИ.
Это следует из 3го абзаца пункта 26 Инструкции ФАПСИ
"Журналы поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложения 1, 2 к Инструкции) ведут органы криптографической защиты и обладатели конфиденциальной информации."
И 2го абзаца пункта 27 Инструкции ФАПСИ
"Органы криптографической защиты заводят и ведут на каждого пользователя СКЗИ лицевой счет, в котором регистрируют числящиеся за ним СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы."
Поясню свою позицию, Требования - переработанная Инструкция (заточена под ПДн).
При переписывании Инструкции взяли абзац про лицевые счета и вменили в обязанность оператору, хотя изначально этот обзац относится к ОРГАНУ криптографической защиты

Цитата
ВадимКа пишет:
Разницу заметили? В требованиях они возложили обязанность вести лицевые счета на "Ответственного пользователя" назначаемого ОПЕРАТОРОМ.
В инструкции же есть пункт 6.
"Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты, о чем письменно уведомляет ФАПСИ."
Так как Инструкцию никто не отменял, она является первоисточником, так как ПДн - частный случай конфи, то лицевой счет вести оператору бессмысленно. Оператор не распространяет СКЗИ, он пользуется СКЗИ полученными от лицензиата ФСБ, который имеет лицензию на распространение СКЗИ(обязан вести лицевые счета).
Я согласен, что ПДн частный случай конфи. Я согласен, что Требования - переработанная инструкция. И что тот кто распространяет СКЗИ должен вести такой лицевой счет.
Но есть организации, с большим числом работников, в таких организациях есть специальные отделы защиты информации, которые закупают СКЗИ для своей организации и организуют работу с СКЗИ внутри фирмы. И я считаю, что в такой организации, где есть ответственный за СКЗИ, где происходит работа с ключами ЭЦП, используются в разных отделах разные СКЗИ и т.д., такой документ как "Лицевой счет" должен быть в обязательном порядке на кажого пользователя. Я не прав?
ВадимКа,
да, действительно, мы говорили об одном и том, же =)
Уважаемый Павел. Если вы в внутри фирмы организуете работу со СКЗИ, чем вам не нравится Журнал поэкземплярного учета?
Зачем вам какие-то лицевые счета, форма которых не дана в приложениях ни к требованиям ни к инструкции?
Если уж вам так интересно - позвоните любому лицензиату ФСБ (распространяющему криптосредства, например КриптоПро), большинство из них даже не слышали про существование Журнала учета СКЗИ, а не то что лицевых счетов. Если уж им это не надо, спросите себя, а ОНО вам надо?
ВадимКа, Оно мне не надо. Я как и любой специалист по ИБ понимаю всю абсурдность этих "Типовых требований" и прочих, в наркотической нирване написанных, РД ФСБ и ФСТЭК.
Я просто хочу в формальной стороне вопроса разобраться. Вот есть такой пукт 3.5 в "Типовых требованиях", кто как его интерпретирует ? Вашу позицию я понял.
Буду рад услышать еще мнения.
Если брать работу большой организации с большим кол-вом СКЗИ, то необходимо вести аппаратный журнал ввода в эксплуатацию ключевой информации - для филиалов вели именно так, но организация являлась лицензиатом.
Кстати, а ключи внутри организации кто делает? Ведь по требования 63-ФЗ сам пользователь должен получать сертификат в УЦ, если нет - то это оказание услуг и тут не все так просто.
Цитата
Дмитрий Левиев пишет:
Если брать работу большой организации с большим кол-вом СКЗИ, то необходимо вести аппаратный журнал ввода в эксплуатацию ключевой информации - для филиалов вели именно так, но организация являлась лицензиатом.
Кстати, а ключи внутри организации кто делает? Ведь по требования 63-ФЗ сам пользователь должен получать сертификат в УЦ, если нет - то это оказание услуг и тут не все так просто.

Ключевая информация - это закрытый и открытый ключ в случае с ЭЦП. Закрытый и открытый ключи генерируется пользователем самостоятельно, закрытый ключ записывается на ключевой носитель и хранится в секрете. Открытый ключ вместе с запросом на сертификат передается в УЦ. УЦ выдает сертификат открытого ключа - подтверждает легитимность вашего закрытого ключа. В организации не являющейся УЦ и лицензиатом ФСБ учету подлежат СКЗИ, эксплутационная и техническая информация, ключевые носители (ключевые документы). Для этих целей предназначен Журнал учета СКЗИ.
Получить в УЦ сертификат может владелец закрытого ключа (ЭЦП) или другое лицо, на основании доверенности на получение сертификата.
Вот не поленюсь и придумаю пример. 8)
ООО "Вротмненоги" закупила у лицензиатов ФСБ для своих сотрудников партию ништякового оборудования и ПО:
1. ПО Крипто Про - 400 шт.
2. ПО Секрет Диск - 100 шт.
3. ПАК Криптон - 300 шт. (суровая фирма :) )
4. АПКШ Континент - 10 шт.
Ну закупились так закупились, впрок как говориться.
ООО "Вротмненоги" офигев от такого количества СКЗИ решает назначить ответственного за СКЗИ, который будет разруливать и контролировать процессы выдачи и эксплуатации СКЗИ. Этот отвественный открывает "Типовые требования..." и видит, что ему суждено от ныне вести "журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов", где он последовательно отмечает кому что когда и зачем выдал.
Все вроде бы отлично. Но тут приходит к ответственному за СКЗИ директор и говорит: "А сколько разных СКЗИ ты выдал нашему менеджеру Иванову?" Тут отвественный понимает, что надо было ему еще лицевые счета вести на сотрудников, чтобы не рыскать теперь по 400-страничному журналу глазами в поисках Иванова, а взять и посмотреть сразу что за ним числиться.
Цитата
Павел пишет:
Вот не поленюсь и придумаю пример.

ООО "Вротмненоги" закупила у лицензиатов ФСБ для своих сотрудников партию ништякового оборудования и ПО:

1. ПО Крипто Про - 400 шт.

2. ПО Секрет Диск - 100 шт.

3. ПАК Криптон - 300 шт. (суровая фирма )

4. АПКШ Континент - 10 шт.

Ну закупились так закупились, впрок как говориться.

ООО "Вротмненоги" офигев от такого количества СКЗИ решает назначить ответственного за СКЗИ, который будет разруливать и контролировать процессы выдачи и эксплуатации СКЗИ. Этот отвественный открывает "Типовые требования..." и видит, что ему суждено от ныне вести "журнал поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов", где он последовательно отмечает кому что когда и зачем выдал.

Все вроде бы отлично. Но тут приходит к ответственному за СКЗИ директор и говорит: "А сколько разных СКЗИ ты выдал нашему менеджеру Иванову?" Тут отвественный понимает, что надо было ему еще лицевые счета вести на сотрудников, чтобы не рыскать теперь по 400-страничному журналу глазами в поисках Иванова, а взять и посмотреть сразу что за ним числиться.

А электронный журнал не ?? не катит ?? и сочетание клавиш Ctrl+F не работает ?
Не надо путать теплое с мягким, одно дело что бы у вас был журнал учета СЗИ другое дело чем вы будете пользоваться для работы.

Возможно. но я не уверен....можно обойтись исключительно электронным журналом учета.
У меня на руках был акт по результатам проверки ФСБ (у организации не было ни карточек, ни журнала) в акте не конкретизировано, просто указано про отсутствие документов по учету ключевых документов, СКЗИ, эксплуатационной и тех. документации...
Далее... Вы сами знаете что... :)
Раз на раз не приходится... не удивлюсь, если бы был журнал - вписали бы отсутствие карточки...
Хотя хз... может быть я неправ.
Цитата
Alex пишет:
У меня на руках был акт по результатам проверки ФСБ (у организации не было ни карточек, ни журнала) в акте не конкретизировано, просто указано про отсутствие документов по учету ключевых документов, СКЗИ, эксплуатационной и тех. документации...

Далее... Вы сами знаете что...

Раз на раз не приходится... не удивлюсь, если бы был журнал - вписали бы отсутствие карточки...

Хотя хз... может быть я неправ.

Ну так получается что организация нарушила данные пункты
Если бы у них был хотя бы электронный журнал и на компьютере администратора ИСПДн например была вся техническая документация(читать тех паспорта) на все средства СЗИ то думаю вопросов не было бы. ну или были бы но не по этой теме.

Про карточки не понял....о каких карточках речь ?
Карточки, лицевые счета - это мы и обсуждаем в этой теме.
Ноги этой темы растут из "Типовые требования по организации и обеспечению функционирования шифровальных средств, предназначенных для обеспечения безопасности персональных данных" п.3.5
Страницы: 1 2 След.
Ответить
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку