Контакты
Подписка
МЕНЮ
Контакты
Подписка

Сертифицированный носитель ключа ЭП - Форум по вопросам информационной безопасности

Сертифицированный носитель ключа ЭП - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: 1 2 >

Автор: Михаил, ООО Лаборатория безопасности бизнеса | 33900 14.01.2012 22:00
Кто подскажет- почему работники гос.и мун.предприятий генерируют ключи на несертифицированные носители. Посмотрел инструкции на сайтах региональных УФК и нигде не увидел (кроме Москвы) чтобы было конкретно указано на то, что генерировать ключи и хранить их следует на сертифицированных носителях.

Автор: Прохожий | 33903 15.01.2012 16:47
Наверное потому, что у нас носители не производят.
А у фстэка разве есть что-то из носителей в перечнях?
Что-то я не помню
Или речь идет про айрон кей - так он не в нашей системе сертифицирован а в дод юсей

Автор: Михаил, ООО Лаборатория безопасности бизнеса | 33904 15.01.2012 19:06
1.Сертифицированы ФСТЭК носители RUTOKEN и E-TOKEN.

2. Наша позиция по этому вопросу- так как закрытый ключ электронной подписи является конфиденциальной информацией то и храниться он должен на сертифицированных носителяхю

3. Участникам электронных аукционов удостоверяющие центры выдают ( и это прописано в регламентах) ключи на сертифицированных носителях .

Автор: Кирилл | 33905 15.01.2012 21:27
Лично я здесь наблюдаю подмену понятий. Лично я нигде не видел, чтобы для конфиденциалки требовались сертифицированные носители, но стоит отметить, что при передаче информации необходимо использовать средства защиты. Собственно, Rutoken и eToken имеют встроенное шифрованное хранилище, а для иных вариантов носителей можно использовать дополнительные сертифицированные СКЗИ.

Автор: Yason, мол.спец. | 33916 16.01.2012 09:48
От знакомого слышал, когда он устраивался в гос. орг., его спросили: "цель информационной безопасности?"
Ответ думаю уже многие поняли - все средства защиты должны быть сертифицированы. ;-)

Автор: Некто | 33920 16.01.2012 10:44
Yason, мол.спец. | 33916

Сообщения агенства ОББ - это весьма серьезный предмет для обсуждения.
Особенное если выводы из него делаются .. кхм.. парадоксальные

Автор: Михаил, ООО Лаборатория безопасности бизнеса | 33925 16.01.2012 13:13
1. Какие носители использовать определяет организатор электронного документооборота.

2.В данном случае рассматриваем электронный документооборот на электронных площадках отобранных Правительством РФ для размещения заказов для государственных и муниципальных нужд.

3.В соответствии с регламентом удостоверяющие центры выдают участникам торгов ( для примера коммерческим предприятиям) электронные ключи ЭП на сертифицированных носителях. В тоже время работники государственных и муниципальных предприятий , учреждений и т.д. самостоятельно генерируют закрытые ключи на несертифицированных носетелях и использу.т их на электронных площадках.

4.Получается, что в государственных и муниципальных предприятиях уровень безопасности информации ниже чем коммерческих .

5. Вот и спрашивается ПОЧЕМУ . Может есть какой документ , определяющий какой использовать носителю ключа государственными и муниципальными предприятиями ?

Автор: Алексей | 33929 16.01.2012 14:34
1. В формуляре сертифицированного СКЗИ КриптоПро CSP есть раздел:
2.8 Формирование закрытых ключей производится на типы носителей:
ГМД 3,5’’, USB диски
eToken
Смарт-карты РИК
Смарт-карты Оскар, Магистра
Rutoken
Раздел HDD ПЭВМ (в Windows -реестр)
Идентификаторы Touch-Memory DS1995, DS1996

Т.е. использование регламентируется эксплуатационной документацией на СКЗИ.

2. Сертифицированы не сами носители, а их ПО (драйверы, утилиты) по уровню контроля за отсутствием НДВ (При этом гарантии, что коммерческими организациями используется именно сертифицированное ПО, нет..Тем более, что КриптоПро прекрасно работает с этими носителями без какого-либо дополнительного ПО).

3. Регламент для УЦ, выпускающих ключи для коммерческих организаций, на Федеральное казначейство не распространяется.

Автор: Кирилл | 33930 16.01.2012 14:49
Цитата:
3.В соответствии с регламентом удостоверяющие центры выдают участникам торгов ( для примера коммерческим предприятиям) электронные ключи ЭП на сертифицированных носителях. В тоже время работники государственных и муниципальных предприятий , учреждений и т.д. самостоятельно генерируют закрытые ключи на несертифицированных носетелях и использу.т их на электронных площадках.

4.Получается, что в государственных и муниципальных предприятиях уровень безопасности информации ниже чем коммерческих .

Конец цитаты.

В этих двух пунктах так коротко, но, в то же время, предельно ясно раскрывается вся тонкость и загадочность русской души, воспеваемой классиками. Как же удивительна и необъяснима тяга нашего народа к апеллированию бумагами, содержание которых, подчас, простому русскому мужику кажется еще мудреней, чем буржуинам простая русская душа.

Автор: Михаил, ООО Лаборатория безопасности бизнеса | 33931 16.01.2012 14:54
1. В ответ на п.п.1 - читали, знаем .

2. Мы говорим не о том как оно есть, а о том как оно должно быть . И желательно с ссылками на нормативные документы. Что касается программного обеспечения СКЗИ . Не думаю что и инсталяция ПО выполняется в соответствии с правилами пользования , согласованными с ФСБ РФ. что нужно сделать перед инсталяцией можно посмотреть по сылке http://www.terminal62.ru/skzi.html (информация в верхней части страницы - КриптоПро CSP)
Это не наши требования это требования производителя .

3.Для получения аккредитации на площадках для гос.и мун. нужд удостоверяющий центр обязан выполнить ряд требованиий . Этот порядок был согласован с Мин.ээконом.развития. На основании этих требований УЦ разработали регламенты. В регламентах прописано что ключи пользователям УЦ выдаются на сертифицированных носителях .

4. Сегодня мы имеем, что в одной системе электронного документооборота одни могут использовать несертифицированные носители , другие обязаны использовать сертифицированные.

5. Поэтому и начали искать документальное подтверждение использования несертифицированных носителей

Страницы: 1 2 >

Просмотров темы: 14161

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*