Jump to content

Recommended Posts

Добрый день. 

Вопрос по документации, подскажите пожалуйста, есть ли типовые акты установки и настройки ViPNEt? Где взять? 

Спасибо. 

Share this post


Link to post
Share on other sites

Вы про акт ввода в эксплуатацию СКЗИ? Обычно такие документы разрабатывают самостоятельно. Во всяком случае я ничего подобного типового ни в каких нормативных документах регуляторов не видел.

Share this post


Link to post
Share on other sites

Да, именно про ввод в ввод в эксплуатацию СКЗИ (акты установки и настройки). Может кто поделится шаблонами?

Share this post


Link to post
Share on other sites

Сегодня пытался объяснить клиентам, при настройки Випнета что это такое и для чего, почему им не совсем правильно записали контейнер, кинув его просто в корень флешьки, потому по умолчанию CSP ругался "не буду такой считывать" и потом ещё оказывается они (им даже) пароль не знают от него, а уж я откуда его знаю (понятно он на флешь и перебирать можно до посинения)... ну и как типа итог, т.к. я точно не знаю что там дальше т.к. тунель есть, а уж что там делают они и как - ну ещё это бы я знал. И как вы думаете, что будет если ещё им эти АКТы показать... Но так то понятно - типа надо. но для реальной работы - всё это вовсе не как и не кому.

\ Кстате мне ещё были и другие вопросы, а какой антивир, а почему такой старый, а можно я поставлю новее чем это... ну и на последок меня "добил" почти вопрос админа : " Ну а випнет мы менять можем, вы дали пароль, а какой логи я так и не понял и как мне его сменить если я захочу..." :blink::ph34r::wacko: \ мне показалось там девушка которая косвенно тоже причастна и то поняла больше.\

Share this post


Link to post
Share on other sites
В 17.07.2017 в 19:42, Vintik сказал:

Думаете кто то их будет читать кроме вас?

Их будет читать, например, проверяющий из УФСБ по вашему краю/области, когда будет проводить проверку у вас или у тех, кому компания, в которой Вы работаете, устанавливала СКЗИ. Это всё называется "Менеджмент СКЗИ", или что-то в этом роде. Скажем так, ноги растут у всего этого ещё с "Инструкции ФАПСИ №152". Подразумевается, что орган криптографической защиты информации (ОКЗИ) - лицензиат ФАПСИ/ФСБ - в соответствии, например, с договором производит ввод в эксплуатацию СКЗИ. И кроме всего прочего, как допуска к самостоятельной работе с СКЗИ пользователей, принятия у них зачетов и т.д., вводит в эксплуатацию установленные СКЗИ соответствующим актом, про который AMS_Sakhalin и спрашивает. Всё это необходимо для жёсткого учёта эксплуатации и хранения СКЗИ и документации к ним, учёта пользователей СКЗИ. Равно как и вывод СКЗИ из эксплуатации (удаление его с рабочего места), удаление ключей электронной подписи - всё это оформляется соответствующими актами, и ведётся строгий учёт. И ладно бы ещё, если всем заморачивается просто предприятие, основная деятельность которого не связана с распространением, установкой, настройкой или разработкой СКЗИ - с этих могут и не так спросить. А вот если это какой-либо удостоверяющий центр (УЦ), который не только оказывает услугу по выпуску электронных подписей но ещё и по их установке, по продаже и установке СКЗИ - вот тут тогда к этому УЦ могут и вопросы появиться - как они вообще получили лицензию на такой вид деятельности.

Просто регулятор, вроде как, не сильно спрашивает по этому поводу с коммерческих предприятий. По ряду причини... Но, вот например, у меня в конце прошлого года была замечательная возможность пережить подобную проверку по поводу эксплуатации СКЗИ для обеспечения безопасности обработки персональных данных. Масса интересных ощущений.

В 17.07.2017 в 09:31, AMS_Sakhalin сказал:

Да, именно про ввод в ввод в эксплуатацию СКЗИ (акты установки и настройки). Может кто поделится шаблонами?

Вообще, это оффтоп. Вам с таким вопросом нужно на форум, например, журнала "Information Security" - там обсуждаются общие вопросы информационной безопасности и в том числе и СКЗИ. Но, надеюсь, нас тут всех не забанят, поэтому форму акта можете взять здесь.

Share this post


Link to post
Share on other sites
В 18.07.2017 в 19:21, Vintik сказал:

Сегодня пытался объяснить клиентам, при настройки Випнета...

Так это всё от "темноты и невежества" пользователей. И с попустительства регулятора. Плюс регламент удостоверяющего центра, который выпускал ключ, должен обязывать выполнять все требования нормативных документов регуляторов. Например, один наш местный УЦ в бланке заявления на выпуск электронной подписи после полей заполнения всех необходимых персональных данных, сделал такую приписку, чуть меньшим шрифтом, от имени владельца ЭП, что "обязуюсь эксплуатировать электронную подпись и СКЗИ в соответствии с требованиями инструкции ФАПСИ №152..." и т.д. в таком роде.

Ведь известно, что "то, что Вы не сидите - не Ваша заслуга, а наше упущение"... ;)

Share this post


Link to post
Share on other sites

Да, не знания законов не освобождает от ответственности. Ну не будем подобиться безумцам :wub:

АТКты так акты - нати подо..ой. подпишите и пусть лежат и будут.

А мы вернёмся к проблемам ВПН :-)

 

Share this post


Link to post
Share on other sites

Это всё зависит от того - как к этому всему относится УЦ и его пользователь, от того как всё организовано. :) Ну и пусть лежат эти акты - есть они не просят. Да и "бумага всё стерпит". В конце-концов, это отчетность. Если она будет вестись как полагается - это в любом случае будет только плюсом тому, кто её ведёт. А при проверках нередко действует и такая тактика, особенно если эта проверка больше документарная - чем больше бумаги предоставишь проверяющему, тем лучше. И пусть сидит разбирается все 28 календарных дня отведённых законом на проверку.

Share this post


Link to post
Share on other sites
35 минуты назад, Xenobius сказал:

Их будет читать, например, проверяющий из УФСБ по вашему краю/области, когда будет проводить проверку у вас.....

Чур меня - перекреститься, переплюнуть и пригласить попа всё остветить :D

А так конечно все понятно позиция, но не поверю если скажите от всего этого у вас сразу СКЗИ начали работать лучше и даже не все сайты где требуется их принимать начали работать отлично и т.п. 

Ну банить нас пока не кто не станет, потому давайте раз уж так пошло вспомним ФЗ-54 который сейас в новой редакции и что мы видим?

ДА - ФН, тот самый СКЗИ в кассе - и что? А где АКТы? А где кучу журналов? А там ещё по ЕГАИС те самый ГОСТ и они так же СКЗИ... 

А сколько этих Якарт померло и хоть одну записали в журнал и уничтожили как требуется СКЗИ?...

Так что самое главное чтоб они реально шифровали и невозможно было понять что там, а всё остальное это формальности и по возможности конечно надо что то делать.

\ На моей памяти только один клиент заказал Якарты с медиапаком, остальных волнует почему УТМ не работает и т.п. \

Share this post


Link to post
Share on other sites
4 минуты назад, Xenobius сказал:

.... И пусть сидит разбирается все 28 календарных дня отведённых законом на проверку.

:ph34r::D:ph34r: ой - тут в точку))) ну всё.

Пора прятаться))) а то попадёт))))

А порядок это конечно хорошо, все согласны, что соблюдать как то надо его, а не то начнётся не понятно что.

Спасибо за описание.

\ "Печально" только бывает то, что 90% сидишь и пишешь эту макулатуру, а когда надо реально по делу помогать, то 10% времени не как не хватает разобраться в проблеме и потому всё это оттягивается, а люди ждут там пенсии и зарплат, а тут не работает HW, ну не вот не хочет передавать и что ей там надо... может она тоже акт хочет увидеть ;-) \ 

Share this post


Link to post
Share on other sites

Конечно же с наличием актов всё сразу тут же не заработает... Просто у Вас подход к делу чисто технарский. А я толкую про другие материи. Тут ведь системный подход нужен. И важен. "Правильность и исполнительность" - главная черта именно безопасника, но не технаря. Просто я и технарём был, и безопасник, вроде бы, сейчас. Видел обе стороны медали. Да и вижу сейчас, как разные технари относятся ко всему: "Лишь бы работало". А там хоть трава не расти.

Про остальное - я ж говорю, с попустительства... Либо просто не сильно нужно, чтобы всё это исполнялось. До поры до времени. Но не приведи Господь Вам помянуть мои слова, когда всё же придётся предъявлять по требованию регулятора всё эти "бесполезные бумажки, из-за которых ВПН'ы и так будут работать".

Share this post


Link to post
Share on other sites
В 19.07.2017в18:09, Vintik сказал:

\ "Печально" только бывает то, что 90% сидишь и пишешь эту макулатуру, а когда надо реально по делу помогать, то 10% времени не как не хватает разобраться в проблеме и потому всё это оттягивается, а люди ждут там пенсии и зарплат, а тут не работает HW, ну не вот не хочет передавать и что ей там надо... может она тоже акт хочет увидеть ;-) \ 

Да, к сожалению это большая беда. Часто из-за нехватки персонала. Особенно квалифицированного. Часто "эффективный топ-менеджмент" стремится к "оптимизации", будь она не ладна, и тут начинаются проблемы. И ещё большая беда в том, что они же, эти "топы", после всех этих оптимизаций спрашивают по обоим направлениям работы.

Share this post


Link to post
Share on other sites

Я понимаю вас, это я больше шучу и говорю от соображения клиентов ;-)

Но а про то что до "буковки"  - это реально считаю бред. Это примерно так же как помню безумный филосов всех валил и требовал 99 из 100 отвечать, а вопросы там бред.... а для чего знаете? Да для того чтоб потом за взятку ставить оченки.. короче чтоб ему там поперхнулось  (хотя я сдал со второй попытки, помню он как подачку ещё дал доступ, года до этого ещё 4 теста надо было так же там по 50 вопросов ответить.. кто на лапу дал те ка кто проходили, а тут пока там не поднял на форуме учебном тему "Ну где допуск? ответил всё как по вышеному.." типа - ну ладно вот вам, но на 1 попытку меньше типа я уже давал и вы не прошли... спорить было нереально. Ну вот так и сдал, но больше половины .. эх...) Ну это я к чему? Да к тому что как вы и писали примерно "Был бы человек, а дело всегда найдётся". Так что как бы не писали, если надо будет то найдут.

ОДНАКО согласен с вами - это не значит надо на всё начихать, вовсе нет, надо делать то что можно и хоть как то уважать и их работу. Ведь сколько уже случаев, дулаешь АКТы, шаблоны,... просишь - ну хоть распишитесь там тупо и если вдруг то хоть видно что то старались,  а там доделаете - но что в итоге, а и тоге пока жареный не клюнет, как закинут всё это, так и росписи даже не поставят. Ну и вот с таким отношением конечно это просто не уважение к работе регуляторов, а ведь они старались, говорили вот тут знак пешехода надо, его даже сделали, привезли, осталось только вкопать и пусть там все ходят всё равно не по нему, но вкопать то вкопайте.. эх.

Безответственность.

\ Поду ваши АКТы скопирую, пригодятся, может красивее моих, я с Випнетом даже уже собрал мин инструкции по СКЗИ и те самые шаблоны.. ну кто хочет введут, но заставить не могу.\

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.