alex_av Опубликовано 24 Января 2018 Жалоба Поделиться Опубликовано 24 Января 2018 Добрый день! Хотел спросить у кого как организованна рассылка СКД в удаленные офисы (другой город), с учетом того что там есть админ безопасности и сеть уже развернута. Интересует, как правильно организовать рассылку с использованием деловой почты, какой формы при этом должны иметь журналы (с нашей и с другой стороны), что указывать в полях журнала и откуда брать данные. Инструкции ФАПСИ №152: При необходимости передачи по техническим средствам связи служебных сообщений, касающихся организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации, соответствующие указания необходимо передавать, только применяя СКЗИ. Передача по техническим средствам связи криптоключей не допускается, за исключением специально организованных систем с децентрализованным снабжением криптоключами. Правила пользования ViPNet Administrator 4 7.2.1 Дистрибутивы ключей Дистрибутивы ключей для первичной инициализации формируются в ViPNet УКЦ и передаются Администраторам безопасности лично, доверенным способом (доверенный канал связи или фельдсвязь) или по защищенным с помощью ПО ViPNet каналам связи с использованием ПО ViPNet Деловая почта с оформлением соответствующей записи в журнале учета выдачи ключевых документов. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Sergeyy Опубликовано 24 Января 2018 Жалоба Поделиться Опубликовано 24 Января 2018 Журналы по форме из приложений152-ФАПСИ. Наименование СКЗИ кто что пишет, например "ПО ViPNet CLient версии такой то, id узла такой то" для идентификации. Это все из ЦУС/УКЦ брать. DST в архив, архив по Деловой почте, пароль от архива передаете иным способом (тел./sms/лично). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
alex_av Опубликовано 24 Января 2018 Автор Жалоба Поделиться Опубликовано 24 Января 2018 ок. это не противоречит 152-ФАПСИ? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Sergeyy Опубликовано 24 Января 2018 Жалоба Поделиться Опубликовано 24 Января 2018 Это вам скажут регуляторы)) Отрицательных отзывов на данную практику не слышал, естественно если это не гос тайна и тп. Ссылаться все равно будете на формуляр + документы по взаимодействию м/д вами и "офисом" (филиалом и т.д.) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 25 Января 2018 Жалоба Поделиться Опубликовано 25 Января 2018 Когда поднимал сеть с нуля - вызывал всех пользователей (пользователи были разбросаны по городам края) и лично вручал в руки записанные dst-файлы на CD и ключи пользователей на eToken'ах. С занесением соответствующих записей в журнал по форме Инструкции ФАПСИ. Далее, ключи пользователи обновляли сами. Если приходилось выпускать новый dst-файл или ключи пользователя - также вызывал пользователя и лично ему вручал с отражением всего необходимого в журналах. Потом установили у каждого администратора безопасности клиента ViPNet и dst-файлы уже рассылались по Деловой почте. Но ключи всё равно вручал пользователям лично, когда они приезжали ко мне. Ну, пару раз было так, что всё равно нужно было ехать в филиал по другим делам. Брал комплект с собой, вручал на месте. Опять же - с занесением всего необходимого в журналы. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
alex_av Опубликовано 25 Января 2018 Автор Жалоба Поделиться Опубликовано 25 Января 2018 Ок. Дело в том что обмен у нас только с админами безопасности уд. офисов. А вот они уже на местах выдают ключики пользователям. Сейчас работа идет через почту (водящие и исодящие письма). Журнал у нас ведется в эл. виде. Бумага и CD диски текут как вода. Вот вопрос и стал как отказаться от старой схемы. Пользователей всего в сети около 9000. ))) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vintik Опубликовано 25 Января 2018 Жалоба Поделиться Опубликовано 25 Января 2018 9 часов назад, Xenobius сказал: Когда поднимал сеть с нуля - вызывал всех пользователей (пользователи были разбросаны по городам края) и лично вручал в руки записанные dst-файлы на CD и ключи пользователей на eToken'ах. С занесением соответствующих записей в журнал по форме Инструкции ФАПСИ. Далее, ключи пользователи обновляли сами. Если приходилось выпускать новый dst-файл или ключи пользователя - также вызывал пользователя и лично ему вручал с отражением всего необходимого в журналах. Потом установили у каждого администратора безопасности клиента ViPNet и dst-файлы уже рассылались по Деловой почте. Но ключи всё равно вручал пользователям лично, когда они приезжали ко мне. Ну, пару раз было так, что всё равно нужно было ехать в филиал по другим делам. Брал комплект с собой, вручал на месте. Опять же - с занесением всего необходимого в журналы. А кто вас контролировал, что вы по пути шпионам не передавали информацию? Как то запросил сертификат (открытую часть ключа) и как требуется зашифровал по ГОСТ, ещё внутри и на зип пароль и отправил. Пароль потом по другим каналом передал. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 27 Января 2018 Жалоба Поделиться Опубликовано 27 Января 2018 В 25.01.2018 в 18:34, alex_av сказал: Ок. Дело в том что обмен у нас только с админами безопасности уд. офисов. А вот они уже на местах выдают ключики пользователям. Сейчас работа идет через почту (водящие и исодящие письма). Журнал у нас ведется в эл. виде. Бумага и CD диски текут как вода. Вот вопрос и стал как отказаться от старой схемы. Пользователей всего в сети около 9000. ))) От бумажного учёта Вы не откажетесь. Ровно до тех пор, пока ФСБ не изменит свой древний нормативный документ 2001-го года. Не важно какое количество у Вас пользователей СКЗИ. И про ведение журнала учёта в электронном виде в том документе ничего нет... В 25.01.2018 в 19:20, Vintik сказал: А кто вас контролировал, что вы по пути шпионам не передавали информацию? Как то запросил сертификат (открытую часть ключа) и как требуется зашифровал по ГОСТ, ещё внутри и на зип пароль и отправил. Пароль потом по другим каналом передал. В пути, чтобы я ничего никуда не слил шпионам, контролировал процесс доставки, как говорится в старой милицейской шутке, "специально приставленный толковый майор". Ну, а если серьёзно - да, конечно просто так нельзя возить такие дела. Опять же, по нормативным документам ФСБ, необходимо для доставки средств криптозащиты использовать "Спецсвязь". Раньше ещё можно было использовать доставку фельдъегерской службой, но, вроде как, они больше этим не занимаются. В данном случае можно притянуть за уши тот факт, что согласно модели нарушителя, я был исключён из числа таковых. И к тому же я был УЛУЦ (уполномоченное лицо удостоверяющего центра) согласно приказа и Регламента удостоверяющего центра. Да, так себе объяснение, но хоть как-то... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vintik Опубликовано 27 Января 2018 Жалоба Поделиться Опубликовано 27 Января 2018 Теперь понятно, вы УЛУЦ и передавать могут только ДЖЕДАИ, всё ясно :-) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 29 Января 2018 Жалоба Поделиться Опубликовано 29 Января 2018 Мы недавно с коллегой рассуждали на тему - мы джедаи на светлой или на тёмной стороне силы. Сошлись на том, что скорее всего, на тёмной. Так как безопасников не любят... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vintik Опубликовано 29 Января 2018 Жалоба Поделиться Опубликовано 29 Января 2018 есть такое ))) Но если учесть, что вы их оберегаете от штрафных санкций ФСБ, то вы белые, а те уже чернота которую не отмыть Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 29 Января 2018 Жалоба Поделиться Опубликовано 29 Января 2018 Да, согласен. Но тут скорее будет правильнее сказать - безопасники защищают в первую очередь предприятие, директора этого предпрития. И только потом уже "ответственных лиц" на местах. Народ в общей своей массе не понимает этого и мыслит "здесь и сейчас". А ещё будем учитывать, что чаще всего большая часть "личного состава" - это дамы, которые изначально более эмоциональны и импульсивны, то работа начинает "играть более яркими красками" и скучать уже не приходится. P.S. Мы в оффтоп уже скатываемся. Нас забанят. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vintik Опубликовано 29 Января 2018 Жалоба Поделиться Опубликовано 29 Января 2018 8 минут назад, Xenobius сказал: ..... P.S. Мы в оффтоп уже скатываемся. Нас забанят. Не, не забанят. Тех.п. тут не отвечает, кое какие спец. заглядывает, но в большей части не чего полезного не пишут, потому главное не ругаться. Ну и тема как называется - "как правильно организовать рассылку СКД" - ВОТ! Потому мы тут рассматривая психологические аспекты клиентов, разрабатываем (рассматриваем) их реакцию и пытаемся создать рассылку, чтоб донести до пользователей, что это не мы враги, а так надо. \ А так вы в теме новый касс, какой там ужас и что? Или принять и работать или освобождайте рынок... эх. \ И к тому же наша задача ещё сделать по макс. удобной работу с тем что навязывают, а не как так бывает - тоже НСД не раз видел поставит просто так и потом клиент понятно будет слиться т.к. даже мин. не настроено, а обучаться как вы заметили многим это в зарплату не вписывают и не надо (есть те кому и не хочется). И вот тот же пример, сегодня обновляя винет с 3 на 4, люди уже сами прекрасно знают : "Ага, чтоб не тормазило надо пересчитать КС, а то начнёт..." - вот и всё! Видите как просто, а то помню жаловались, что всё больше и больше загружется с этим НСД, а потому что он там в журнал засорял событиями "НСД". Вот сегодня ещё узнали как утвердить изменения по железу, а то так же понимаю не приятно постоянно ругается. И всё сразу прекрасно. А до нас там гаврики им не слова не подсказали или сами не знали (я ко второму склоняюсь, потому что когда обновлял НСД заметил, что КС не были НИ РАЗУ построены..). Так что будем выполнять свою работу как можем и желательно так, как бы вы это сделали для себя, но без фанатизма ;-) А недовольные всегда будут. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 29 Января 2018 Жалоба Поделиться Опубликовано 29 Января 2018 Согласен. Нужно просто делать свою работу. И стараться делать её качественно. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.