Jump to content

Recommended Posts

Добрый день!

Хотел спросить у кого как организованна рассылка СКД  в удаленные офисы (другой город), с учетом того что там есть админ безопасности и сеть уже развернута. Интересует, как правильно организовать рассылку с использованием деловой почты, какой формы при этом должны  иметь журналы (с нашей и с другой стороны), что указывать в полях журнала и откуда брать данные.

 

Инструкции ФАПСИ №152:

При необходимости передачи по техническим средствам связи служебных сообщений, касающихся организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации, соответствующие указания необходимо передавать, только применяя СКЗИ. Передача по техническим средствам связи криптоключей не допускается, за исключением специально организованных систем с децентрализованным снабжением криптоключами.

 

Правила пользования ViPNet Administrator 4

7.2.1 Дистрибутивы ключей

Дистрибутивы ключей для первичной инициализации формируются в ViPNet УКЦ и передаются Администраторам безопасности лично, доверенным способом (доверенный канал связи или фельдсвязь) или по защищенным с помощью ПО ViPNet каналам связи с использованием ПО ViPNet Деловая почта с оформлением соответствующей записи в журнале учета выдачи ключевых документов.

Share this post


Link to post
Share on other sites

Журналы по форме из приложений152-ФАПСИ. Наименование СКЗИ кто что пишет, например "ПО ViPNet CLient версии такой то, id узла такой то" для идентификации. Это все из ЦУС/УКЦ брать.

DST в архив, архив по Деловой почте, пароль от архива передаете иным способом (тел./sms/лично).

Share this post


Link to post
Share on other sites

Это вам скажут регуляторы)) Отрицательных отзывов на данную практику не слышал, естественно если это не гос тайна и тп. Ссылаться все равно будете на формуляр + документы по взаимодействию м/д вами и "офисом" (филиалом и т.д.)

Share this post


Link to post
Share on other sites

Когда поднимал сеть с нуля - вызывал всех пользователей (пользователи были разбросаны по городам края) и лично вручал в руки записанные dst-файлы на CD и ключи пользователей на eToken'ах. С занесением соответствующих записей в журнал по форме Инструкции ФАПСИ. Далее, ключи пользователи обновляли сами. Если приходилось выпускать новый dst-файл или ключи пользователя - также вызывал пользователя и лично ему вручал с отражением всего необходимого в журналах. Потом установили у каждого администратора безопасности клиента ViPNet и dst-файлы уже рассылались по Деловой почте. Но ключи всё равно вручал пользователям лично, когда они приезжали ко мне. Ну, пару раз было так, что всё равно нужно было ехать в филиал по другим делам. Брал комплект с собой, вручал на месте. Опять же - с занесением всего необходимого в журналы.

Share this post


Link to post
Share on other sites

Ок. Дело в том что обмен у нас только с админами безопасности уд. офисов. А вот они уже на местах выдают ключики пользователям. Сейчас работа идет через почту (водящие и исодящие письма). Журнал у нас ведется в эл. виде.  Бумага и CD диски текут как вода. Вот вопрос и стал как отказаться от старой схемы. Пользователей всего в сети около 9000. )))

Share this post


Link to post
Share on other sites
9 часов назад, Xenobius сказал:

Когда поднимал сеть с нуля - вызывал всех пользователей (пользователи были разбросаны по городам края) и лично вручал в руки записанные dst-файлы на CD и ключи пользователей на eToken'ах. С занесением соответствующих записей в журнал по форме Инструкции ФАПСИ. Далее, ключи пользователи обновляли сами. Если приходилось выпускать новый dst-файл или ключи пользователя - также вызывал пользователя и лично ему вручал с отражением всего необходимого в журналах. Потом установили у каждого администратора безопасности клиента ViPNet и dst-файлы уже рассылались по Деловой почте. Но ключи всё равно вручал пользователям лично, когда они приезжали ко мне. Ну, пару раз было так, что всё равно нужно было ехать в филиал по другим делам. Брал комплект с собой, вручал на месте. Опять же - с занесением всего необходимого в журналы.

А кто вас контролировал, что вы по пути шпионам не передавали информацию?

Как то запросил сертификат (открытую часть ключа) и как требуется зашифровал по ГОСТ, ещё внутри и на зип пароль и отправил. Пароль потом по другим каналом передал.

Share this post


Link to post
Share on other sites
В 25.01.2018 в 18:34, alex_av сказал:

Ок. Дело в том что обмен у нас только с админами безопасности уд. офисов. А вот они уже на местах выдают ключики пользователям. Сейчас работа идет через почту (водящие и исодящие письма). Журнал у нас ведется в эл. виде.  Бумага и CD диски текут как вода. Вот вопрос и стал как отказаться от старой схемы. Пользователей всего в сети около 9000. )))

От бумажного учёта Вы не откажетесь. Ровно до тех пор, пока ФСБ не изменит свой древний нормативный документ 2001-го года. Не важно какое количество у Вас пользователей СКЗИ. И про ведение журнала учёта в электронном виде в том документе ничего нет... ;)

 

В 25.01.2018 в 19:20, Vintik сказал:

А кто вас контролировал, что вы по пути шпионам не передавали информацию?

Как то запросил сертификат (открытую часть ключа) и как требуется зашифровал по ГОСТ, ещё внутри и на зип пароль и отправил. Пароль потом по другим каналом передал.

В пути, чтобы я ничего никуда не слил шпионам, контролировал процесс доставки, как говорится в старой милицейской шутке, "специально приставленный толковый майор". :D

Ну, а если серьёзно - да, конечно просто так нельзя возить такие дела. Опять же, по нормативным документам ФСБ, необходимо для доставки средств криптозащиты использовать "Спецсвязь". Раньше ещё можно было использовать доставку фельдъегерской службой, но, вроде как, они больше этим не занимаются.

В данном случае можно притянуть за уши тот факт, что согласно модели нарушителя, я был исключён из числа таковых. И к тому же я был УЛУЦ (уполномоченное лицо удостоверяющего центра) согласно приказа и Регламента удостоверяющего центра. Да, так себе объяснение, но хоть как-то... B)

Share this post


Link to post
Share on other sites

Теперь понятно, вы УЛУЦ и передавать могут только ДЖЕДАИ, всё ясно :-)

Share this post


Link to post
Share on other sites

Мы недавно с коллегой рассуждали на тему - мы джедаи на светлой или на тёмной стороне силы. Сошлись на том, что скорее всего, на тёмной. Так как безопасников не любят... :D

Share this post


Link to post
Share on other sites

:D есть такое )))

Но если учесть, что вы их оберегаете от штрафных санкций ФСБ, то вы белые, а те уже чернота которую не отмыть :ph34r:

Share this post


Link to post
Share on other sites

Да, согласен. Но тут скорее будет правильнее сказать - безопасники защищают в первую очередь предприятие, директора этого предпрития. И только потом уже "ответственных лиц" на местах. Народ в общей своей массе не понимает этого и мыслит "здесь и сейчас". А ещё будем учитывать, что чаще всего большая часть "личного состава" - это дамы, которые изначально более эмоциональны и импульсивны, то работа начинает "играть более яркими красками" и скучать уже не приходится. ;)

P.S. Мы в оффтоп уже скатываемся. Нас забанят. ;)

Share this post


Link to post
Share on other sites
8 минут назад, Xenobius сказал:

.....

P.S. Мы в оффтоп уже скатываемся. Нас забанят. ;)

Не, не забанят. Тех.п. тут не отвечает, кое какие спец. заглядывает, но в большей части не чего полезного не пишут, потому главное не ругаться.

Ну и тема как называется - "как правильно организовать рассылку СКД" - ВОТ! Потому мы тут рассматривая психологические аспекты клиентов, разрабатываем (рассматриваем) их реакцию и пытаемся создать рассылку, чтоб донести до пользователей, что это не мы враги, а так надо. 

\ А так вы в теме новый касс, какой там ужас и что? Или принять и работать или освобождайте рынок... эх. \

И к тому же наша задача ещё сделать по макс. удобной работу с тем что навязывают, а не как так бывает - тоже НСД не раз видел поставит просто так и потом клиент понятно будет слиться т.к. даже мин. не настроено, а обучаться как вы заметили многим это в зарплату не вписывают и не надо (есть те кому и не хочется). И вот тот же пример, сегодня обновляя винет с 3 на 4, люди уже сами прекрасно знают : "Ага, чтоб не тормазило надо пересчитать КС, а то начнёт..." - вот и всё! Видите как просто, а то помню жаловались, что всё больше и больше загружется с этим НСД, а потому что он там в журнал засорял событиями "НСД". Вот сегодня ещё узнали как утвердить изменения по железу, а то так же понимаю не приятно постоянно  ругается. И всё сразу прекрасно. А до нас там гаврики им не слова не подсказали или сами не знали (я ко второму склоняюсь, потому что когда обновлял НСД заметил, что КС не были НИ РАЗУ построены..).

Так что будем выполнять свою работу как можем и желательно так, как бы вы это сделали для себя, но без фанатизма ;-)

А недовольные всегда будут.

20200428.jpg.3c62807e0abbde806fd1a30eb0fd2e09.jpg

 

Share this post


Link to post
Share on other sites

Согласен. Нужно просто делать свою работу. И стараться делать её качественно.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.