Юридическое Обоснование Работы Цус

[toxa41]

Добрый день, Вопрос качается юридического обоснования работы ЦУС. Развернута сеть ViPNet. ЦУС расположен и функционирует у нас в учреждении, а УКЦ установлен у организации, обладающей лицензией ФСБ и являющейся партнером ОАО Инфотекс. Процедура изготовления сертификатов и ключей шифрования следующая: ЦУС формирует запрос на ключи и сертификаты, УКЦ их делает и передает по защищенному каналу обратно в ЦУС. Далее Администратор ЦУС распространяет ключи и сертификаты конечным пользователям. Возникают Юридические вопросы:

1. Возможна ли установка и работа УКЦ на том же АП, где установлен ЦУС? нужна ли нашей организации для этого лицензия ФСБ, ФСТЭК?

2. Если рассматривать текущую схему работы (наша организация не изготавливает, а только передает сертификаты и ключи шифрования конечным пользователям), какими документами такой процесс нужно закрепить (соглашения, договора?), а также нужна ли для передачи лицензия ФСБ?

3. Какой вид подписи используется в ПО ViPNet Client 3.2 согласно закону об Электронной подписи (простая, усиленная, усиленная квалифицированная), и какими соглашениями правильно оформить взаимное признание электронных подписей всех абонентов сети ViPNet?

Ну и общий вопрос, у кого как организован процесс изготовления сертификатов и ключей и закреплено ли это на бумаге?

[Vladimir Babarin]

Могу ошибаться, но вроде так:

1. Да, обычно так и делают - ставят ЦУС и УКЦ на одну машину. Если используете VipNet только для себя, то лицензии не требуются. Достаточно ответственного сотрудника.

2. Если конечные пользователи не работают в вашей организации, то лицензия ФСБ обязательна, ибо это попадает под распространение шифровальных средств, указанное в законе о лицензировании отдельных видов деятельности (99-ФЗ). Поэтому тот факт, что электронная подпись проходит через ваши руки - компрометация ключей.

3. Усиленная квалифицированная. Чтобы ЭП принималась везде, необходимо выполнить требования Минкомсвязи к удостоверяющим центрам. Бюджетный вариант - заключать с каждой организацией соглашение о взаимном признании электронных документов, подписанных вашими подписями.

Полный процесс изготовления лучше уточнить в дружественном УЦ, так как у них есть образцы всех документов - от должностных инструкций до пожарной безопасности. Общий порядок такой: выпускаются ключи, делается запись об этом в журнале учета СКЗИ, под роспись в этом же (а так же клиентском журнале) ключи выдаются на носителе (номер которого так же заносится в журнал), параллельно пользователь подписывает бумажную копию СКП. Мы в журнале печатаем и правила пользования криптосредствами (что такое компрометация и что делать в таких случаях), получается, что пользователь подтверждает, что ознакомлен с этими правилами и готов пользоваться СКЗИ.

В случае, если клиент продляет подпись и делает запрос из программы подписывая новый запрос своим сертификатом, берем с него только бумажную копию СКП.

Закреплено это на бумаге в виде регламента УЦ, должностных инструкций и журналов учета всего (от СКЗИ до опечатывания и входа/выхода из помещения).

Вообще вот:
/>http://infotecs.ru/learning/programs/

Общие курсы по информационной безопасности - то, с чего следует начать.