toxa41 Опубликовано 17 Декабря 2014 Жалоба Поделиться Опубликовано 17 Декабря 2014 Добрый день, Вопрос качается юридического обоснования работы ЦУС. Развернута сеть ViPNet. ЦУС расположен и функционирует у нас в учреждении, а УКЦ установлен у организации, обладающей лицензией ФСБ и являющейся партнером ОАО Инфотекс. Процедура изготовления сертификатов и ключей шифрования следующая: ЦУС формирует запрос на ключи и сертификаты, УКЦ их делает и передает по защищенному каналу обратно в ЦУС. Далее Администратор ЦУС распространяет ключи и сертификаты конечным пользователям. Возникают Юридические вопросы:1. Возможна ли установка и работа УКЦ на том же АП, где установлен ЦУС? нужна ли нашей организации для этого лицензия ФСБ, ФСТЭК?2. Если рассматривать текущую схему работы (наша организация не изготавливает, а только передает сертификаты и ключи шифрования конечным пользователям), какими документами такой процесс нужно закрепить (соглашения, договора?), а также нужна ли для передачи лицензия ФСБ?3. Какой вид подписи используется в ПО ViPNet Client 3.2 согласно закону об Электронной подписи (простая, усиленная, усиленная квалифицированная), и какими соглашениями правильно оформить взаимное признание электронных подписей всех абонентов сети ViPNet?Ну и общий вопрос, у кого как организован процесс изготовления сертификатов и ключей и закреплено ли это на бумаге? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vladimir Babarin Опубликовано 26 Декабря 2014 Жалоба Поделиться Опубликовано 26 Декабря 2014 Могу ошибаться, но вроде так:1. Да, обычно так и делают - ставят ЦУС и УКЦ на одну машину. Если используете VipNet только для себя, то лицензии не требуются. Достаточно ответственного сотрудника.2. Если конечные пользователи не работают в вашей организации, то лицензия ФСБ обязательна, ибо это попадает под распространение шифровальных средств, указанное в законе о лицензировании отдельных видов деятельности (99-ФЗ). Поэтому тот факт, что электронная подпись проходит через ваши руки - компрометация ключей.3. Усиленная квалифицированная. Чтобы ЭП принималась везде, необходимо выполнить требования Минкомсвязи к удостоверяющим центрам. Бюджетный вариант - заключать с каждой организацией соглашение о взаимном признании электронных документов, подписанных вашими подписями.Полный процесс изготовления лучше уточнить в дружественном УЦ, так как у них есть образцы всех документов - от должностных инструкций до пожарной безопасности. Общий порядок такой: выпускаются ключи, делается запись об этом в журнале учета СКЗИ, под роспись в этом же (а так же клиентском журнале) ключи выдаются на носителе (номер которого так же заносится в журнал), параллельно пользователь подписывает бумажную копию СКП. Мы в журнале печатаем и правила пользования криптосредствами (что такое компрометация и что делать в таких случаях), получается, что пользователь подтверждает, что ознакомлен с этими правилами и готов пользоваться СКЗИ.В случае, если клиент продляет подпись и делает запрос из программы подписывая новый запрос своим сертификатом, берем с него только бумажную копию СКП.Закреплено это на бумаге в виде регламента УЦ, должностных инструкций и журналов учета всего (от СКЗИ до опечатывания и входа/выхода из помещения).Вообще вот: />http://infotecs.ru/learning/programs/ Общие курсы по информационной безопасности - то, с чего следует начать. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.