Jump to content

Recommended Posts

Добрый день, Вопрос качается юридического обоснования работы ЦУС. Развернута сеть ViPNet. ЦУС расположен и функционирует у нас в учреждении, а УКЦ установлен у организации, обладающей лицензией ФСБ и являющейся партнером ОАО Инфотекс. Процедура изготовления сертификатов и ключей шифрования следующая: ЦУС формирует запрос на ключи и сертификаты, УКЦ их делает и передает по защищенному каналу обратно в ЦУС. Далее Администратор ЦУС распространяет ключи и сертификаты конечным пользователям. Возникают Юридические вопросы:

1. Возможна ли установка и работа УКЦ на том же АП, где установлен ЦУС? нужна ли нашей организации для этого лицензия ФСБ, ФСТЭК?

2. Если рассматривать текущую схему работы (наша организация не изготавливает, а только передает сертификаты и ключи шифрования конечным пользователям), какими документами такой процесс нужно закрепить (соглашения, договора?), а также нужна ли для передачи лицензия ФСБ?

3. Какой вид подписи используется в ПО ViPNet Client 3.2 согласно закону об Электронной подписи (простая, усиленная, усиленная квалифицированная), и какими соглашениями правильно оформить взаимное признание электронных подписей всех абонентов сети ViPNet?

Ну и общий вопрос, у кого как организован процесс изготовления сертификатов и ключей и закреплено ли это на бумаге?

Share this post


Link to post
Share on other sites

Могу ошибаться, но вроде так:

1. Да, обычно так и делают - ставят ЦУС и УКЦ на одну машину. Если используете VipNet только для себя, то лицензии не требуются. Достаточно ответственного сотрудника.

2. Если конечные пользователи не работают в вашей организации, то лицензия ФСБ обязательна, ибо это попадает под распространение шифровальных средств, указанное в законе о лицензировании отдельных видов деятельности (99-ФЗ). Поэтому тот факт, что электронная подпись проходит через ваши руки - компрометация ключей.

3. Усиленная квалифицированная. Чтобы ЭП принималась везде, необходимо выполнить требования Минкомсвязи к удостоверяющим центрам. Бюджетный вариант - заключать с каждой организацией соглашение о взаимном признании электронных документов, подписанных вашими подписями.

Полный процесс изготовления лучше уточнить в дружественном УЦ, так как у них есть образцы всех документов - от должностных инструкций до пожарной безопасности. Общий порядок такой: выпускаются ключи, делается запись об этом в журнале учета СКЗИ, под роспись в этом же (а так же клиентском журнале) ключи выдаются на носителе (номер которого так же заносится в журнал), параллельно пользователь подписывает бумажную копию СКП. Мы в журнале печатаем и правила пользования криптосредствами (что такое компрометация и что делать в таких случаях), получается, что пользователь подтверждает, что ознакомлен с этими правилами и готов пользоваться СКЗИ.

В случае, если клиент продляет подпись и делает запрос из программы подписывая новый запрос своим сертификатом, берем с него только бумажную копию СКП.

Закреплено это на бумаге в виде регламента УЦ, должностных инструкций и журналов учета всего (от СКЗИ до опечатывания и входа/выхода из помещения).

Вообще вот:
/>http://infotecs.ru/learning/programs/

Общие курсы по информационной безопасности - то, с чего следует начать.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.