Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход. Новые регистрации запрещены.

Уведомление

Icon
Error
Соблюдение требований Инструкции ФАПСИ в части поэкзеплярного учета СКЗИ
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline cfyz72  
#1 Оставлено : 16 декабря 2024 г. 15:52:06(UTC)
cfyz72

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.12.2024(UTC)
Сообщений: 3
Доброго времени суток!

В соответствии с пунктом 26 Инструкции ФАПСИ № 152 " ...программные СКЗИ должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование." Этой же инструкцией определена форма журнала поэкземплярного учета СКЗИ (Приложение 2). Столбец 8 журнала поэкземплярного учета предполагает отметку о факте выдачи СКЗИ, столбец 11 журнала поэкземплярного учета предполагает указание номеров аппаратных средств, в которые установлены или к которым подключены СКЗИ, стоблцы 12-14 предполагают внесении информации об изъятии(удалении).

Если в организации используется терминальный доступ для 100 пользователей и на терминальном сервере установлен один экземпляр серверной версии КриптоПРО, возникает резонный вопрос, как вести поэкземплярный учет СКЗИ в разрезе пользователей СКЗИ? Фактически пользователю не передается экземпляр(ы) СКЗИ, подключение(установка) СКЗИ не производится, все пользователи работают с одним экземпляром СКЗИ. В случае отсутствии потребности СКЗИ у конкретного пользователя СКЗИ не выводится из эксплуатации, так им используются остальные терминальные пользователи.
Вверх
Offline basid  
#2 Оставлено : 17 декабря 2024 г. 4:49:09(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,128

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 154 раз в 139 постах
Организационно, работа в RDP-сеансе ничем не отличается от работы на специально подготовленном месте, которое никому и никуда не выдается, а просто предоставляется.
В вашем случае, насколько я понимаю, следует ограничиться поэкземплярным учётом ключей ЭП, как бы они не хранились.
Вверх
Offline cfyz72  
#3 Оставлено : 17 декабря 2024 г. 7:15:58(UTC)
cfyz72

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.12.2024(UTC)
Сообщений: 3
Автор: basid Перейти к цитате
Организационно, работа в RDP-сеансе ничем не отличается от работы на специально подготовленном месте, которое никому и никуда не выдается, а просто предоставляется.
В вашем случае, насколько я понимаю, следует ограничиться поэкземплярным учётом ключей ЭП, как бы они не хранились.


Пользователю предоставляется не специально подготовленное рабочее место, а экземпляр СКЗИ, который должен быть учтен совместно с аппаратными средствами на котором это СКЗИ функционирует. И вопрос учета программного СКЗИ КриптоПРО CSP, с учетом специфики работы с терминальным доступом, а не ключей ЭП.
Вверх
Offline basid  
#4 Оставлено : 18 декабря 2024 г. 6:49:53(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,128

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 154 раз в 139 постах
Никакого "экземпляра СКЗИ" пользователю не предоставляется - ему предоставляется специально оборудованное рабочее место.
За "экземпляр СКЗИ" на RDP-сервере отвечают администраторы (системный и безопасности).
Но вы можете "поэкземплярно" учитывать комбинацию "настроенный сервер и профиль пользователя на этом сервере". Если, конечно, у пользователей нет прав локального администратора на этом RDP-сервере.
Вверх
Offline cfyz72  
#5 Оставлено : 18 декабря 2024 г. 9:47:21(UTC)
cfyz72

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.12.2024(UTC)
Сообщений: 3
Автор: basid Перейти к цитате
Никакого "экземпляра СКЗИ" пользователю не предоставляется - ему предоставляется специально оборудованное рабочее место.
За "экземпляр СКЗИ" на RDP-сервере отвечают администраторы (системный и безопасности).
Но вы можете "поэкземплярно" учитывать комбинацию "настроенный сервер и профиль пользователя на этом сервере". Если, конечно, у пользователей нет прав локального администратора на этом RDP-сервере.


С Вашим подходом учету подлежит что? специально оборудованное место или комбинация настроенный сервер и профиль пользователя на этом сервере?
Инструкция ФАПСИ 152, ПКЗ-2005, эксплуатационная документация на СКЗИ предполагает именно поэкземплярный учет СКЗИ. Ими же дается определение СКЗИ и такого понятия как "специально оборудованное место" или "комбинация настроенный сервер и профиль пользователя" нет.
Вверх
Offline basid  
#6 Оставлено : 18 декабря 2024 г. 14:58:55(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,128

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 154 раз в 139 постах
С вашим подходом экземпляр СКЗИ на RDP сервере учитывается "за администраторами". То, что экземпляр этого СКЗИ может использовать десяток-другой (сотня-другая) пользователей - к делу не относится.
Если делать как-то иначе, то следующий логичный шаг - требовать от владельца HSM "передаточной записи" на каждого вашего пользователя. Для поэкземплярного учёта. Потому что.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET