Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
63-ФЗ. Руководство по обеспечению безопасности
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Eserten  
#1 Оставлено : 21 июня 2012 г. 19:00:16(UTC)
Eserten

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.06.2012(UTC)
Сообщений: 99
Откуда: Москва

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
п. 4 ст. 18 ФЗ от 06.04.2011 № 63-ФЗ "Об электронной подписи" написал:
4. Аккредитованный удостоверяющий центр одновременно с выдачей квалифицированного сертификата должен выдать владельцу квалифицированного сертификата руководство по обеспечению безопасности использования квалифицированной электронной подписи и средств квалифицированной электронной подписи.


Кто-нибудь уже готов к исполнению данного пункта? Может быть есть типовые формы или документация в рамках УЦ действующего на ПО КриптоПро УЦ и выпускающего ЭП для пользователей, которые в качестве СКЗИ будут использовать КриптоПро CSP?)
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Юрий Маслов  
#2 Оставлено : 22 июня 2012 г. 15:31:44(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Все готовы :-) Просто выдавайте комплект эксплуатационной документации на средство ЭП, сертифицированное ФСБ на требования по 63-ФЗ. Ничего более не нужно!
С уважением,
КРИПТО-ПРО
Вверх
WWW
Offline Eserten  
#3 Оставлено : 22 июня 2012 г. 15:55:05(UTC)
Eserten

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.06.2012(UTC)
Сообщений: 99
Откуда: Москва

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
Спасибо)
Вверх
Offline Eserten  
#4 Оставлено : 25 июня 2012 г. 13:25:33(UTC)
Eserten

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.06.2012(UTC)
Сообщений: 99
Откуда: Москва

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
пп.1 п. 2 ст. 13 ФЗ от 06.04.2011 № 63-ФЗ "Об электронной подписи" написал:
2. Удостоверяющий центр обязан:
1) информировать в письменной форме заявителей об условиях и о порядке использования электронных подписей и средств электронной подписи, о рисках, связанных с использованием электронных подписей, и о мерах, необходимых для обеспечения безопасности электронных подписей и их проверки;

Почитал закон еще раз и вот этот пункт привел к тому же вопросу. Условие и порядок использования ЭП, риски, входит в документацию на CSP? И, получается, раз необходимо предоставлять в письменной форме, то нужно распечатывать документацию на CSP и передавать пользователям?
Вверх
Offline Лев Плинер  
#5 Оставлено : 25 июня 2012 г. 17:16:38(UTC)
Лев Плинер

Статус: Активный участник

Группы: Участники
Зарегистрирован: 30.01.2012(UTC)
Сообщений: 51
Откуда: Екатеринбург
Eserten написал:
пп.1 п. 2 ст. 13 ФЗ от 06.04.2011 № 63-ФЗ "Об электронной подписи" написал:
2. Удостоверяющий центр обязан:
1) информировать в письменной форме заявителей об условиях и о порядке использования электронных подписей и средств электронной подписи, о рисках, связанных с использованием электронных подписей, и о мерах, необходимых для обеспечения безопасности электронных подписей и их проверки;

Почитал закон еще раз и вот этот пункт привел к тому же вопросу. Условие и порядок использования ЭП, риски, входит в документацию на CSP? И, получается, раз необходимо предоставлять в письменной форме, то нужно распечатывать документацию на CSP и передавать пользователям?

Смотря что считать риском. Если риском считать угрозу ИБ (ГОСТ Р 50922-2006), то документации на CSP будет достаточно. Если нет, можно взять определение риска из 184-ФЗ
Цитата:
вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда

или из ГОСТ Р ИСО/МЭК 27005-2010 и перечислить нормы 63-ФЗ и 149-ФЗ, нарушение которых приводит к возникновению негативных последствий. Все документы можно выложить на сайте, указав в договоре оказания услуги УЦ или в регламенте УЦ ознакомление.

Мы, по крайней мере, так и собираемся сделать.

Необходимость ознакомиться и следовать за порядком использования, установленным ФЗ, подзаконными актами, соглашениями, решениями операторов ИС, можно тоже прописать в регламенте или в договоре.

Отредактировано пользователем 25 июня 2012 г. 17:18:44(UTC)  | Причина: Не указана
Вверх
WWW
Offline Юрий Маслов  
#6 Оставлено : 27 июня 2012 г. 14:18:16(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Согласен с предыдущим постом Лев Плинер. Порядок информирования существенно зависит от того, для какой информационной системы работает Ваш УЦ.
Например, если Вы работаете в системе сдачи отчётности, то всё это (информирование) можете запихнуть в договор с налогоплательщиком/страхователем/респондентом.
Если у Вас УЦ "для всех" (для торговых площадок и т.д.) то прописывайте в регламенте УЦ.

В контексте пп.1 п. 2 ст. 13 ФЗ от 06.04.2011 № 63-ФЗ под рисками понимается потенциальная возможность причинения вреда заявителю вследствии наступления следующих событий:
1) постороннее лицо сформировало электронную подпись от имени владельца сертификата ключа проверки электронной подписи. Это событие может наступить вследствии:
- неосторожного обращения владельца сертификата ключа проверки электронной подписи с ключевым носителем, повлекшее утерю ключевого носителя и/или получение доступа посторонних лиц к ключу электронной подписи;
- непреднамеренных действий посторонних лиц, вследствии которых последние получили доступ к ключу электронной подписи;
- преднамеренных действий посторонних лиц, вследствии которых последние получили доступ к ключу электронной подписи;
- формирования электронной подписи на подложном документе вследствии действия посторонних лиц в информационной системе, в которой применяется электронная подпись.

2) лицо приняло к исполнению и/или к сведению электронный документ, удостоверенный электронной подписью, неверно идентифицировав лицо, сформировавшее электронную подпись, и/или его полномочия. Это событие может наступить вследствии:
- недействительности сертификата ключа проверки электронной подписи;
- несоответствия идентификационных данных владельца, записанных в сертификат ключа проверки электронной подписи, лицу, которое должно было подписать электронный документ;
- несоответствия вида документа и полномочий владельца сертификата ключа проверки электронной подписи, информация о которых приведена в сертификате ключа проверки электронной подписи или известных лицу, принимающего электронный документ к исполнению.

3) лицо приняло к исполнению и/или к сведению искажённый электронный документ, удостоверенный электронной подписью. Это событие может наступить вследствии:
- непроведения проверки контроля целостности электронного документа и электронной подписи;

Вот где-то так.... Трактакт на эту тему писать не буду, но, надеюсь, ход мысли понятен Вам.

Ну меры в этом посте расписывать не нужно. Тут нет ничего нового.
С уважением,
КРИПТО-ПРО
Вверх
WWW
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET