Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы12>
Колличество ЭПЦ на один носитель eToken
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline RenatGataullin  
#1 Оставлено : 3 октября 2012 г. 15:15:43(UTC)
RenatGataullin

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.09.2012(UTC)
Сообщений: 1
Откуда: Казань
День добрый. Нужен совет. От клиента поступила заявка на генерацию ЭЦП, в количестве 2х штук, тип носителя eToken. ЭЦП создается для последующего подписания электронных платежек. Технически можно записать два закрытых ключа на один носитель. С точки зрения безопасности, это не правильно. Соответственно для каждого закрытого ключа отдельный носитель. Теперь посмотрим на данный вопрос с точки зрения менеджера. Каждый eToken это дополнительные финансовые расходы. Клиенты не хочет платить доп. деньги. Но при этом ему нужно иметь две ЭЦП. Как быть?
Вверх
Offline Ivanov-aa  
#2 Оставлено : 3 октября 2012 г. 15:36:39(UTC)
Ivanov-aa

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 01.08.2011(UTC)
Сообщений: 674
Откуда: Москва

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 38 раз в 36 постах
RenatGataullin написал:
Как быть?

решать вам, как подходить к этому вопросу, "технически" или "с точки зрения менеджера"
Вверх
Offline Laroux  
#3 Оставлено : 1 марта 2013 г. 9:29:26(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
Есть необходимость вернуться к вопросу про два и более ключа на один носитель при условии, что ключи принадлежат разным лицам. И не технически, а юридически.

Какова аргументация?
Вверх
WWW
Offline Executer  
#4 Оставлено : 1 марта 2013 г. 11:22:01(UTC)
Executer

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.03.2011(UTC)
Сообщений: 213
Мужчина
Откуда: Вологда

Сказал «Спасибо»: 32 раз
Поблагодарили: 17 раз в 13 постах
Автор: Laroux Перейти к цитате
Есть необходимость вернуться к вопросу про два и более ключа на один носитель при условии, что ключи принадлежат разным лицам. И не технически, а юридически.

Какова аргументация?

А как в таком случае выполнить п.20 (Обязанности пользователей СКЗИ) 152 Инструкции ФАПСИ при условии, что криптоключи одного пользователя храняться у другого? Или у третьего лица? Каждый раз перед выдачей и при возвращении вносить запись в Журнал учета? Замордуемся при значительном числе пользователей. А как возложить ответственность на пользователя при компрометации, если в это время носитель был у другого?
Потому что:
Цитата из 152: "27. Все полученные обладателем конфиденциальной информации экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ, несущим персональную ответственность за их сохранность."
И ещё из п. 26: "Единицей поэкземплярного учета ключевых документов считается ключевой носитель ..."
Поэтому подход должен быть однозначным: одна ФИО-один НКИ!
Вот как то так.

Отредактировано пользователем 1 марта 2013 г. 11:25:27(UTC)  | Причина: Не указана
Вверх
thanks 3 пользователей поблагодарили Executer за этот пост.
Андрей * оставлено 01.03.2013(UTC), Laroux оставлено 01.03.2013(UTC), avm оставлено 04.03.2013(UTC)
Offline Expert  
#5 Оставлено : 1 марта 2013 г. 13:25:36(UTC)
Expert

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
Для тех, кто не желает напрягаться и боится «Замордоваться при значительном числе пользователей».
Носители предназначенные для хранения ключей (например, e-token и ru-token) обеспечивают техническую возможность хранения на одном носителе несколько ключей и обеспечивают неизвлекаемость (неэкспортируемость) ключей. Эти носители прошли сертификацию по требованиям безопасности в ФСБ и ФСТЭК, получили соответствующие сертификаты, без каких либо ограничений (типа все хранящиеся ключи должны принадлежать только одному пользователю).
Позволю напомнить, что безопасность информации (в данном случае одно из свойств безопасности-конфиденциальность) обеспечивается как техническими, так и организационными мерами.
Таким образом, технически конфиденциальность обеспечена производителем- неизвлекаемость и это подтверждено сертификатами ФСБ и ФСТЭК, организационные меры – роспись пользователей в журналах учета остается за организацией обладателем конфиденциальной информации. При этом основным руководящим документом действительно является Инструкция утвержденная приказом ФАПСИ № 152.

Как то так.
Вверх
Offline Laroux  
#6 Оставлено : 1 марта 2013 г. 13:38:24(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
Означает ли Ваше последнее сообщение, что на основании того, что ключ Петрова П.П. является неэкспортируемым и записан на один и тот же сертифицированный аля-токен с ключом Иванова И.И. и при этом аля-токен физически у Иванова И.И. мы можем утверждать, что Иванов И.И. не мог воспользоваться ключом Петрова П.П. (в т.ч. сделать его копию)?
Вверх
WWW
Offline Expert  
#7 Оставлено : 1 марта 2013 г. 14:02:04(UTC)
Expert

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
Директор компании (единоличный исполнительный орган) Петров, действует от имени компании без доверенности, но может выдать Доверенность на свои полномочия (или часть полномочий) по подписанию документов Иванову.
Это законно? Конечно, но при этом вопрос в доверии Петрова к Иванову.
Аналогично, Петров получил ключ ЭП на свое имя, записали ключ на носитель. Петров может хранить носитель лично или доверить хранение и использование носителя Иванову. Если он опять же уверен в Иванове.
В этом случае также оформляется доверенность или иной документ, подтверждающий добровольное согласие Петрова.
Вверх
Offline Laroux  
#8 Оставлено : 1 марта 2013 г. 14:33:20(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
а изменится ли что-то, если Петров единоличный исполнительный орган ООО "А", а Иванов - единоличный исполнительный орган ООО "Б"?
Вверх
WWW
Offline Expert  
#9 Оставлено : 1 марта 2013 г. 15:03:11(UTC)
Expert

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
Каждое юридическое лицо -обладатель конфиденциальной информации разрабатывает некий документ (обычно это политика ИБ, перечень сведений конфиденциального характера и т.п.) регламентирующий доступ к информации, порядок и условия такого доступа.
Любая конфиденциальная информация (и носители с конфиденциальной информацией )передается другим лицам по договору.
Основание :ст.6 ФЗ № 149-фз от 27 июля 2006 года.

Таким образом, должны передаваться носители с конфиденциальной информацией от ООО «А» в ООО «Б».
Вверх
Offline svyazist  
#10 Оставлено : 2 марта 2013 г. 9:02:14(UTC)
svyazist

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.07.2012(UTC)
Сообщений: 220
Мужчина

Сказал «Спасибо»: 32 раз
Поблагодарили: 60 раз в 37 постах
Уважаемые коллеги, думаю, что любая проверка ФСБ, случай, когда на 1 ключевой носитель записаны ключи разных пользователей сочтет компрометацией.

А что насчет
Автор: Expert Перейти к цитате
Аналогично, Петров получил ключ ЭП на свое имя, записали ключ на носитель. Петров может хранить носитель лично или доверить хранение и использование носителя Иванову. Если он опять же уверен в Иванове.
В этом случае также оформляется доверенность или иной документ, подтверждающий добровольное согласие Петрова.

То в 63-ФЗ про это ведь сказано:
Статья 10. Обязанности участников электронного взаимодействия при использовании усиленных электронных подписей
При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;

Вопрос, в каком форме это согласие выражается.

В то время в 1-ФЗ это было по-другому:
Статья 12. Обязательства владельца сертификата ключа подписи
1. Владелец сертификата ключа подписи обязан:
не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее;
хранить в тайне закрытый ключ электронной цифровой подписи;
немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа электронной цифровой подписи нарушена.

И опять же, если принадлежащих одному лицу ключевой документ с его согласия использовался другим лицом, то могут владельца появиться основания полагать, что конфиденциальность данного ключа нарушена?
Т.к. в случае этого он обязан, см. 63-ФЗ:
3) не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET