Криптографические номера ключевых документов это что
Перейти к содержимому

Криптографические номера ключевых документов это что

  • автор:

Где взять серийный номер ключевого документа — Форум по вопросам информационной безопасности

Где взять серийный номер ключевого документа — Форум по вопросам информационной безопасности

Страницы: 1 2 >

Вы правы, ключевой документ — это физический носитель. Для подписей федерального казначейства это любые usb носители, таблетки touch memory и даже дискеты.

Согласно пункту 3.4 утвержденного регламента УЦ ФК (приложение 1 к приказу)

3.4. Создание и выдача сертификата осуществляется при условии наличия у Заявителя:
.
— на ключевом носителе имеется маркировка с учетным номером, присвоенным Заявителем

Из чего можно сделать вывод, что вы сами присваиваете учетный номер вашему ключевому носителю.

Где его взять уже ваше дело, можете придумать, а можете посмотреть в свойствах устройства..

". беру флэшку. На флэшку клею наклейку с названием организации, номером эп по журналу, ф.и.о. пользователя, название системы для которой предназанчена эп. "

Аудит СКЗИ и криптоключей

image

С точки зрения информационной безопасности криптографические ключи являются критически важными данными. Если раньше, чтобы обокрасть компанию, злоумышленникам приходилось проникать на ее территорию, вскрывать помещения и сейфы, то теперь достаточно похитить токен с криптографическим ключом и сделать перевод через систему Интернет Клиент-Банк. Фундаментом обеспечения безопасности с помощью систем криптографической защиты информации (СКЗИ) является поддержание конфиденциальности криптографических ключей.

А как обеспечить конфиденциальность того, о существования чего вы не догадываетесь? Чтобы убрать токен с ключом в сейф, надо знать о существовании токена и сейфа. Как это не парадоксально звучит, очень мало компаний обладают представлением о точном количестве ключевых документов, которыми они пользуются. Это может происходить по целому ряду причин, например, недооценка угроз информационной безопасности, отсутствие налаженных бизнес-процессов, недостаточная квалификация персонала в вопросах безопасности и т.д. Вспоминают про данную задачу обычно уже после инцидентов, таких как например этот.

В данной статье будет описан первый шаг на пути совершенствования защиты информации с помощью криптосредств, а если точнее, то рассмотрим один из подходов к проведению аудита СКЗИ и криптоключей. Повествование будет вестись от лица специалиста по информационной безопасности, при этом будем считать, что работы проводятся с нуля.

Термины и определения

image

В начале статьи, дабы не пугать неподготовленного читателя сложными определениями, мы широко использовали термины криптографический ключ или криптоключ, теперь настало время усовершенствовать наш понятийный аппарат и привести его в соответствие действующему законодательству. Это очень важный шаг, поскольку он позволит эффективно структурировать информацию, полученную по результатам аудита.

  1. Криптографический ключ (криптоключ) — совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе (определение из «розовой инструкции – Приказа ФАПСИ № 152 от от 13 июня 2001 г., далее по тексту – ФАПСИ 152).
  2. Ключевая информация — специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока [ФАПСИ 152].
    Понять принципиальное отличие между криптоключем и ключевой информации можно на следующем примере. При организации HTTPS, генерируются ключевая пара открытый и закрытый ключ, а из открытого ключа и дополнительной информации получается сертификат. Так вот, в данной схеме совокупность сертификата и закрытого ключа образуют ключевую информацию, а каждый из них по отдельности является криптоключом. Тут можно руководствоваться следующим простым правилом – конечные пользователи при работе с СКЗИ используют ключевую информацию, а криптоключи обычно используют СКЗИ внутри себя. В тоже время важно понимать, что ключевая информация может состоять из одного криптоключа.
  3. Ключевые документы — электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах. (определение из Постановления Правительства № 313 от от 16 апреля 2012 г. , далее по тексту – ПП-313)
    Простым языком, ключевой документ — это ключевая информация, записанная на носителе. При анализе ключевой информации и ключевых документов следует выделить, что эксплуатируется (то есть используется для криптографических преобразований – шифрование, электронная подпись и т.д.) ключевая информация, а передаются работникам ключевые документы ее содержащие.
  4. Средства криптографической защиты информации (СКЗИ) – средства шифрования, средства имитозащиты, средства электронной подписи, средства кодирования, средства изготовления ключевых документов, ключевые документы, аппаратные шифровальные (криптографические) средства, программно-аппаратные шифровальные (криптографические) средства. [ПП-313]
    При анализе данного определения можно обнаружить в нем наличие термина ключевые документы. Термин дан в Постановлении Правительства и менять его мы не имеем права. В тоже время дальнейшее описание будет вестись из расчета что к СКЗИ будут относится только средства осуществления криптографических преобразований). Данный подход позволит упростить проведение аудита, но в тоже время не будет сказываться на его качестве, поскольку ключевые документы мы все равно все учтем, но в своем разделе и своими методами.

Методика аудита и ожидаемые результаты

image

Основными особенностями предлагаемой в данной статье методике аудита являются постулаты о том, что:

  • ни один работник компании не может точно ответить на вопросы, задаваемые в ходе аудита;
  • существующие источники данных (перечни, реестры и др.) не точны или слабо структурированы.

Приведем основные зависимости, которые нам в этом помогут:

  1. Если есть СКЗИ, то есть и ключевая информация.
  2. Если есть электронный документооборот (в том числе с контрагентами и регуляторами), то скорее всего в нем применяется электронная подпись и как следствие СКЗИ и ключевая информация.
  3. Электронный документооборот в данном контексте следует понимать широко, то есть к нему будут относится, как непосредственный обмен юридически значимыми электронными документами, так и сдача отчетности, и работа в платежных или торговых системах и так далее. Перечень и формы электронного документооборота определяются бизнес-процессами компании, а также действующим законодательством.
  4. Если работник задействован в электронном документообороте, то скорее всего у него есть ключевые документы.
  5. При организации электронного документооборота с контрагентами обычно выпускаются организационно-распорядительные документы (приказы) о назначении ответственных лиц.
  6. Если информация передается через сеть Интернет (или другие общественные сети), то скорее всего она шифруется. В первую очередь это касается VPN и различных систем удаленного доступа.
  7. Если в сетевом трафике обнаружены протоколы, передающие трафик в зашифрованном виде, то применяются СКЗИ и ключевая информация.
  8. Если производились расчеты с контрагентами, занимающимися: поставками средств защиты информации, телекоммуникационных устройств, оказанием услуг по передаче отёчности, услуг удостоверяющих центров, то при данном взаимодействии могли приобретаться СКЗИ или ключевые документы.
  9. Ключевые документы могут быть как на отчуждаемых носителях (дискетах, флешках, токенах, …), так и записаны внутрь компьютеров и аппаратных СКЗИ.
  10. При использовании средств виртуализации, ключевые документы могут храниться как внутри виртуальных машин, так и монтироваться к виртуальным машинам с помощью гипервизора.
  11. Аппаратные СКЗИ могут устанавливаться в серверных и быть недоступны для анализа по сети.
  12. Некоторые системы электронного документооборота могут находится в неактивном или малоактивном виде, но в тоже время содержать активную ключевую информацию и СКЗИ.
  13. Внутренняя нормативная и организационно-распорядительная документация может содержать сведения о системах электронного документооборота, СКЗИ и ключевых документов.
  • опрашивать работников;
  • проводить анализ документации компании, включая внутренние нормативные и распорядительные документы, а также исходящие платежные поручения;
  • проводить визуальный анализ серверных комнат и коммуникационных шкафов;
  • проводить технических анализ содержимого автоматизированных рабочих мест (АРМ), серверов и средств виртуализации.

image

Перечень СКЗИ:

По каждому элементу перечня фиксируем следующие данные:

  1. Модель СКЗИ. Например, СКЗИ Крипто CSP 3.9, или OpenSSL 1.0.1
  2. Идентификатор экземпляра СКЗИ. Например, серийный, лицензионный (или регистрационный по ПКЗ-2005) номер СКЗИ
  3. Сведения о сертификате ФСБ России на СКЗИ, включая номер и даты начала и окончания сроков действия.
  4. Сведения о месте эксплуатации СКЗИ. Например, имя компьютера на которое установлено программное СКЗИ, или наименование технических средств или помещения где установлены аппаратные СКЗИ.
  1. Управлять уязвимостями в СКЗИ, то есть быстро их обнаруживать и исправлять.
  2. Отслеживать сроки действия сертификатов на СКЗИ, а также проверять используется ли сертифицированное СКЗИ в соответствии с правилами, установленными документацией или нет.
  3. Планировать затраты на СКЗИ, зная сколько уже находится в эксплуатации и сколько еще есть сводных средств.
  4. Формировать регламентную отчетность.

По каждому элементу перечня фиксируем следующие данные:

  1. Наименование или идентификатор ключевой информации. Например, «Ключ квалифицированной ЭП. Серийный номер сертификата 31:2D:AF», при этом идентификатор следует подбирать таким образом, чтобы по нему можно было найти ключ. Например, удостоверяющие центры, когда посылают уведомления обычно идентифицируют ключи по номерам сертификатов.
  2. Центр управления ключевой системой (ЦУКС), выпустивший данную ключевую информацию. Это может быть организация выпустившая ключ, например, удостоверяющий центр.
  3. Физическое лицо, на имя которого выпущена ключевая информация. Эту информацию можно извлечь из полей CN сертификатов X.509
  4. Формат ключевой информации. Например, СКЗИ КриптоПРО, СКЗИ Верба-OW, X.509 и т.д (или другими словами для использования с какими СКЗИ предназначена данная ключевая информация).
  5. Назначение ключевой информации. Например, «Участие в торгах на площадке Сбербанк АСТ», «Квалифицированная электронная подпись для сдачи отчетности» и т.д. С точки зрения техники, в данном поле можно фиксировать органичения зафиксированные полях extended key usage и др сертификатов X.509.
  6. Начало и окончание сроков действия ключевой информации.
  7. Порядок перевыпуска ключевой информации. То есть знания о том, что нужно делать и как, при перевыпуске ключевой информации. По крайней мере желательно фиксировать контакты должностных лиц ЦУКС, выпустившего ключевую информацию.
  8. Перечень информационных систем, сервисов или бизнес-процессов в рамках которых используется ключевая информация. Например, «Система дистанционного банковского обслуживания Интернет Клиент-Банк».
  1. Отслеживать сроки действия ключевой информации.
  2. В случае необходимости быстро перевыпускать ключевую информацию. Это может понадобится как при плановом, так при внеплановом перевыпуске.
  3. Блокировать использование ключевой информации, при увольнении работника на которого она выпущена.
  4. Расследовать инциденты информационной безопасности, отвечая на вопросы: «У кого были ключи для совершения платежей?» и др.

По каждому элементу перечня фиксируем следующие данные:

  1. Ключевая информация, содержащаяся в ключевом документе.
  2. Носитель ключевой информации, на который записана ключевая информация.
  3. Лицо, ответственное за сохранность ключевого документа и конфиденциальность содержащейся в нем ключевой информации.
  1. Перевыпускать ключевую информацию в случаях: увольнения работников, обладающих ключевыми документами, а также при компрометации носителей.
  2. Обеспечивать конфиденциальность ключевой информации, путем инвентаризации носителей ее содержащих.

План аудита

Настало время рассмотреть практически особенности проведения аудита. Сделаем это на примере кредитно-финансовой организации или другими словами на примере банка. Данный пример выбран не случайно. Банки используют довольно большое число разношерстных систем криптографической защиты, которые задействованы в гигантском количестве бизнес-процессов, да и к тому же практически все банки являются Лицензиатами ФСБ России по криптографии. Далее в статье будет представлен план аудита СКЗИ и криптоключей, применительно к Банку. В тоже время данный план может быть взят за основу при проведении аудита практически любой компании. Для удобство восприятия план разбит на этапы, которые в свою очередь свернуты в сполйеры.

Криптографические номера ключевых документов это что

Войти

Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal

Особенности учета СКЗИ

Computer (5)

Средства криптографической защиты информации (СКЗИ) на сегодняшний день применяются практически во всех компаниях, будь то при обмене данными с контрагентами, или при связи и отправке платежных поручений в банк, программой банк клиент.

Но не все знают, что согласно закону ключи шифрования должны учитываться.
В данной статье я расскажу об учете средств криптографической защиты информации и приведу ссылки на законные акты Российской Федерации.

Основными законами которые регулирует СКЗИ являются:
Приказ ФСБ РФ от 9 февраля 2005 г. N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)"
Приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" и Приложение к приказу ФАПСИ РФ от 13 июня 2001 г. N 152

Если посмотреть приказ ФСБ №66 в приложении в пункте 48, можно увидеть следующее содержание:
48. СКЗИ и их опытные образцы подлежат поэкземплярному учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов (условных наименований) и регистрационных номеров поэкземплярного учета СКЗИ и их опытных образцов определяет ФСБ России.
Организация поэкземплярного учета опытных образцов СКЗИ возлагается на разработчика СКЗИ.
Организация поэкземплярного учета изготовленных СКЗИ возлагается на изготовителя СКЗИ.
Организация поэкземплярного учета используемых СКЗИ возлагается на заказчика СКЗИ.

Это означает, что даже если простая компания, не занимающаяся созданием и продажей средств криптографической защиты информации решила приобрести несколько USB-ключей eToken, то они все равно должны быть учтены и закреплены за конечным пользователем, то есть сотрудником. Причем на вполне законных основаниях проверить учет может ФСБ, приехав в офис любой компании.

Данный учет средств криптографической защиты информации должен вестись в специальном журнале, а еще лучше в добавок и в электронном виде, где должны быть учтена следующая информация:
1. что выдали
2. на чем выдали
3. кто получил
4. кто сдал
5. отметка о уничтожении

Учитывать следует сами электронные ключи, ключевые носители, программное обеспечение которое делает криптографические преобразования информации, лицензии на право использования СКЗИ.

Таким образом СКЗИ для учета следует разделить на:
Ключевой носитель — физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т. п.).
Ключевой документ — физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости — контрольную, служебную и технологическую информацию; (по сути это носитель с записанным секретным ключом)
Дистрибутив СКЗИ — само программное обеспечение(например КриптоПро CSP, тут следует учесть номер дистрибутива, который можно найти в формуляре на СКЗИ)
Лицензия СКЗИ — сама по себе не является средством шифрования, но ее тоже следует учесть в журнале, так как были инциденты, когда компании из за этого штрафовали, а еще я слышал случаи о возбуждении уголовных дел.

Кстати говоря у многих возникает спор, в чем же разница между ключевым документом и ключевым носителем. Кто-то придерживается мнения, что ключевой документ это сам по себе ключевой контейнер или ключевая информация, и в принципе это логично, но то описание которое я привел выше, было взять из приложения к Приказу ФАПСИ от 13 июня 2001 г. N 152, где четко прописано, что это физический носитель.
Поэтому лично с моей точки зрения это следует подразумевать, как не просто ключевая информация в электронном виде, а физический носитель с записанной на него ключевой информацией. В принципе это не составляет труда учесть, так как можно в журнале указать номер носителя и идентификатор секретного ключа в одном пункте.

В приложении к приказу ФАПСИ РФ от 13 июня 2001 г. N 152, можно найти примеры типовых журналов по учету средств криптографической защиты информации. http://base.garant.ru/183628/#block_1000

Мое и не только мое мнение для учета лучше всего вести несколько журналов:
Журнал поэкземплярного учёта дистрибутивов СКЗИ.
Журнал поэкземплярного учёта лицензий на право использования СКЗИ.
Журнал поэкземплярного учёта ключевых документов СКЗИ.
Журнал поэкземплярного учёта аппаратных ключевых носителей СКЗИ.

В журнале поэкземплярного учёта дистрибутивов средств криптографической защиты информации, СКЗИ учитываются по номерам дистрибутивов, записанных в формуляре на изделие.
В журнале поэкземплярного учёта лицензий на право использования средств криптографической защиты информации, СКЗИ учитываются по серийным номерам лицензий.
В журнале поэкземплярного учёта ключевых документов средств криптографической защиты информации, СКЗИ учитываются по номерам токенов (а они напечатаны на каждом токене) или по номерам дискет/флешек (серийным номерам томов, которые можно увидеть по команде DIR), так же в этом журнале прописывается имя крипто-контейнера или серийный номер ключа.
В журнале поэкземплярного учета аппаратных ключевых носителей средств криптографической защиты информации, СКЗИ учитываются по номерам токенов (а они напечатаны на каждом токене). Данный журнал целесообразно использовать, чисто по хранящимся токенам, которые поступили на склад, но никому не выдаются и не содержат ключевой информации, либо были переданы, но без ключевой информации.

В целях упрощения учета, при получении большого количества СКЗИ, следует запросить учетную информацию в электронном виде, у поставщика или криптографического органа, что бы не перепечатывать эти серийные номера вручную.

Примеры журналов учета СКЗИ, можно найти в конце приложения к приказу ФАПСИ РФ от 13 июня 2001 г. N 152.

Криптографические номера ключевых документов это что

image

С точки зрения информационной безопасности криптографические ключи являются критически важными данными. Если раньше, чтобы обокрасть компанию, злоумышленникам приходилось проникать на ее территорию, вскрывать помещения и сейфы, то теперь достаточно похитить токен с криптографическим ключом и сделать перевод через систему Интернет Клиент-Банк. Фундаментом обеспечения безопасности с помощью систем криптографической защиты информации (СКЗИ) является поддержание конфиденциальности криптографических ключей.

А как обеспечить конфиденциальность того, о существования чего вы не догадываетесь? Чтобы убрать токен с ключом в сейф, надо знать о существовании токена и сейфа. Как это не парадоксально звучит, очень мало компаний обладают представлением о точном количестве ключевых документов, которыми они пользуются. Это может происходить по целому ряду причин, например, недооценка угроз информационной безопасности, отсутствие налаженных бизнес-процессов, недостаточная квалификация персонала в вопросах безопасности и т.д. Вспоминают про данную задачу обычно уже после инцидентов, таких как например этот.

В данной статье будет описан первый шаг на пути совершенствования защиты информации с помощью криптосредств, а если точнее, то рассмотрим один из подходов к проведению аудита СКЗИ и криптоключей. Повествование будет вестись от лица специалиста по информационной безопасности, при этом будем считать, что работы проводятся с нуля.

Термины и определения

image

В начале статьи, дабы не пугать неподготовленного читателя сложными определениями, мы широко использовали термины криптографический ключ или криптоключ, теперь настало время усовершенствовать наш понятийный аппарат и привести его в соответствие действующему законодательству. Это очень важный шаг, поскольку он позволит эффективно структурировать информацию, полученную по результатам аудита.

  1. Криптографический ключ (криптоключ) — совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе (определение из «розовой инструкции – Приказа ФАПСИ № 152 от от 13 июня 2001 г., далее по тексту – ФАПСИ 152).
  2. Ключевая информация — специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока [ФАПСИ 152].
    Понять принципиальное отличие между криптоключем и ключевой информации можно на следующем примере. При организации HTTPS, генерируются ключевая пара открытый и закрытый ключ, а из открытого ключа и дополнительной информации получается сертификат. Так вот, в данной схеме совокупность сертификата и закрытого ключа образуют ключевую информацию, а каждый из них по отдельности является криптоключом. Тут можно руководствоваться следующим простым правилом – конечные пользователи при работе с СКЗИ используют ключевую информацию, а криптоключи обычно используют СКЗИ внутри себя. В тоже время важно понимать, что ключевая информация может состоять из одного криптоключа.
  3. Ключевые документы — электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах. (определение из Постановления Правительства № 313 от от 16 апреля 2012 г. , далее по тексту – ПП-313)
    Простым языком, ключевой документ — это ключевая информация, записанная на носителе. При анализе ключевой информации и ключевых документов следует выделить, что эксплуатируется (то есть используется для криптографических преобразований – шифрование, электронная подпись и т.д.) ключевая информация, а передаются работникам ключевые документы ее содержащие.
  4. Средства криптографической защиты информации (СКЗИ) – средства шифрования, средства имитозащиты, средства электронной подписи, средства кодирования, средства изготовления ключевых документов, ключевые документы, аппаратные шифровальные (криптографические) средства, программно-аппаратные шифровальные (криптографические) средства. [ПП-313]
    При анализе данного определения можно обнаружить в нем наличие термина ключевые документы. Термин дан в Постановлении Правительства и менять его мы не имеем права. В тоже время дальнейшее описание будет вестись из расчета что к СКЗИ будут относится только средства осуществления криптографических преобразований). Данный подход позволит упростить проведение аудита, но в тоже время не будет сказываться на его качестве, поскольку ключевые документы мы все равно все учтем, но в своем разделе и своими методами.

Методика аудита и ожидаемые результаты

image

Основными особенностями предлагаемой в данной статье методике аудита являются постулаты о том, что:

  • ни один работник компании не может точно ответить на вопросы, задаваемые в ходе аудита;
  • существующие источники данных (перечни, реестры и др.) не точны или слабо структурированы.

Приведем основные зависимости, которые нам в этом помогут:

  1. Если есть СКЗИ, то есть и ключевая информация.
  2. Если есть электронный документооборот (в том числе с контрагентами и регуляторами), то скорее всего в нем применяется электронная подпись и как следствие СКЗИ и ключевая информация.
  3. Электронный документооборот в данном контексте следует понимать широко, то есть к нему будут относится, как непосредственный обмен юридически значимыми электронными документами, так и сдача отчетности, и работа в платежных или торговых системах и так далее. Перечень и формы электронного документооборота определяются бизнес-процессами компании, а также действующим законодательством.
  4. Если работник задействован в электронном документообороте, то скорее всего у него есть ключевые документы.
  5. При организации электронного документооборота с контрагентами обычно выпускаются организационно-распорядительные документы (приказы) о назначении ответственных лиц.
  6. Если информация передается через сеть Интернет (или другие общественные сети), то скорее всего она шифруется. В первую очередь это касается VPN и различных систем удаленного доступа.
  7. Если в сетевом трафике обнаружены протоколы, передающие трафик в зашифрованном виде, то применяются СКЗИ и ключевая информация.
  8. Если производились расчеты с контрагентами, занимающимися: поставками средств защиты информации, телекоммуникационных устройств, оказанием услуг по передаче отёчности, услуг удостоверяющих центров, то при данном взаимодействии могли приобретаться СКЗИ или ключевые документы.
  9. Ключевые документы могут быть как на отчуждаемых носителях (дискетах, флешках, токенах, …), так и записаны внутрь компьютеров и аппаратных СКЗИ.
  10. При использовании средств виртуализации, ключевые документы могут храниться как внутри виртуальных машин, так и монтироваться к виртуальным машинам с помощью гипервизора.
  11. Аппаратные СКЗИ могут устанавливаться в серверных и быть недоступны для анализа по сети.
  12. Некоторые системы электронного документооборота могут находится в неактивном или малоактивном виде, но в тоже время содержать активную ключевую информацию и СКЗИ.
  13. Внутренняя нормативная и организационно-распорядительная документация может содержать сведения о системах электронного документооборота, СКЗИ и ключевых документов.
  • опрашивать работников;
  • проводить анализ документации компании, включая внутренние нормативные и распорядительные документы, а также исходящие платежные поручения;
  • проводить визуальный анализ серверных комнат и коммуникационных шкафов;
  • проводить технических анализ содержимого автоматизированных рабочих мест (АРМ), серверов и средств виртуализации.

image

Перечень СКЗИ:

По каждому элементу перечня фиксируем следующие данные:

  1. Модель СКЗИ. Например, СКЗИ Крипто CSP 3.9, или OpenSSL 1.0.1
  2. Идентификатор экземпляра СКЗИ. Например, серийный, лицензионный (или регистрационный по ПКЗ-2005) номер СКЗИ
  3. Сведения о сертификате ФСБ России на СКЗИ, включая номер и даты начала и окончания сроков действия.
  4. Сведения о месте эксплуатации СКЗИ. Например, имя компьютера на которое установлено программное СКЗИ, или наименование технических средств или помещения где установлены аппаратные СКЗИ.
  1. Управлять уязвимостями в СКЗИ, то есть быстро их обнаруживать и исправлять.
  2. Отслеживать сроки действия сертификатов на СКЗИ, а также проверять используется ли сертифицированное СКЗИ в соответствии с правилами, установленными документацией или нет.
  3. Планировать затраты на СКЗИ, зная сколько уже находится в эксплуатации и сколько еще есть сводных средств.
  4. Формировать регламентную отчетность.

По каждому элементу перечня фиксируем следующие данные:

  1. Наименование или идентификатор ключевой информации. Например, «Ключ квалифицированной ЭП. Серийный номер сертификата 31:2D:AF», при этом идентификатор следует подбирать таким образом, чтобы по нему можно было найти ключ. Например, удостоверяющие центры, когда посылают уведомления обычно идентифицируют ключи по номерам сертификатов.
  2. Центр управления ключевой системой (ЦУКС), выпустивший данную ключевую информацию. Это может быть организация выпустившая ключ, например, удостоверяющий центр.
  3. Физическое лицо, на имя которого выпущена ключевая информация. Эту информацию можно извлечь из полей CN сертификатов X.509
  4. Формат ключевой информации. Например, СКЗИ КриптоПРО, СКЗИ Верба-OW, X.509 и т.д (или другими словами для использования с какими СКЗИ предназначена данная ключевая информация).
  5. Назначение ключевой информации. Например, «Участие в торгах на площадке Сбербанк АСТ», «Квалифицированная электронная подпись для сдачи отчетности» и т.д. С точки зрения техники, в данном поле можно фиксировать органичения зафиксированные полях extended key usage и др сертификатов X.509.
  6. Начало и окончание сроков действия ключевой информации.
  7. Порядок перевыпуска ключевой информации. То есть знания о том, что нужно делать и как, при перевыпуске ключевой информации. По крайней мере желательно фиксировать контакты должностных лиц ЦУКС, выпустившего ключевую информацию.
  8. Перечень информационных систем, сервисов или бизнес-процессов в рамках которых используется ключевая информация. Например, «Система дистанционного банковского обслуживания Интернет Клиент-Банк».
  1. Отслеживать сроки действия ключевой информации.
  2. В случае необходимости быстро перевыпускать ключевую информацию. Это может понадобится как при плановом, так при внеплановом перевыпуске.
  3. Блокировать использование ключевой информации, при увольнении работника на которого она выпущена.
  4. Расследовать инциденты информационной безопасности, отвечая на вопросы: «У кого были ключи для совершения платежей?» и др.

По каждому элементу перечня фиксируем следующие данные:

  1. Ключевая информация, содержащаяся в ключевом документе.
  2. Носитель ключевой информации, на который записана ключевая информация.
  3. Лицо, ответственное за сохранность ключевого документа и конфиденциальность содержащейся в нем ключевой информации.
  1. Перевыпускать ключевую информацию в случаях: увольнения работников, обладающих ключевыми документами, а также при компрометации носителей.
  2. Обеспечивать конфиденциальность ключевой информации, путем инвентаризации носителей ее содержащих.

План аудита

Настало время рассмотреть практически особенности проведения аудита. Сделаем это на примере кредитно-финансовой организации или другими словами на примере банка. Данный пример выбран не случайно. Банки используют довольно большое число разношерстных систем криптографической защиты, которые задействованы в гигантском количестве бизнес-процессов, да и к тому же практически все банки являются Лицензиатами ФСБ России по криптографии. Далее в статье будет представлен план аудита СКЗИ и криптоключей, применительно к Банку. В тоже время данный план может быть взят за основу при проведении аудита практически любой компании. Для удобство восприятия план разбит на этапы, которые в свою очередь свернуты в сполйеры.

Где взять серийный номер ключевого документа — Форум по вопросам информационной безопасности

Где взять серийный номер ключевого документа — Форум по вопросам информационной безопасности

Страницы: 1 2 >

Вы правы, ключевой документ — это физический носитель. Для подписей федерального казначейства это любые usb носители, таблетки touch memory и даже дискеты.

Согласно пункту 3.4 утвержденного регламента УЦ ФК (приложение 1 к приказу)

3.4. Создание и выдача сертификата осуществляется при условии наличия у Заявителя:
.
— на ключевом носителе имеется маркировка с учетным номером, присвоенным Заявителем

Из чего можно сделать вывод, что вы сами присваиваете учетный номер вашему ключевому носителю.

Где его взять уже ваше дело, можете придумать, а можете посмотреть в свойствах устройства..

". беру флэшку. На флэшку клею наклейку с названием организации, номером эп по журналу, ф.и.о. пользователя, название системы для которой предназанчена эп. "

Криптографические номера ключевых документов это что

Где взять серийный номер ключевого документа — Форум по вопросам информационной безопасности

Где взять серийный номер ключевого документа — Форум по вопросам информационной безопасности

Страницы: 1 2 >

Вы правы, ключевой документ — это физический носитель. Для подписей федерального казначейства это любые usb носители, таблетки touch memory и даже дискеты.

Согласно пункту 3.4 утвержденного регламента УЦ ФК (приложение 1 к приказу)

3.4. Создание и выдача сертификата осуществляется при условии наличия у Заявителя:
.
— на ключевом носителе имеется маркировка с учетным номером, присвоенным Заявителем

Из чего можно сделать вывод, что вы сами присваиваете учетный номер вашему ключевому носителю.

Где его взять уже ваше дело, можете придумать, а можете посмотреть в свойствах устройства..

". беру флэшку. На флэшку клею наклейку с названием организации, номером эп по журналу, ф.и.о. пользователя, название системы для которой предназанчена эп. "

Криптографические номера ключевых документов это что

Войти

Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal

Особенности учета СКЗИ

Computer (5)

Средства криптографической защиты информации (СКЗИ) на сегодняшний день применяются практически во всех компаниях, будь то при обмене данными с контрагентами, или при связи и отправке платежных поручений в банк, программой банк клиент.

Но не все знают, что согласно закону ключи шифрования должны учитываться.
В данной статье я расскажу об учете средств криптографической защиты информации и приведу ссылки на законные акты Российской Федерации.

Основными законами которые регулирует СКЗИ являются:
Приказ ФСБ РФ от 9 февраля 2005 г. N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)"
Приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" и Приложение к приказу ФАПСИ РФ от 13 июня 2001 г. N 152

Если посмотреть приказ ФСБ №66 в приложении в пункте 48, можно увидеть следующее содержание:
48. СКЗИ и их опытные образцы подлежат поэкземплярному учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов (условных наименований) и регистрационных номеров поэкземплярного учета СКЗИ и их опытных образцов определяет ФСБ России.
Организация поэкземплярного учета опытных образцов СКЗИ возлагается на разработчика СКЗИ.
Организация поэкземплярного учета изготовленных СКЗИ возлагается на изготовителя СКЗИ.
Организация поэкземплярного учета используемых СКЗИ возлагается на заказчика СКЗИ.

Это означает, что даже если простая компания, не занимающаяся созданием и продажей средств криптографической защиты информации решила приобрести несколько USB-ключей eToken, то они все равно должны быть учтены и закреплены за конечным пользователем, то есть сотрудником. Причем на вполне законных основаниях проверить учет может ФСБ, приехав в офис любой компании.

Данный учет средств криптографической защиты информации должен вестись в специальном журнале, а еще лучше в добавок и в электронном виде, где должны быть учтена следующая информация:
1. что выдали
2. на чем выдали
3. кто получил
4. кто сдал
5. отметка о уничтожении

Учитывать следует сами электронные ключи, ключевые носители, программное обеспечение которое делает криптографические преобразования информации, лицензии на право использования СКЗИ.

Таким образом СКЗИ для учета следует разделить на:
Ключевой носитель — физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т. п.).
Ключевой документ — физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости — контрольную, служебную и технологическую информацию; (по сути это носитель с записанным секретным ключом)
Дистрибутив СКЗИ — само программное обеспечение(например КриптоПро CSP, тут следует учесть номер дистрибутива, который можно найти в формуляре на СКЗИ)
Лицензия СКЗИ — сама по себе не является средством шифрования, но ее тоже следует учесть в журнале, так как были инциденты, когда компании из за этого штрафовали, а еще я слышал случаи о возбуждении уголовных дел.

Кстати говоря у многих возникает спор, в чем же разница между ключевым документом и ключевым носителем. Кто-то придерживается мнения, что ключевой документ это сам по себе ключевой контейнер или ключевая информация, и в принципе это логично, но то описание которое я привел выше, было взять из приложения к Приказу ФАПСИ от 13 июня 2001 г. N 152, где четко прописано, что это физический носитель.
Поэтому лично с моей точки зрения это следует подразумевать, как не просто ключевая информация в электронном виде, а физический носитель с записанной на него ключевой информацией. В принципе это не составляет труда учесть, так как можно в журнале указать номер носителя и идентификатор секретного ключа в одном пункте.

В приложении к приказу ФАПСИ РФ от 13 июня 2001 г. N 152, можно найти примеры типовых журналов по учету средств криптографической защиты информации. http://base.garant.ru/183628/#block_1000

Мое и не только мое мнение для учета лучше всего вести несколько журналов:
Журнал поэкземплярного учёта дистрибутивов СКЗИ.
Журнал поэкземплярного учёта лицензий на право использования СКЗИ.
Журнал поэкземплярного учёта ключевых документов СКЗИ.
Журнал поэкземплярного учёта аппаратных ключевых носителей СКЗИ.

В журнале поэкземплярного учёта дистрибутивов средств криптографической защиты информации, СКЗИ учитываются по номерам дистрибутивов, записанных в формуляре на изделие.
В журнале поэкземплярного учёта лицензий на право использования средств криптографической защиты информации, СКЗИ учитываются по серийным номерам лицензий.
В журнале поэкземплярного учёта ключевых документов средств криптографической защиты информации, СКЗИ учитываются по номерам токенов (а они напечатаны на каждом токене) или по номерам дискет/флешек (серийным номерам томов, которые можно увидеть по команде DIR), так же в этом журнале прописывается имя крипто-контейнера или серийный номер ключа.
В журнале поэкземплярного учета аппаратных ключевых носителей средств криптографической защиты информации, СКЗИ учитываются по номерам токенов (а они напечатаны на каждом токене). Данный журнал целесообразно использовать, чисто по хранящимся токенам, которые поступили на склад, но никому не выдаются и не содержат ключевой информации, либо были переданы, но без ключевой информации.

В целях упрощения учета, при получении большого количества СКЗИ, следует запросить учетную информацию в электронном виде, у поставщика или криптографического органа, что бы не перепечатывать эти серийные номера вручную.

Примеры журналов учета СКЗИ, можно найти в конце приложения к приказу ФАПСИ РФ от 13 июня 2001 г. N 152.

Чем отличаются открытый и закрытый ключи ЭЦП?

При создании электронной цифровой подписи с помощью криптографических алгоритмов формируется ключевая пара — открытый и закрытый ключи. Расскажем подробно о том, что такое ключевая пара, чем отличаются части ЭЦП, какие функции они выполняют.

Открытый ключ ЭЦП

Эта часть ключевой пары представляет собой уникальный набор символов, который формируется криптопровайдером (средством криптографической защиты информации). Открытый ключ находится в сертификате проверки электронной подписи (в электронной и бумажной версии). Он доступен всем, так как используется для расшифровки ЭЦП. То есть с его помощью получатель подписанного электронного документа может идентифицировать и проверить ЭЦП. Удостоверяющие центры хранят выданные открытые ключи в специальном реестре.

Закрытый ключ ЭЦП

Это секретный уникальный набор символов, который также формируется криптопровайдером. Закрытый ключ необходим для формирования ЭЦП на электронном документе и хранится в зашифрованном виде на носителе (токене). Доступ к закрытому ключу имеет только владелец ЭЦП, он защищен PIN-кодом. Теоретически, скопировать закрытый ключ на другой носитель можно, но делать это не рекомендуется, так как безопасность использования ЭЦП гарантирована только тогда, когда закрытый ключ существует в единственном экземпляре. Если носитель с закрытым ключом утерян, то в целях безопасности необходимо отозвать ЭЦП, чтобы злоумышленники не могли ей воспользоваться.

В ключевой паре открытая и закрытая части привязаны друг к другу.

Как найти и выгрузить ключи на компьютер?

Чаще всего появляется необходимость выгрузить открытый ключ, например, чтобы предоставить его контрагентам для проверки ЭЦП. На токене сертификат проверки ключа скрыт. Как его открыть? Сделать это можно через свойства браузера или программу КриптоПро CSP. Чтобы экспортировать ключ, в первую очередь необходимо подключить токен к компьютеру.

Через свойства браузера:

В ОС Windows необходимо открыть: «Пуск» — «Панель управления» — «Свойства браузера».

В появившемся окне выбрать вкладку «Содержание», а далее — «Сертификаты».

Появится список сертификатов, в котором следует выбрать нужный, а затем нажать кнопку «Экспорт».

Появится окно «Мастер экспорта сертификатов», где нужно выбрать «Не экспортировать закрытый ключ», если это не требуется.

Выбрать формат файла «Файлы в DER-кодировке X.509 (.CER)».

Выбрать место хранения ключа и сохранить.

Через КриптоПро CSP:

В ОС Windows надо перейти в «Пуск» — «Панель управления» — «КриптоПро CSP».

В открывшемся окне следует выбрать вкладку «Сервис» и нажать «Просмотреть сертификаты в контейнере».

Через кнопку «Обзор» нужно выбрать контейнер.

В окне «Сертификат для просмотра» следует нажать кнопку «Свойства» и на вкладке «Состав» нажать «Копировать в файл».

Далее порядок действий в окне «Мастер экспорта сертификатов» аналогичный: выбрать, нужно ли сохранять закрытый ключ, установить формат и определить место хранения.

Закрытый ключ на токене тоже скрыт. Он выглядит как папка с несколькими файлами с расширением .key. Обычно закрытый ключ экспортируют, если нужно получить прямой к нему доступ. Однако хранить закрытую часть ЭЦП на компьютере категорически не рекомендуется, так как это небезопасно.

Выгрузка закрытого ключа через свойства браузера выполняется по тому же алгоритму, что и в случае с открытым. Только в окне «Мастер экспорта сертификатов» нужно выбрать «Экспортировать закрытый ключ». А порядок действий при выгрузке из КриптоПро CSP следующий:

В ОС Windows нажать «Пуск» перейти на «Панель управления» и выбрать «КриптоПро CSP».

Далее — вкладка «Сервис» и кнопка «Скопировать контейнер».

Через кнопку «Обзор» нужно выбрать контейнер и подтвердить (потребуется ввести PIN-код).

Затем нужно ввести название копии закрытого ключа и нажать «Готово».

Далее нужно выбрать, куда будет записан ключ, установить пароль для обеспечения дополнительной защиты и подтвердить действия.

Ещё раз напомним, что экспортировать закрытый ключ без необходимости, не рекомендуется. Его может использовать любой, кто имеет доступ к компьютеру, на который он скопирован.

Заказав электронную цифровую подпись в СберКорус, вы сможете самостоятельно настроить компьютер для работы с ЭЦП, посмотрев видеоинструкцию. При возникновении сложностей мы поможем настроить компьютер бесплатно. А также в любое время проконсультируем по интересующим вопросам.

Журнал учета СКЗИ

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Стас
  • —>

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Роман
  • —>

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • McStivenson
  • —>
  • Не в сети
  • Сообщений: 20
  • Спасибо получено: 3

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Alex67
  • —>
  • Не в сети
  • Сообщений: 1884
  • Спасибо получено: 508

McStivenson пишет: А возможно ли закрепить КриптоПРО за начальником отдела, а не отдельными сотрудниками, дабы не создавать кучу новых записей при текучке кадров?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • McStivenson
  • —>
  • Не в сети
  • Сообщений: 20
  • Спасибо получено: 3

Alex67 пишет: Тогда сразу за директором закрепляйте, а то вдруг начальник отдела тоже уволится

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Alex67
  • —>
  • Не в сети
  • Сообщений: 1884
  • Спасибо получено: 508

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • McStivenson
  • —>
  • Не в сети
  • Сообщений: 20
  • Спасибо получено: 3

Alex67 пишет: Чья ЭП стоит на сервере? (Одна?)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • two_oceans
  • —>
  • Не в сети
  • Сообщений: 183
  • Спасибо получено: 36

Alex67 пишет: Чья ЭП стоит на сервере? (Одна?)

Имеется ввиду работа по удаленному рабочему столу? По моему мнению, если на компьютере пользователя нет КриптоПро, то и закреплять за пользователем КриптоПро не нужно. А вот ЭП по любому нужно закреплять за сотрудниками, даже если они работают удаленно, но каждый под своей ЭП (если ЭП аккредитованного удостоверяющего центра).
Если сервер чужой и у Вас нет лицензионной бумаги на КриптоПро, то не нужно вообще закреплять КриптоПро. Если сервер Ваш, то КриптоПро можно закрепить за директором или лучше за администратором ИБ этого сервера.
Также, у меня сомнения вот в чем — аккредитован ли УЦ вышестоящей организации. Если вышестоящая организация выдает сертификаты своего неаккредитованного УЦ, то по идее ЭП не попадает под закон об электронной подписи и юридическую силу имеет только между конкретными организациями — имеет ли смысл их вообще регистрировать в журнале СКЗИ? Склоняюсь, что нет.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • McStivenson
  • —>
  • Не в сети
  • Сообщений: 20
  • Спасибо получено: 3

two_oceans пишет: Имеется ввиду работа по удаленному рабочему столу? По моему мнению, если на компьютере пользователя нет КриптоПро, то и закреплять за пользователем КриптоПро не нужно. А вот ЭП по любому нужно закреплять за сотрудниками, даже если они работают удаленно, но каждый под своей ЭП (если ЭП аккредитованного удостоверяющего центра).

two_oceans пишет: Если сервер чужой и у Вас нет лицензионной бумаги на КриптоПро, то не нужно вообще закреплять КриптоПро. Если сервер Ваш, то КриптоПро можно закрепить за директором или лучше за администратором ИБ этого сервера.

two_oceans пишет: Также, у меня сомнения вот в чем — аккредитован ли УЦ вышестоящей организации. Если вышестоящая организация выдает сертификаты своего неаккредитованного УЦ, то по идее ЭП не попадает под закон об электронной подписи и юридическую силу имеет только между конкретными организациями — имеет ли смысл их вообще регистрировать в журнале СКЗИ? Склоняюсь, что нет.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Анонимный
  • —>

ААААА, задолбало уже. Специально прочитал ветку от начала до конца. Встретил несколько раз вопросы и полного ответа не увидел. Предлагаю всем вместе поразмышляем и поставим точку в вопросе.

Являюсь обладателем конфиденциальной информации.

Есть понятия :
ключевая информация-(сама подпись), согласно 152 приказа — специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определённого срока;

ключевой носитель-(то на что будет записана эту подпись) согласно 152 приказа — магнитная лента, дискета, компакт — диск, Data Key, Smart Card, Touch Memory и т.п.) ,

ключевой документ— (это когда саму подпись записали на носитель) согласно 152 приказа. — физический носитель определённой структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости — контрольную, служебную и технологическую информацию;

сертификат — Квалифицированный сертификат ключа проверки электронной подписи — в 152-ом приказе вообще не упоминается как понятие. Упоминается в регламентах УФК что важно для дальнейшей интерпретации.

Выдержка статей из 152 приказа (для наглядности, так сказать не отходя от кассы)

Задача: Разобраться с учётом в журнале СКЗИ самой подписи, а также носителей этой подписи (флешка, токен…) и сертификата к этой подпись

Этап №1 разбираем учёт ключевой информации (самой подпись) и ключевых носителей (флешки, токены…)

Согласно 152 приказа, статья 26 «…Единицей поэкземплярного учёта ключевых документов считается ключевой носитель многократного использования, ключевой блокнот…» . В данном пункте сказано что учитываем саму подпись расположенную на ключевом носителе, то есть если на ключевом носителе не размещена ключевая информация то такой носитель в журнале СКЗИ не учитывается. Скажем новенький токен который купили и ещё не использовали. К чему это, а вот к чему. Когда мы учитываем ключевой документ, то в графе 3 типового журнала СКЗИ требуется указать «Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов» и многие ВНИМАНИЕ пишут туда номер самого токена. На мой взгляд это не верно.

Пример №1. А что вы будете писать в графу 3 если ключевая информация записана на CD диск или на магнитную ленту? Ведь у них нету номера. По моему пониманию нужно писать номер самой ключевой информации который виден через программу Крипто ПРО.
(Сервис-> Протестировать-> Обзор-> Графа «Имя контейнера»).

Пример №2. Выдали вы токен пользователю и в «журнале учёта СКЗИ» в графе 3 указали номер токена. Пользователь на следующий день вам вдруг заявил что вы ключ ему не выдавали, а вы в ответ как же не выдавали если вот ваша расписались за токен с таким то номером, а он вам в ответ: ПРАВИЛЬНО за токен с таким то номером я расписался, а на токене записаны музыкальный файлы и я за то что на токене не расписывался.
А вот если вы выдали пользователю ключевою информацию с номером взятым из крипто про и пользователь расписался, что ему выдаётся именно ключевая информация с конкретным номером, записанная скажем на тот же токен то пользователю уже не отвертеться. Пользователь расписывается конкретно за получение ключевой информации с определённым номером и во вторую очередь расположенным на ключевом носителе скажем номерном токене или безномерном CD диске что всё вместе называется ключевой документ.

Этап №2 разбираем учёт сертификата.

Ведения журнала СКЗИ регламентируется 152 приказом. В нем нет определения такого понятия как сертификат, указанное выше в этом сообщении. Данное определение встречается в регламенте к УФК.
Размышление. Раз нету в 152 то и отношения к журналу СКЗИ он не имеет. НО в процессе взаимодействия обладателя конфиденциальной информации с тер отделом УФК возникает как единица учёта. Обладатель пишет заявление типа «прошу выдать мне сертификат к моему ключевому документу который к слову я уже учёл в своём «журнале учёта СКЗИ». Тер. отдел УФК предоставляет такой сертификат и в подтверждении что тер. отдел выдал данный сертификат просит расписаться в его журнале. Так вот в этом случае его журнал не обязательно должен называться «Журнал учёта СКЗИ УФК…». Журнал грубо говоря может называться «Выдали то что просили обладатели конф. информации, мол чтобы потом они не говорили что мы им не выдавали». А если обладатели попросят выдать скажем какую-нибудь инструкцию? Факт выдачи инструкции под роспись не будет же отражаться в «Журнале учёта СКЗИ УФК». Отсюда напрашивается что сам сертификат обладатели конф. информации в своём «журнале учёта СКЗИ» отражать не обязаны. Да и в 152 нету упоминания про учёт сертификат.
Размышляем далее. Сертификат открытого ключа не является ключевым документом т.к. ключевой документ согласно приказа 152 статья 26 — это "физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию)". Сертификат открытого ключа не является физическим носителем и не содержит криптоключей. Открытый ключ не относится к криптоключам, а значит не является единицей СКЗИ хоть и взаимодействует с СКЗИ. Ну например компьютерная мышка не содержит в себе СКЗИ, а нужна в процессе взаимодействия с СКЗИ. МЫ же компьютерную мышку в журнал СКЗИ не вносим.

Всё выше описанное является моими калейдоскопическими знаниями. Хочется чтобы крутя в голове знания-цветные стёклышки получался не вечный калейдоскоп, а красивая мозаика.
Подтвердите или опровергните. Готов кардинально поменять своё понимание про учёт СКЗИ. Предлагайте аргументированные варианты.

Просто о сложном

Неотъемлемой частью юридически значимого электронного документооборота является электронная подпись .

Безопасность электронной подписи зависит от:

свойств закрытого ключа

функциональных возможностей ключевого носителя

Рекомендуется использовать защищенные носители ключевой информации (далее — ключевые носители), которые, в свою очередь, делятся на пассивные (с защитой данных только по PIN-коду) и активные (со встроенными на аппаратном уровне функциями средства криптографической защиты информации, далее — СКЗИ ).

Соблюдение настоящих методологических рекомендаций по использованию ключевых носителей поможет защитить участников электронного документооборота от рисков:

получение несанкционированного доступа третьих лиц к закрытому ключу для создания его копии

подписания электронных документов третьими лицами от имени владельца электронной подписи

хищение ключевого носителя или его уничтожение

Свойства закрытого ключа

Экспортируемые и неэкспортируемые закрытые ключи

Свойство экспортируемости или неэкспортируемости закрытого ключа присваивается на этапе формирования закрытого ключа и записи его на ключевой носитель. Указанное свойство может быть реализовано в средствах электронной подписи и управляться его настройками, которые следует установить до формирования закрытого ключа.

Для экспортируемых закрытых ключей доступно их копирование, что несет риски нарушения конфиденциальности закрытого ключа.

Для копирования закрытого ключа нарушителю потребуется получить физический доступ к ключевому носителю и узнать пароль (PIN-код).

Возможность копирования закрытого ключа создаёт риск возникновения неучтенных копий, усложняет контроль за его хранением, использованием и уничтожением. Также указанное усложняет определение возможного нарушителя, особенно когда нарушитель начнет использовать копию не сразу.

Неэкспортируемые закрытые ключи обладают большей защищенностью, так как записанный на ключевой носитель закрытый ключ не подлежит копированию при помощи стандартных СКЗИ. Получение доступа к такому ключу требует применения специальных средств и техники.

Извлекаемые и неизвлекаемые закрытые ключи

Свойство неизвлекаемости закрытого ключа достигается способом его создания и хранения , и напрямую зависит от вида ключевого носителя. Для обеспечения свойства неизвлекаемости закрытого ключа используются только активные ключевые носители, содержащие в себе аппаратно реализованные функции СКЗИ, при использовании которых создается и используется неизвлекаемый закрытый ключ.

Для некоторых ключевых носителей существует возможность записи закрытого ключа на активные ключевые носители сторонними СКЗИ (установленными локально на компьютерное устройство или непосредственно в информационной системе удостоверяющего центра) и, в таком случае, такой носитель применяется как пассивный ключевой носитель, который может обеспечить только свойство неэкспортируемости закрытого ключа.

К извлекаемым закрытым ключам относятся все виды закрытых ключей, за исключением неизвлекаемых, включая экспортируемые и неэкспортируемые.

Виды ключевых носителей

Пассивный ключевой носитель

Виды реализации: носитель с USB интерфейсом, носитель с бесконтактным интерфейсом (NFC интерфейс), смарт-карта.

Для доступа к защищенному содержимому данного ключевого носителя необходимо ввести пароль (PIN-код). Закрытый ключ хранится в ключевом контейнере на ключевом носителе. Пароль (PIN-код), которым защищён от доступа закрытый ключ на таком носителе, при получении следует изменить, обеспечить его надежное хранение и исключить доступ к паролю любых лиц.

При подписании электронного документа с использованием пассивного носителя и средства электронной подписи вычисляется уникальный набор символов — хэш документа , однозначно связанных с содержанием электронного документа. Далее закрытый ключ копируется в память компьютерного устройства, где с его помощью средство электронной подписи выполняет криптографические операции формирования электронной подписи – подписание электронного документа. По завершении процедуры подписания закрытый ключ удаляется из памяти компьютерного устройства. Процедура подписания электронного документа происходит незаметно для пользователя в течение нескольких секунд.

На ключевом носителе установлено ограничение попыток неправильного ввода пароля (PIN-кода) и при превышении такого лимита ключевой носитель блокируется. Несмотря на это пассивный ключевой носитель обладает средним уровнем защищенности от атак злоумышленников – в момент подписания документа образуется короткий промежуток времени, когда закрытый ключ находится в памяти компьютерного устройства, где существует возможность его перехвата злоумышленником с высоким уровнем технических знаний и/или с использованием специальных технических средств. Для исключения такого вида атак существует активный ключевой носитель.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *