Где взять серийный номер ключевого документа — Форум по вопросам информационной безопасности
Где взять серийный номер ключевого документа — Форум по вопросам информационной безопасности
Страницы: 1 2 >
Вы правы, ключевой документ — это физический носитель. Для подписей федерального казначейства это любые usb носители, таблетки touch memory и даже дискеты.
Согласно пункту 3.4 утвержденного регламента УЦ ФК (приложение 1 к приказу)
3.4. Создание и выдача сертификата осуществляется при условии наличия у Заявителя:
.
— на ключевом носителе имеется маркировка с учетным номером, присвоенным Заявителем
Из чего можно сделать вывод, что вы сами присваиваете учетный номер вашему ключевому носителю.
Где его взять уже ваше дело, можете придумать, а можете посмотреть в свойствах устройства..
". беру флэшку. На флэшку клею наклейку с названием организации, номером эп по журналу, ф.и.о. пользователя, название системы для которой предназанчена эп. "
Криптографические номера ключевых документов это что
Войти
Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal
Особенности учета СКЗИ
Средства криптографической защиты информации (СКЗИ) на сегодняшний день применяются практически во всех компаниях, будь то при обмене данными с контрагентами, или при связи и отправке платежных поручений в банк, программой банк клиент.
Но не все знают, что согласно закону ключи шифрования должны учитываться.
В данной статье я расскажу об учете средств криптографической защиты информации и приведу ссылки на законные акты Российской Федерации.
Основными законами которые регулирует СКЗИ являются:
Приказ ФСБ РФ от 9 февраля 2005 г. N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)"
Приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" и Приложение к приказу ФАПСИ РФ от 13 июня 2001 г. N 152
Если посмотреть приказ ФСБ №66 в приложении в пункте 48, можно увидеть следующее содержание:
48. СКЗИ и их опытные образцы подлежат поэкземплярному учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов (условных наименований) и регистрационных номеров поэкземплярного учета СКЗИ и их опытных образцов определяет ФСБ России.
Организация поэкземплярного учета опытных образцов СКЗИ возлагается на разработчика СКЗИ.
Организация поэкземплярного учета изготовленных СКЗИ возлагается на изготовителя СКЗИ.
Организация поэкземплярного учета используемых СКЗИ возлагается на заказчика СКЗИ.
Это означает, что даже если простая компания, не занимающаяся созданием и продажей средств криптографической защиты информации решила приобрести несколько USB-ключей eToken, то они все равно должны быть учтены и закреплены за конечным пользователем, то есть сотрудником. Причем на вполне законных основаниях проверить учет может ФСБ, приехав в офис любой компании.
Данный учет средств криптографической защиты информации должен вестись в специальном журнале, а еще лучше в добавок и в электронном виде, где должны быть учтена следующая информация:
1. что выдали
2. на чем выдали
3. кто получил
4. кто сдал
5. отметка о уничтожении
Учитывать следует сами электронные ключи, ключевые носители, программное обеспечение которое делает криптографические преобразования информации, лицензии на право использования СКЗИ.
Таким образом СКЗИ для учета следует разделить на:
Ключевой носитель — физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации). Различают разовый ключевой носитель (таблица, перфолента, перфокарта и т.п.) и ключевой носитель многократного использования (магнитная лента, дискета, компакт-диск, Data Key, Smart Card, Touch Memory и т. п.).
Ключевой документ — физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости — контрольную, служебную и технологическую информацию; (по сути это носитель с записанным секретным ключом)
Дистрибутив СКЗИ — само программное обеспечение(например КриптоПро CSP, тут следует учесть номер дистрибутива, который можно найти в формуляре на СКЗИ)
Лицензия СКЗИ — сама по себе не является средством шифрования, но ее тоже следует учесть в журнале, так как были инциденты, когда компании из за этого штрафовали, а еще я слышал случаи о возбуждении уголовных дел.
Кстати говоря у многих возникает спор, в чем же разница между ключевым документом и ключевым носителем. Кто-то придерживается мнения, что ключевой документ это сам по себе ключевой контейнер или ключевая информация, и в принципе это логично, но то описание которое я привел выше, было взять из приложения к Приказу ФАПСИ от 13 июня 2001 г. N 152, где четко прописано, что это физический носитель.
Поэтому лично с моей точки зрения это следует подразумевать, как не просто ключевая информация в электронном виде, а физический носитель с записанной на него ключевой информацией. В принципе это не составляет труда учесть, так как можно в журнале указать номер носителя и идентификатор секретного ключа в одном пункте.
В приложении к приказу ФАПСИ РФ от 13 июня 2001 г. N 152, можно найти примеры типовых журналов по учету средств криптографической защиты информации. http://base.garant.ru/183628/#block_1000
Мое и не только мое мнение для учета лучше всего вести несколько журналов:
Журнал поэкземплярного учёта дистрибутивов СКЗИ.
Журнал поэкземплярного учёта лицензий на право использования СКЗИ.
Журнал поэкземплярного учёта ключевых документов СКЗИ.
Журнал поэкземплярного учёта аппаратных ключевых носителей СКЗИ.
В журнале поэкземплярного учёта дистрибутивов средств криптографической защиты информации, СКЗИ учитываются по номерам дистрибутивов, записанных в формуляре на изделие.
В журнале поэкземплярного учёта лицензий на право использования средств криптографической защиты информации, СКЗИ учитываются по серийным номерам лицензий.
В журнале поэкземплярного учёта ключевых документов средств криптографической защиты информации, СКЗИ учитываются по номерам токенов (а они напечатаны на каждом токене) или по номерам дискет/флешек (серийным номерам томов, которые можно увидеть по команде DIR), так же в этом журнале прописывается имя крипто-контейнера или серийный номер ключа.
В журнале поэкземплярного учета аппаратных ключевых носителей средств криптографической защиты информации, СКЗИ учитываются по номерам токенов (а они напечатаны на каждом токене). Данный журнал целесообразно использовать, чисто по хранящимся токенам, которые поступили на склад, но никому не выдаются и не содержат ключевой информации, либо были переданы, но без ключевой информации.
В целях упрощения учета, при получении большого количества СКЗИ, следует запросить учетную информацию в электронном виде, у поставщика или криптографического органа, что бы не перепечатывать эти серийные номера вручную.
Примеры журналов учета СКЗИ, можно найти в конце приложения к приказу ФАПСИ РФ от 13 июня 2001 г. N 152.
Чем отличаются открытый и закрытый ключи ЭЦП?
При создании электронной цифровой подписи с помощью криптографических алгоритмов формируется ключевая пара — открытый и закрытый ключи. Расскажем подробно о том, что такое ключевая пара, чем отличаются части ЭЦП, какие функции они выполняют.
Открытый ключ ЭЦП
Эта часть ключевой пары представляет собой уникальный набор символов, который формируется криптопровайдером (средством криптографической защиты информации). Открытый ключ находится в сертификате проверки электронной подписи (в электронной и бумажной версии). Он доступен всем, так как используется для расшифровки ЭЦП. То есть с его помощью получатель подписанного электронного документа может идентифицировать и проверить ЭЦП. Удостоверяющие центры хранят выданные открытые ключи в специальном реестре.
Закрытый ключ ЭЦП
Это секретный уникальный набор символов, который также формируется криптопровайдером. Закрытый ключ необходим для формирования ЭЦП на электронном документе и хранится в зашифрованном виде на носителе (токене). Доступ к закрытому ключу имеет только владелец ЭЦП, он защищен PIN-кодом. Теоретически, скопировать закрытый ключ на другой носитель можно, но делать это не рекомендуется, так как безопасность использования ЭЦП гарантирована только тогда, когда закрытый ключ существует в единственном экземпляре. Если носитель с закрытым ключом утерян, то в целях безопасности необходимо отозвать ЭЦП, чтобы злоумышленники не могли ей воспользоваться.
В ключевой паре открытая и закрытая части привязаны друг к другу.
Как найти и выгрузить ключи на компьютер?
Чаще всего появляется необходимость выгрузить открытый ключ, например, чтобы предоставить его контрагентам для проверки ЭЦП. На токене сертификат проверки ключа скрыт. Как его открыть? Сделать это можно через свойства браузера или программу КриптоПро CSP. Чтобы экспортировать ключ, в первую очередь необходимо подключить токен к компьютеру.
Через свойства браузера:
В ОС Windows необходимо открыть: «Пуск» — «Панель управления» — «Свойства браузера».
В появившемся окне выбрать вкладку «Содержание», а далее — «Сертификаты».
Появится список сертификатов, в котором следует выбрать нужный, а затем нажать кнопку «Экспорт».
Появится окно «Мастер экспорта сертификатов», где нужно выбрать «Не экспортировать закрытый ключ», если это не требуется.
Выбрать формат файла «Файлы в DER-кодировке X.509 (.CER)».
Выбрать место хранения ключа и сохранить.
Через КриптоПро CSP:
В ОС Windows надо перейти в «Пуск» — «Панель управления» — «КриптоПро CSP».
В открывшемся окне следует выбрать вкладку «Сервис» и нажать «Просмотреть сертификаты в контейнере».
Через кнопку «Обзор» нужно выбрать контейнер.
В окне «Сертификат для просмотра» следует нажать кнопку «Свойства» и на вкладке «Состав» нажать «Копировать в файл».
Далее порядок действий в окне «Мастер экспорта сертификатов» аналогичный: выбрать, нужно ли сохранять закрытый ключ, установить формат и определить место хранения.
Закрытый ключ на токене тоже скрыт. Он выглядит как папка с несколькими файлами с расширением .key. Обычно закрытый ключ экспортируют, если нужно получить прямой к нему доступ. Однако хранить закрытую часть ЭЦП на компьютере категорически не рекомендуется, так как это небезопасно.
Выгрузка закрытого ключа через свойства браузера выполняется по тому же алгоритму, что и в случае с открытым. Только в окне «Мастер экспорта сертификатов» нужно выбрать «Экспортировать закрытый ключ». А порядок действий при выгрузке из КриптоПро CSP следующий:
В ОС Windows нажать «Пуск» перейти на «Панель управления» и выбрать «КриптоПро CSP».
Далее — вкладка «Сервис» и кнопка «Скопировать контейнер».
Через кнопку «Обзор» нужно выбрать контейнер и подтвердить (потребуется ввести PIN-код).
Затем нужно ввести название копии закрытого ключа и нажать «Готово».
Далее нужно выбрать, куда будет записан ключ, установить пароль для обеспечения дополнительной защиты и подтвердить действия.
Ещё раз напомним, что экспортировать закрытый ключ без необходимости, не рекомендуется. Его может использовать любой, кто имеет доступ к компьютеру, на который он скопирован.
Заказав электронную цифровую подпись в СберКорус, вы сможете самостоятельно настроить компьютер для работы с ЭЦП, посмотрев видеоинструкцию. При возникновении сложностей мы поможем настроить компьютер бесплатно. А также в любое время проконсультируем по интересующим вопросам.
Журнал учета СКЗИ
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Стас
- —>
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Роман
- —>
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- McStivenson
- —>
- Не в сети
- Сообщений: 20
- Спасибо получено: 3
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Alex67
- —>
- Не в сети
- Сообщений: 1884
- Спасибо получено: 508
McStivenson пишет: А возможно ли закрепить КриптоПРО за начальником отдела, а не отдельными сотрудниками, дабы не создавать кучу новых записей при текучке кадров?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- McStivenson
- —>
- Не в сети
- Сообщений: 20
- Спасибо получено: 3
Alex67 пишет: Тогда сразу за директором закрепляйте, а то вдруг начальник отдела тоже уволится
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Alex67
- —>
- Не в сети
- Сообщений: 1884
- Спасибо получено: 508
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- McStivenson
- —>
- Не в сети
- Сообщений: 20
- Спасибо получено: 3
Alex67 пишет: Чья ЭП стоит на сервере? (Одна?)
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- two_oceans
- —>
- Не в сети
- Сообщений: 183
- Спасибо получено: 36
Alex67 пишет: Чья ЭП стоит на сервере? (Одна?)
Имеется ввиду работа по удаленному рабочему столу? По моему мнению, если на компьютере пользователя нет КриптоПро, то и закреплять за пользователем КриптоПро не нужно. А вот ЭП по любому нужно закреплять за сотрудниками, даже если они работают удаленно, но каждый под своей ЭП (если ЭП аккредитованного удостоверяющего центра).
Если сервер чужой и у Вас нет лицензионной бумаги на КриптоПро, то не нужно вообще закреплять КриптоПро. Если сервер Ваш, то КриптоПро можно закрепить за директором или лучше за администратором ИБ этого сервера.
Также, у меня сомнения вот в чем — аккредитован ли УЦ вышестоящей организации. Если вышестоящая организация выдает сертификаты своего неаккредитованного УЦ, то по идее ЭП не попадает под закон об электронной подписи и юридическую силу имеет только между конкретными организациями — имеет ли смысл их вообще регистрировать в журнале СКЗИ? Склоняюсь, что нет.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- McStivenson
- —>
- Не в сети
- Сообщений: 20
- Спасибо получено: 3
two_oceans пишет: Имеется ввиду работа по удаленному рабочему столу? По моему мнению, если на компьютере пользователя нет КриптоПро, то и закреплять за пользователем КриптоПро не нужно. А вот ЭП по любому нужно закреплять за сотрудниками, даже если они работают удаленно, но каждый под своей ЭП (если ЭП аккредитованного удостоверяющего центра).
two_oceans пишет: Если сервер чужой и у Вас нет лицензионной бумаги на КриптоПро, то не нужно вообще закреплять КриптоПро. Если сервер Ваш, то КриптоПро можно закрепить за директором или лучше за администратором ИБ этого сервера.
two_oceans пишет: Также, у меня сомнения вот в чем — аккредитован ли УЦ вышестоящей организации. Если вышестоящая организация выдает сертификаты своего неаккредитованного УЦ, то по идее ЭП не попадает под закон об электронной подписи и юридическую силу имеет только между конкретными организациями — имеет ли смысл их вообще регистрировать в журнале СКЗИ? Склоняюсь, что нет.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Анонимный
- —>
ААААА, задолбало уже. Специально прочитал ветку от начала до конца. Встретил несколько раз вопросы и полного ответа не увидел. Предлагаю всем вместе поразмышляем и поставим точку в вопросе.
Являюсь обладателем конфиденциальной информации.
Есть понятия :
— ключевая информация-(сама подпись), согласно 152 приказа — специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определённого срока;
— ключевой носитель-(то на что будет записана эту подпись) согласно 152 приказа — магнитная лента, дискета, компакт — диск, Data Key, Smart Card, Touch Memory и т.п.) ,
— ключевой документ— (это когда саму подпись записали на носитель) согласно 152 приказа. — физический носитель определённой структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости — контрольную, служебную и технологическую информацию;
—сертификат — Квалифицированный сертификат ключа проверки электронной подписи — в 152-ом приказе вообще не упоминается как понятие. Упоминается в регламентах УФК что важно для дальнейшей интерпретации.
Выдержка статей из 152 приказа (для наглядности, так сказать не отходя от кассы)
Задача: Разобраться с учётом в журнале СКЗИ самой подписи, а также носителей этой подписи (флешка, токен…) и сертификата к этой подпись
Этап №1 разбираем учёт ключевой информации (самой подпись) и ключевых носителей (флешки, токены…)
Согласно 152 приказа, статья 26 «…Единицей поэкземплярного учёта ключевых документов считается ключевой носитель многократного использования, ключевой блокнот…» . В данном пункте сказано что учитываем саму подпись расположенную на ключевом носителе, то есть если на ключевом носителе не размещена ключевая информация то такой носитель в журнале СКЗИ не учитывается. Скажем новенький токен который купили и ещё не использовали. К чему это, а вот к чему. Когда мы учитываем ключевой документ, то в графе 3 типового журнала СКЗИ требуется указать «Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов» и многие ВНИМАНИЕ пишут туда номер самого токена. На мой взгляд это не верно.
Пример №1. А что вы будете писать в графу 3 если ключевая информация записана на CD диск или на магнитную ленту? Ведь у них нету номера. По моему пониманию нужно писать номер самой ключевой информации который виден через программу Крипто ПРО.
(Сервис-> Протестировать-> Обзор-> Графа «Имя контейнера»).
Пример №2. Выдали вы токен пользователю и в «журнале учёта СКЗИ» в графе 3 указали номер токена. Пользователь на следующий день вам вдруг заявил что вы ключ ему не выдавали, а вы в ответ как же не выдавали если вот ваша расписались за токен с таким то номером, а он вам в ответ: ПРАВИЛЬНО за токен с таким то номером я расписался, а на токене записаны музыкальный файлы и я за то что на токене не расписывался.
А вот если вы выдали пользователю ключевою информацию с номером взятым из крипто про и пользователь расписался, что ему выдаётся именно ключевая информация с конкретным номером, записанная скажем на тот же токен то пользователю уже не отвертеться. Пользователь расписывается конкретно за получение ключевой информации с определённым номером и во вторую очередь расположенным на ключевом носителе скажем номерном токене или безномерном CD диске что всё вместе называется ключевой документ.
Этап №2 разбираем учёт сертификата.
Ведения журнала СКЗИ регламентируется 152 приказом. В нем нет определения такого понятия как сертификат, указанное выше в этом сообщении. Данное определение встречается в регламенте к УФК.
Размышление. Раз нету в 152 то и отношения к журналу СКЗИ он не имеет. НО в процессе взаимодействия обладателя конфиденциальной информации с тер отделом УФК возникает как единица учёта. Обладатель пишет заявление типа «прошу выдать мне сертификат к моему ключевому документу который к слову я уже учёл в своём «журнале учёта СКЗИ». Тер. отдел УФК предоставляет такой сертификат и в подтверждении что тер. отдел выдал данный сертификат просит расписаться в его журнале. Так вот в этом случае его журнал не обязательно должен называться «Журнал учёта СКЗИ УФК…». Журнал грубо говоря может называться «Выдали то что просили обладатели конф. информации, мол чтобы потом они не говорили что мы им не выдавали». А если обладатели попросят выдать скажем какую-нибудь инструкцию? Факт выдачи инструкции под роспись не будет же отражаться в «Журнале учёта СКЗИ УФК». Отсюда напрашивается что сам сертификат обладатели конф. информации в своём «журнале учёта СКЗИ» отражать не обязаны. Да и в 152 нету упоминания про учёт сертификат.
Размышляем далее. Сертификат открытого ключа не является ключевым документом т.к. ключевой документ согласно приказа 152 статья 26 — это "физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию)". Сертификат открытого ключа не является физическим носителем и не содержит криптоключей. Открытый ключ не относится к криптоключам, а значит не является единицей СКЗИ хоть и взаимодействует с СКЗИ. Ну например компьютерная мышка не содержит в себе СКЗИ, а нужна в процессе взаимодействия с СКЗИ. МЫ же компьютерную мышку в журнал СКЗИ не вносим.
Всё выше описанное является моими калейдоскопическими знаниями. Хочется чтобы крутя в голове знания-цветные стёклышки получался не вечный калейдоскоп, а красивая мозаика.
Подтвердите или опровергните. Готов кардинально поменять своё понимание про учёт СКЗИ. Предлагайте аргументированные варианты.