Добрый день.
Мы в нашей организации заинтересовались вашим продуктом для учета СКЗИ и
ключевой информации. Однако сразу возникла довольно большое препятствие для
перевода наших текущих процессов учета на ваш продукт. Дело в том, что
многие наши сотрудники работают сразу с несколькими ключами электронной
подписи для разных информационных систем, при этом мы стараемся по
возможности размещать такие ключи на одном носителе, чтобы получался один
ключевой документ. Ваш же продукт, насколько я понял подразумевает только
одну ключевую информацию на одном носителе. Из этого вытекает второй вопрос
- какой порядок действий на данный момент подразумевается при обновлении
ключа электронной подписи (при истечении срока действия сертификата)? Не
планируете ли вы добавить возможность учета нескольких ключевых информаций
на одном носителе и ввести понятие "обновления" ключевого документа в
случае, когда на одном носителе записано несколько ключей, но обновляется
только один из них?
Обсуждение системы
Re: Описание системы "Менеджмент безопасности"
Добрый день, Борис.
В программе без проблем можно регистрировать неограниченное количество ключей (ключевой информации) на одном ключевом носителе, тем более что данная ситуация довольно часто встречается, например в аппаратных модулях шифрования (HSM - hardware security module).
В программе это делается следующим образом:
1. Ключевой носитель регистрируется в справочнике "Носители конфиденциальной информации". Например, пусть это будет ruToken № 234002
2. Предположим вы на этом токене записали ключи для сдачи отчетности и ключи для Интернет Клиент-Банка. Тогда перечисленную ключевую информацию (ключи) вы регистрируете в справочнике "Ключевая информация", например, как "Ключ отчетности 2016 (Иванов И. И,) SN: 12 22 FA" и "Ключ ДБО СуперБанк 2016 (Иванов И. И.) SN: 01 22"
3. Затем вы делаете 2 акта создания ключевых документов:
3.1. В первом Акте вы указываете ключевую информацию "Ключ отчетности 2016 (Иванов И. И,) SN: 12 22 FA" и ключевой носитель ruToken № 234002
3.2. Во втором Акте вы указываете ключевую информацию "Ключ ДБО СуперБанк 2016 (Иванов И. И.) SN: 01 22" и ключевой носитель ruToken № 234002
4. Таким образом у вас в системе будет зарегистрировано два ключевых документа:
4.1. "Ключ отчетности 2016 (Иванов И. И,) SN: 12 22 FA" на носителе ruToken № 234002
4.2. "Ключ ДБО СуперБанк 2016 (Иванов И. И.) SN: 01 22" на носителе ruToken № 234002
Обновление сертификатов, при истечении срока действия подразумевает выпуск новой ключевой информации и регистрацию новых ключевых документов. Старая ключевая информация при этом удаляется в носителя и на нее делается Акт уничтожения
В программе без проблем можно регистрировать неограниченное количество ключей (ключевой информации) на одном ключевом носителе, тем более что данная ситуация довольно часто встречается, например в аппаратных модулях шифрования (HSM - hardware security module).
В программе это делается следующим образом:
1. Ключевой носитель регистрируется в справочнике "Носители конфиденциальной информации". Например, пусть это будет ruToken № 234002
2. Предположим вы на этом токене записали ключи для сдачи отчетности и ключи для Интернет Клиент-Банка. Тогда перечисленную ключевую информацию (ключи) вы регистрируете в справочнике "Ключевая информация", например, как "Ключ отчетности 2016 (Иванов И. И,) SN: 12 22 FA" и "Ключ ДБО СуперБанк 2016 (Иванов И. И.) SN: 01 22"
3. Затем вы делаете 2 акта создания ключевых документов:
3.1. В первом Акте вы указываете ключевую информацию "Ключ отчетности 2016 (Иванов И. И,) SN: 12 22 FA" и ключевой носитель ruToken № 234002
3.2. Во втором Акте вы указываете ключевую информацию "Ключ ДБО СуперБанк 2016 (Иванов И. И.) SN: 01 22" и ключевой носитель ruToken № 234002
4. Таким образом у вас в системе будет зарегистрировано два ключевых документа:
4.1. "Ключ отчетности 2016 (Иванов И. И,) SN: 12 22 FA" на носителе ruToken № 234002
4.2. "Ключ ДБО СуперБанк 2016 (Иванов И. И.) SN: 01 22" на носителе ruToken № 234002
Обновление сертификатов, при истечении срока действия подразумевает выпуск новой ключевой информации и регистрацию новых ключевых документов. Старая ключевая информация при этом удаляется в носителя и на нее делается Акт уничтожения
Re: Описание системы "Менеджмент безопасности"
Да, таким образом получается как бы два ключевых документа. Хотя на самом деле он один. Почему бы не реализовать ситуацию, когда учитывается один ключевой документ, на него делается один акт, а в нем указывается, что на носителе записано несколько ключевых информаций? Так как минимум меньше бумажек получается..imba писал(а): 4. Таким образом у вас в системе будет зарегистрировано два ключевых документа:
4.1. "Ключ отчетности 2016 (Иванов И. И,) SN: 12 22 FA" на носителе ruToken № 234002
4.2. "Ключ ДБО СуперБанк 2016 (Иванов И. И.) SN: 01 22" на носителе ruToken № 234002
Re: Описание системы "Менеджмент безопасности"
Давайте взглянем на определение ключевого документа, приведенное в документации к программе (Методология учета) и так же указано в Постановлении Правительства № 313:
Ключевые документы – электронные документы на любых носителях информации , а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах.
Из определения видно, что ключевой документ это совокупность ключевой информации и ключевого носителя.
Ключевые документы – электронные документы на любых носителях информации , а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах.
Из определения видно, что ключевой документ это совокупность ключевой информации и ключевого носителя.
После ввода двух Актов создания КД мы в результате получили два ключевых документа, Это легко можно проверить, путем построения отчет "Перечень ключевых документов"Да, таким образом получается как бы два ключевых документа. Хотя на самом деле он один.
Re: Описание системы "Менеджмент безопасности"
Спасибо за быстрые ответы!
У нас все-таки немного разное понимание термина "ключевой документ"
Надеюсь я понятно изложил свою позицию =)
У нас все-таки немного разное понимание термина "ключевой документ"
это так. И при связке "один носитель - одна ключевая информация" у нас нет противоречий. А вот когда на один носитель записывается несколько ключевых иноформаций, на наш взгляд, это один ключевой документ, а не несколько. Определение не обязывает, чтобы на одном ключевом документе была только одна ключевая информация.imba писал(а): Из определения видно, что ключевой документ это совокупность ключевой информации и ключевого носителя.
Да вы получили два ключевых документа. Но отдельно они существуют только на бумаге. А на деле это один и тот же ключевой документ. На одном носителе записано несколько ключевых информаций. Так зачем множить сущности и оформлять один носитель как несколько ключевых документов?imba писал(а): После ввода двух Актов создания КД мы в результате получили два ключевых документа, Это легко можно проверить, путем построения отчет "Перечень ключевых документов"
Надеюсь я понятно изложил свою позицию =)
Re: Описание системы "Менеджмент безопасности"
В программе разная ключевая информация записанная на одном ключевом носителе образует разные ключевые документы.
Ключевой документ (КД) - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию;
Это определение коренным образом отличается от определения приведенном в ПП-313!
Если в ФАПСИ-152 КД это в первую очередь НОСИТЕЛЬ, то в ПП-313 это в первую очередь ЭЛЕКТРОННЫЙ ДОКУМЕНТ.
С учетом организации конституционного строя в законодательства в РФ, Постановление Правительства имеет больший вес, нежели нормативный правовой акт органа государственной власти поэтому в программе используется определение представленное в ПП-313.
направленность. Например, в случае утери носителя сразу становится понятен перечень скомпрометированной ключевой информации.
Вероятно, вы интуитивно используете определение приведенное в ФАПСИ 152, а именно:А вот когда на один носитель записывается несколько ключевых иноформаций, на наш взгляд, это один ключевой документ, а не несколько.
Ключевой документ (КД) - физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости - контрольную, служебную и технологическую информацию;
Это определение коренным образом отличается от определения приведенном в ПП-313!
Если в ФАПСИ-152 КД это в первую очередь НОСИТЕЛЬ, то в ПП-313 это в первую очередь ЭЛЕКТРОННЫЙ ДОКУМЕНТ.
С учетом организации конституционного строя в законодательства в РФ, Постановление Правительства имеет больший вес, нежели нормативный правовой акт органа государственной власти поэтому в программе используется определение представленное в ПП-313.
Ключевой документ в программе, да и "по жизни" фактически представляет собой экземпляр ключа (ключевой информации). Ведение учета ключевой информации с привязкой к носителям помимо соблюдения требований документов имеет ярко выраженную практическуюТак зачем множить сущности и оформлять один носитель как несколько ключевых документов?
направленность. Например, в случае утери носителя сразу становится понятен перечень скомпрометированной ключевой информации.
Re: Описание системы "Менеджмент безопасности"
Спасибо! Все верно, мы пользуемся определением из 152 инструкции. Постараемся обдумать, какой из двух вариантов для нас будет более подходящим.imba писал(а): Это определение коренным образом отличается от определения приведенном в ПП-313!
Если в ФАПСИ-152 КД это в первую очередь НОСИТЕЛЬ, то в ПП-313 это в первую очередь ЭЛЕКТРОННЫЙ ДОКУМЕНТ.
Re: Описание системы "Менеджмент безопасности"
С вашего позволения, продолжу дискуссию =)
Вам не кажется, что при вашем подходе, когда ключевой документ это по сути сам ключ подписи, идет некоторое дублирование между "ключевой информацией" и "ключевым документом"? Ведь когда я завел ключевую информацию и потом делаю акт создания ключевого документа, то единственное отличие - указание создающего лица и носителя на который ключ записан. Однако при создании ключевой информации она все равно кем-то создается и на какой-то носитель записывается. Почему бы не уйти от использования понятия "ключевая информация" и считать начальной точкой сразу "ключевой документ", а потом уже печатать акт создания, акт передачи, акт ввода в эксплуатацию и т.д.?
Вам не кажется, что при вашем подходе, когда ключевой документ это по сути сам ключ подписи, идет некоторое дублирование между "ключевой информацией" и "ключевым документом"? Ведь когда я завел ключевую информацию и потом делаю акт создания ключевого документа, то единственное отличие - указание создающего лица и носителя на который ключ записан. Однако при создании ключевой информации она все равно кем-то создается и на какой-то носитель записывается. Почему бы не уйти от использования понятия "ключевая информация" и считать начальной точкой сразу "ключевой документ", а потом уже печатать акт создания, акт передачи, акт ввода в эксплуатацию и т.д.?
Re: Описание системы "Менеджмент безопасности"
Нет, дублирования нет. Для интуитивного понимания термин ключевая информация можно заменить на ключ, тогда ключевой документ будет экземпляром ключа. Или еще вариант, для программистов ключевая информация - класс, ключевой документ - объект.Вам не кажется, что при вашем подходе, когда ключевой документ это по сути сам ключ подписи, идет некоторое дублирование между "ключевой информацией" и "ключевым документом"?
В точку! Дело в том, что для Организаций, которые только начала учет первым этапом будет определить какая ключевая информация вообще есть. Затем определяют где это ключевая информация записана (например, для wildcart сертификатов, используемых в большом количестве систем, это очень важно). А затем, когда бизнес-процессы налажены определяют ответственных лиц.Ведь когда я завел ключевую информацию и потом делаю акт создания ключевого документа, то единственное отличие - указание создающего лица и носителя на который ключ записан.
Программа построена таким образом, чтобы вы могли сразу вести учет с фиксацией всех, требуемых нормативными документами параметров - ответственных лиц и носителей. С практической точки зрения подобный формализм очень хорошо способствует повышению дисциплины в коллективе, а также существенно упрощает служебные расследования и аудит.
Этого сделать нельзя, поскольку потеряется много важной информации. Например, одна и та же ключевая информация может быть записана на множестве носителей, например рабочие и запасные ключевые документы, или использования одного ключа разными ответственными лицами, или использование wildcart сертификата в нескольких системах.Почему бы не уйти от использования понятия "ключевая информация" и считать начальной точкой сразу "ключевой документ"
Re: Описание системы "Менеджмент безопасности"
Если ввести термин копии КД и рассматривать одну и ту же ключевую информацию на разных носителях как копии одного и того же КД на разных носителях, то ничего не потеряется. Но я понял вашу позицию.imba писал(а): Этого сделать нельзя, поскольку потеряется много важной информации. Например, одна и та же ключевая информация может быть записана на множестве носителей, например рабочие и запасные ключевые документы, или использования одного ключа разными ответственными лицами, или использование wildcart сертификата в нескольких системах.
Поясните еще, пожалуйста, под вводом ключевого документа в эксплуатацию понимается настройка рабочего места ответственного сотрудника, которому передан КД? Или наделение созданного сертификата правами в информационной системе? Может ли быть ввод в эксплуатацию сделан раньше, чем передача ответственному сотруднику?