VipNET ГОСТ

Панчер

Почетный гость
Здравствуйте, такая вот телега приключилась.
Один админ, сын своего "высокопоставленного" отца, решил пощекотать нам нервишки..
Заявил мол большим организациям, вроде нашей, в сфере ЖКХ, необходимо использовать в своей работе VipNET, для шифрования данных и прочих дел..
У нас есть VPN на линуксовых шлюзах, все порты внешние закрыты, все чики бубони короче.
Только вот ничерта не знаю про этот ГОСТ, для чего мне этот ключ VipNET, и нужен ли он мне с юридической точки зрения.
Подскажите пожалуйста, кто-что знает по этой теме, дабы задницу прикрыть.
Спасибо!
 
Поток сознания... А в чем ваш вопрос?:upset:
Так для справки..
ViPNet CSP 4.2 — российский криптопровайдер, сертифицированный ФСБ России как средство криптографической защиты информации (СКЗИ) и электронной подписи.

ViPNet CSP 4.2 позволяет:
  • Создание ключей ЭП, формирование и проверка ЭП по ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2012
  • Хэширование данных по ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012
  • Шифрование и имитозащита данных по ГОСТ 28147-89
 
для чего мне этот ключ vipnet, и нужен ли он мне с юридической точки зрения.
вопрос к вашей организации. если оборонка или госсектор то скорее всего только gost шифрование и допустимо
 
На предприятии у вас должны быть регламентирующие документы, регламент по ИБ или что то такое, там должно это регулироваться. Если этого нет то тогда законодательство РФ. Думаю так.
 
Спасибо за ответы на мой не совсем вопрос))
Короче мы полукомерческая организация,и нас пугают эти гостом, мол у нас на серваке нет ключа VipNET, а значит вы нарушаете закон.
Пугают нас.
Через нас проходят паспортные данные и т.п.
Вот я понять не могу, реально нужно переходить на какой-то гост или просто от собственного невежества и глупости люди сходят сума))
 
Спасибо за ответы на мой не совсем вопрос))
Короче мы полукомерческая организация,и нас пугают эти гостом, мол у нас на серваке нет ключа VipNET, а значит вы нарушаете закон.
Пугают нас.
Через нас проходят паспортные данные и т.п.
Вот я понять не могу, реально нужно переходить на какой-то гост или просто от собственного невежества и глупости люди сходят сума))

Если через вас проходят паспортные данные то вам нужно ознакомиться с ФЗ 152 О защите персональных данных. http://www.consultant.ru/document/cons_doc_LAW_61801/
Вполне возможно что и правильно пугают.
Рекомендую обратиться в специализированную организацию которая занимается подобными вопросами и защитой ИСПДН.

- -Подумал и добавил - -

Часть документов которые должны быть в вашей организации. Полноту не гарантирую, что то могло упуститься и забыться.
1. Положение об обработке и защите ПДн (*)
2. Положение о пропускном и внутриобъектовом режиме (*)
3. Политика оператора в отношении обработки и защиты ПДн
4. Приказ о назначении комиссии по присвоению ПДн, обрабатываемым в ИСПДн, УЗ
5. Приказ о назначении комиссии, осуществляющей уничтожение (стирание) носителей ПДн
6. Приказ о контролируемой зоне
7. Приказ о назначении ответственных за организацию обработки ПДн
8. Приказ о назначении ответственных за обеспечение безопасности ПДн
9. Приказ об утверждении мест хранения материальных носителей, содержащих персональные данные
10. Приказ об утверждении документов по защите ПДн: положения, политики
11. Приказ об организации пропускного и внутриобъектового режима
12. Приказ о вводе ИСПДн в эксплуатацию
13. Акт присвоения ПДн, обрабатываемым в ИСПДн, УЗ
14. Акт об уничтожении (стирании) носителей персональных данных в случае достижения цели обработки
15. Технический регламент по организации контроля эффективности защиты информации
16. Технический регламент по организации разбирательств и составления заключения по фактам нарушений
17. Технический регламент по организации действий в случае возникновения внештатных ситуаций
18. Технический регламент по организации обращения с защищаемыми носителями информации (учёт, маркировка, хранение, передача другим лицам, ремонт, техническое обслуживание, уничтожение)
19. Инструкция по организации антивирусной защиты
20. Инструкция по организации парольной защиты
21. Технический регламент по организации резервирования и восстановления работоспособности технических средств, ПО, баз данных
22. Регламент реагирования на обращения субъектов ПДн и запросы надзорных органов (*)
23. Руководство ответственного за организацию обработки персональных данных ИСПДн
24. Руководство ответственного за обеспечение безопасности ПДн
25. Руководство пользователя в части обеспечения безопасности ПДн при их обработке в ИСПДн
26. Журнал учета проводимых контрольных мероприятий по защите информации
27. Журнал учёта и выдачи машинных носителей ПДн
28. Журнал учёта обращений субъектов ПДн
29. Журнал учёта обращений государственных надзорных органов (*)
30. Журнал учёта передачи сведений, содержащих персональные данные
31. Журнал учёта лиц, имевших доступ к сведениям ПДн в период их трудовой деятельности
32. Журнал учета ознакомления должностных лиц с приказами, положениями, регламентами и другими необходимыми документами
33. Перечень сведений, составляющих ПДн, обрабатываемых в информационной системе
34. Список лиц, имеющих право доступа в помещения ИСПДн
35. Перечень должностных лиц, которым необходим доступ к ПДн для выполнения функциональных (служебных) обязанностей
36. Технический паспорт ИСПДн
37. Матрица доступа субъектов доступа к защищаемым информационным ресурсам
38. Описание технологического процесса автоматизированной обработки информации и схема информационных потоков
39. Типовая форма приказа и плана мероприятий по защите персональных данных
40. Проект уведомления об обработке (о намерении осуществлять обработку) персональных данных
41. Проект соглашения работника о неразглашении ПДн субъектов
 
При обработке ИСПДН, в соответствии с законодательством вы обязаны использовать технические средства защиты информации.

Типовой набор средств защиты для ИСПДн
Для соответствия требованиям нормативных документов по защите перс.данных, каждая ИСПДн должна обладать следующим набором средств защиты информации - СЗИ (взят из 58 приказа ФСТЭК):
- Средства управления доступом регистрации и учёта, обеспечения целостности;
- Средства межсетевого экранирования;
- Средства обнаружения вторжений;
- Средства антивирусной защиты;
- Средства анализа защищённости;
- Средства защиты каналов связи - если имеется факт передачи ПДн за пределы контролируемой зоны;
- Средства шифрования - если нет охранной сигнализации или круглосуточного дежурства, если ПДн хранятся на ноутбуке, который периодически покидает пределы контролируемой зоны и т.д.
Все указанные категории средств защиты должны иметь соответствующие сертификаты ФСТЭК и ФСБ (именно по таким категориям вас попросят предъявить заверенные копии сертификатов при проверке).
Допускается использовать комплексные СЗИ. Например антивирус с межсетевым экраном и модулем обнаружения вторжений. Однако в таком случае продукт должен иметь соответствующие сертификаты: и по классу СВТ, и по классу МЭ, и как "средство обнаружения вторжений".

Вот пример подбора средств защиты для многопользовательской ИСПДн К2 из 1 АРМ:
- Средства управления доступом регистрации и учёта, обеспечения целостности;
- Сертифицированный дистрибутив операционной системы Microsoft Windows 7 Профессиональная;
- Электронные ключи пользователей eToken PRO (Java)/72K
- Средства межсетевого экранирования;
Персональный межсетевой экран Security Studio Endpoint Protection Personal Firewall
- Средства обнаружения вторжений;
Модуль обнаружения вторжений в Security Studio Endpoint Protection Personal Firewall
- Средства антивирусной защиты;
- Сертифицированный дистрибутив Касперского/НОДа/Др.Веба
- Средства анализа защищённости;
- Сканер xSpider 7.8
Средства защиты каналов связи;
ViPNet Custom, Континент.
Средства шифрования
ViPNet Safe disk, Aladdin Secret Disk.
Источник http://www.itsec.pro/2012/02/blog-post_14.html
 
Спасибо большое за инфу!!! буду доводить до начальства ))
 
С правовым полем и законодательной базой в этой сфере в стране вообще беда. В 2014 году пришлось модернизировать сетевое оборудование из-за
внесенных изменений в закон РФ «Об информации, информационных технологиях и о защите информации». Выбирали долго, поскольку помимо
стандартных функций маршрутизатора важно было наличие у него возможности СМС-Идентификации пользователей. Очень хотелось
приобрести стабильно работающее устройство, которое при этом не сильно усложняло процесс входа конечных пользователей сети Интернет,
так как возрастная категория у нас различная. Купили Traffic Inspector. Просмотрели видеоуроки на сайте «Смарт-Софт». Разбирались быстро.
Настроили. Работает уже полгода. Зависаний в работе не было. Unix – надежная и стабильная операционная система. Софт от разработчика
качественный. Думаю, что проблем и дальше не будет.
 
Назад
Верх Низ