Forwarded from Листок бюрократической защиты информации
ГОСТ Р 58833-02020 «Защита информации. Идентификация и аутентификация. Общие положения»
Кстати, продолжая тему ГОСТов стоит отметить, что стал доступен для ознакомления ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Общие положения» в утверждённой редакции (не в проектной, хоть и финальной, что на сайте ФСТЭК России).
Напомню, что данный ГОСТ был введён 1 мая 2020 г.
Кстати, продолжая тему ГОСТов стоит отметить, что стал доступен для ознакомления ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Общие положения» в утверждённой редакции (не в проектной, хоть и финальной, что на сайте ФСТЭК России).
Напомню, что данный ГОСТ был введён 1 мая 2020 г.
Выше размещена ссылка на ГОСТ Р 58833-02020 «Защита информации. Идентификация и аутентификация. Общие положения» не потому-что в данном документе термины 63-ФЗ (об этом будет следующий пост), а потому-что впервые на уровне государственного стандарта дано определение терминов "идентификации" и "аутентификация".
Эти термины всем известны, их можно встретить в РД Гостехкомиссии "Защита от несанкционированного доступа к информации. Термины и определения" 1992 года, рекомендациях по стандартизации Р 50.1.053-2005 "Информационные технологии. Основные термины и определения в области технической защиты информации
" 2005 года. Каждый, кто читает этот пост, прошел и идентификацию, и аутентификацию в данном мессенджере. Положение о Единой системе идентификации и аутентификации было утверждено в 2012 году, а сами термины закреплены на уровне государственного стандарта только с 1 мая 2020 года.
Эти термины всем известны, их можно встретить в РД Гостехкомиссии "Защита от несанкционированного доступа к информации. Термины и определения" 1992 года, рекомендациях по стандартизации Р 50.1.053-2005 "Информационные технологии. Основные термины и определения в области технической защиты информации
" 2005 года. Каждый, кто читает этот пост, прошел и идентификацию, и аутентификацию в данном мессенджере. Положение о Единой системе идентификации и аутентификации было утверждено в 2012 году, а сами термины закреплены на уровне государственного стандарта только с 1 мая 2020 года.
Наглядное сравнение, как одни и те же понятия определены в государственном стандарте и федеральном законе.
ГОСТ Р 58833-02020
закрытый ключ: Ключ из состава асимметричной пары ключей, сформированных для объекта, который должен быть использован только этим объектом.
открытый ключ: Ключ из состава асимметричной пары ключей, сформированных для объекта, который может быть общедоступным.
доверенная третья сторона: Участник процесса аутентификации, предоставляющий один или более сервисов в области защиты информации, которому доверяют другие участники процесса аутентификации как поставщику данных услуг.
63-ФЗ
ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи
ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи
доверенная третья сторона - юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени в отношении лица, подписавшего электронный документ, для обеспечения доверия при обмене данными и электронными документами и иные функции, предусмотренные настоящим Федеральным законом.
ГОСТ Р 58833-02020
закрытый ключ: Ключ из состава асимметричной пары ключей, сформированных для объекта, который должен быть использован только этим объектом.
открытый ключ: Ключ из состава асимметричной пары ключей, сформированных для объекта, который может быть общедоступным.
доверенная третья сторона: Участник процесса аутентификации, предоставляющий один или более сервисов в области защиты информации, которому доверяют другие участники процесса аутентификации как поставщику данных услуг.
63-ФЗ
ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи
ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи
доверенная третья сторона - юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени в отношении лица, подписавшего электронный документ, для обеспечения доверия при обмене данными и электронными документами и иные функции, предусмотренные настоящим Федеральным законом.
УЦ ФК за 7 месяцев 2020 года выдано около 296 тыс. сертификатов, из них:
- около 119 тысяч - первичное получение, т.е. это новые клиенты УЦ ФК;
- около 156 тысяч - плановая смена без личного присутствия;
- около 21 тысячи - плановая смена с личным присутствием.
- около 119 тысяч - первичное получение, т.е. это новые клиенты УЦ ФК;
- около 156 тысяч - плановая смена без личного присутствия;
- около 21 тысячи - плановая смена с личным присутствием.
88 человек из 100 осуществляют плановую смену сертификата без личного присутствия с использованием ЭП при наличии действующего квалифицированного сертификата
Ещё немного цифр, согласно статистики использования официального сайта Федерального казначейства - страница Портала заявителя вторая по посещаемости после главной страницы сайта https://metrika.yandex.ru/stat/entrance?period=week&confidence=%7B%22enabled%22%3Afalse%2C%22confidenceLevel%22%3A0.95%2C%22maxDeviation%22%3A0.05%7D&dimension_filter=http%3A%2F%2Froskazna.ru&id=23871871
С 2018 года в Федеральном казначействе функционирует Единый контактный центр, созданный на базе межрегионального филиала ФКУ «ЦОКР» в г. Владимир.
За 1-е полугодие 2020 год обработано почти 500 тысяч обращений, что на 30% больше чем за аналогичный период прошлого года.
Ежемесячно в ЕКЦ поступает около 5000 обращений по вопросам УЦ ФК, 2/3 из которых решается на 1-ой линии.
За 1-е полугодие 2020 год обработано почти 500 тысяч обращений, что на 30% больше чем за аналогичный период прошлого года.
Ежемесячно в ЕКЦ поступает около 5000 обращений по вопросам УЦ ФК, 2/3 из которых решается на 1-ой линии.
Уважаемые владельцы сертификатов Удостоверяющего центра Федерального казначейства, напоминаем, что Портал заявителя информационной системы «Удостоверяющий центр Федерального казначейства» позволяет осуществлять плановую смену квалифицированного сертификата без необходимости посещения ТОФК с использованием действующего ключа электронной подписи и соответствующего ему квалифицированного сертификата, при условии, что ранее предоставленные в УЦ ФК сведения не изменились.
За 45 дней до окончания срока действия сертификата (и далее каждые 7 дней) на указанные в сертификатах адреса электронной почты начинается автоматическая рассылка с оповещением о необходимости смены сертификата.
Просим Вас контролировать срок действия своего сертификата, отслеживать в почте автоматические уведомления о приближении даты окончания срока его действия и инициировать смену сертификата не позднее чем за 10 дней до окончания срока действия сертификата.
https://roskazna.gov.ru/upload/iblock/422/instruktsiya-po-smene-sertifikata-s-ispolzovaniem-ep.pdf
За 45 дней до окончания срока действия сертификата (и далее каждые 7 дней) на указанные в сертификатах адреса электронной почты начинается автоматическая рассылка с оповещением о необходимости смены сертификата.
Просим Вас контролировать срок действия своего сертификата, отслеживать в почте автоматические уведомления о приближении даты окончания срока его действия и инициировать смену сертификата не позднее чем за 10 дней до окончания срока действия сертификата.
https://roskazna.gov.ru/upload/iblock/422/instruktsiya-po-smene-sertifikata-s-ispolzovaniem-ep.pdf
Forwarded from Пост Лукацкого
Чем ненадежнее метод аутентификации (например, пароль), тем он распространеннее. Почему? Попробуем 13-го числа разобраться с этим https://t.co/0rHvPCvu8Z
— Alexey Lukatsky (@alukatsky) August 8, 2020
— Alexey Lukatsky (@alukatsky) August 8, 2020
Twitter
Ilya Shabanov
13 августа в 11.00 формате AM Live состоится битва титанов на тему: Выбор корпоративной системы многофакторной аутентификации". Регистрация по ссылке https://t.co/Wgk9GIeZXF
Forwarded from Листок бюрократической защиты информации
Изменения в ПП-313
ФСБ России подготовила и представила для общественного обсуждения проект изменений в Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), утверждённое постановлением Правительства Российской Федерации от 16.04.2012 № 313.
ФСБ России подготовила и представила для общественного обсуждения проект изменений в Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), утверждённое постановлением Правительства Российской Федерации от 16.04.2012 № 313.
Информация, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью.
Ответственность за использование ключей электронной подписи лежит на лице, которому выдан сертификат. Закон об электронной подписи не предполагает передачу права использования ключа электронной подписи от ее владельца иным лицам.
При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;
2) уведомлять удостоверяющий центр, выдавший сертификат ключа проверки электронной подписи, и иных участников электронного взаимодействия о нарушении конфиденциальности ключа электронной подписи в течение не более чем одного рабочего дня со дня получения информации о таком нарушении;
3) не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена.
Ответственность за использование ключей электронной подписи лежит на лице, которому выдан сертификат. Закон об электронной подписи не предполагает передачу права использования ключа электронной подписи от ее владельца иным лицам.
При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;
2) уведомлять удостоверяющий центр, выдавший сертификат ключа проверки электронной подписи, и иных участников электронного взаимодействия о нарушении конфиденциальности ключа электронной подписи в течение не более чем одного рабочего дня со дня получения информации о таком нарушении;
3) не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена.
Использование ключей электронной подписи иными лицами без ведома владельца сертификата не освобождает владельца сертификата от ответственности за негативные последствия:
Решение Ленинского районного суда г. Саранска Республики Мордовия № 12-370/2019 от 3 сентября 2019 г. https://sudact.ru/regular/doc/WlJRQeXi4GQV/
Решение Пошехонского районного суда Ярославской области № 12-65/2019 от 21 ноября 2019 г. https://sudact.ru/regular/doc/1gG71ZFqDplx/
Решение Центрального районного суда г. Барнаула Алтайского края № 12-503/2017 от 10 июля 2017 г https://sudact.ru/regular/doc/pNs7eBaM8mJR
Решение Ленинского районного суда г. Саранска Республики Мордовия № 12-370/2019 от 3 сентября 2019 г. https://sudact.ru/regular/doc/WlJRQeXi4GQV/
Решение Пошехонского районного суда Ярославской области № 12-65/2019 от 21 ноября 2019 г. https://sudact.ru/regular/doc/1gG71ZFqDplx/
Решение Центрального районного суда г. Барнаула Алтайского края № 12-503/2017 от 10 июля 2017 г https://sudact.ru/regular/doc/pNs7eBaM8mJR
При выдаче квалифицированного сертификата УЦ обязан идентифицировать заявителя.
Идентификация заявителя проводится при личном присутствии заявителя или посредством идентификации заявителя без его личного присутствия с использованием квалифицированной электронной подписи при наличии действующего квалифицированного сертификата, информации, указанной в документе, удостоверяющем личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащем электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, или посредством идентификации заявителя - гражданина Российской Федерации с применением информационных технологий без его личного присутствия путем предоставления сведений из единой системы идентификации и аутентификации и информации из единой биометрической системы.
УЦ ФК проводит идентификацию как при личном присутствии заявителя, так и без его личного присутствия с использованием квалифицированной электронной подписи.
Идентификация заявителя проводится при личном присутствии заявителя или посредством идентификации заявителя без его личного присутствия с использованием квалифицированной электронной подписи при наличии действующего квалифицированного сертификата, информации, указанной в документе, удостоверяющем личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащем электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, или посредством идентификации заявителя - гражданина Российской Федерации с применением информационных технологий без его личного присутствия путем предоставления сведений из единой системы идентификации и аутентификации и информации из единой биометрической системы.
УЦ ФК проводит идентификацию как при личном присутствии заявителя, так и без его личного присутствия с использованием квалифицированной электронной подписи.
Согласно постановлению Правительства Российской Федерации от 04.08.2020 № 1169 http://publication.pravo.gov.ru/Document/View/0001202008080003 с 1 января 2021 г. будет отменен приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 13 августа 2018 г. N 397 "Об утверждении требований к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей".
Утверждение нового приказа взамен приказа Минкомсвязи России от 13.08.2018 № 397 осуществляется согласно проекту https://regulation.gov.ru/projects#npa=102218, на которое получено положительное Заключение
об оценке регулирующего воздействия.
Утверждение нового приказа взамен приказа Минкомсвязи России от 13.08.2018 № 397 осуществляется согласно проекту https://regulation.gov.ru/projects#npa=102218, на которое получено положительное Заключение
об оценке регулирующего воздействия.
publication.pravo.gov.ru
Постановление Правительства Российской Федерации от 04.08.2020 № 1169 ∙ Официальное опубликование правовых актов ∙ Официальный…
Постановление Правительства Российской Федерации от 04.08.2020 № 1169
"О признании утратившими силу некоторых нормативных правовых актов и отдельных положений некоторых нормативных правовых актов Правительства Российской Федерации и об отмене некоторых нормативных…
"О признании утратившими силу некоторых нормативных правовых актов и отдельных положений некоторых нормативных правовых актов Правительства Российской Федерации и об отмене некоторых нормативных…
УЦ ФК
Чем ненадежнее метод аутентификации (например, пароль), тем он распространеннее. Почему? Попробуем 13-го числа разобраться с этим https://t.co/0rHvPCvu8Z — Alexey Lukatsky (@alukatsky) August 8, 2020
YouTube
Выбор корпоративной системы многофакторной аутентификации (MFA)
Запись прямого эфира онлайн-конференции AM Live (https://www.anti-malware.ru) о выборе корпоративной системы многофакторной аутентификации (MFA - Multi-Factor Authentication), проходившей 13 августа 2020 года.
Модератор:
Алексей Лукацкий, Бизнес-консультант…
Модератор:
Алексей Лукацкий, Бизнес-консультант…