Об отказе в выдачи УФК заключения о возможности эксплуатации СКЗИ

Ответить
Елена Murmansk
Сообщения:36
Зарегистрирован:02 мар 2016, 12:35
Контактная информация:
Об отказе в выдачи УФК заключения о возможности эксплуатации СКЗИ

Сообщение Елена Murmansk » 26 сен 2019, 14:54

Здравствуйте!
При оформлении Заказчиком в УФК по Мурманской области ЭЦП для вновь принятого работника, УФК отказалось обучить пользователя СКЗИ и выдать заключение (а попросту говоря, оформить и выдать просто такое заключение), тем самым нарушило п. 7, 21 раздела II приказа ФАПСИ от 13.06.2001 № 152.
Мы написали официальный запрос в это УФК об объяснении причин, т.к. в городе проходят проверки ФСБ, в т.ч. проверки наличия у работников Заказчика таких заключений.
УФК незамедлительно прислали ответ, в котором ссылаются на "Порядок осуществления функции органа криптографической защиты информации, не содержащей сведений, составляющих государственную тайну, и тиражирования и передачи программных средств криптографической защиты информации", утв. приказом Федерального казначейства от 25.06.2018 № 177 (данный документ не получить, уже есть отказ от Федерального казначейства, т.к. приказ внутренний) и обосновывают свой отказ тем, что согласно этого приказа и п. 7раздела II приказа ФАПСИ от 13.06.2001 № 152 функции органа криптографической защиты информации территориальные УФК осуществляют для обеспечения СОБСТВЕННЫХ НУЖД.
Также ссылаются на п. 4 раздела II приказа ФАПСИ от 13.06.2001 № 152: "Безопасность хранения, обработки и передачи по каналам связи с использованием СКЗИ конфиденциальной информации, обладатели которой не имеют лицензий ФАПСИ, лицензиаты ФАПСИ организуют и обеспечивают либо по указанию вышестоящей организации, либо на основании договоров на оказание услуг по криптографической защите конфиденциальной информации" и сообщают, что такого договора между Заказчиком и УФК по Мурманской области не заключался и "заключение такого договора не предусмотрено". Также сообщают о том, что УФК не наделено полномочиями по осуществлению проверки готовности работников Заказчика к самостоятельному использованию СКЗИ и проведению специальной подготовки его пользователей.
При этом они оформляют и выдают ЭЦП и выдают всем автономным и бюджетным заказчикам.
Складывается впечатление, что кто-то что-то ВЫШЕ не поделил, не заключил какой-то договор, возможно возмездный со всеми вытекающими.
Вопрос: как быть в сложившейся ситуации? В других регионах тоже отказывают в выдаче заключений? Может написать следующий запрос в Центральный аппарат Казначейства?

Спасибо.
Tagzak
Сообщения:15
Зарегистрирован:23 авг 2019, 08:47
Контактная информация:

Re: Об отказе в выдачи УФК заключения о возможности эксплуатации СКЗИ

Сообщение Tagzak » 26 сен 2019, 15:57

Добрый день!
сожалею, что не могу Вам ничего посоветовать, тк не сталкивались с подобным.
однако, у меня вопрос к Вам. для чего такое обучение и его подтверждение? может мы не знаем просто, а его надо и нам делать? работаем просто ЭЦП и все...

:) заранее благодарим за ответ
Елена Murmansk
Сообщения:36
Зарегистрирован:02 мар 2016, 12:35
Контактная информация:

Re: Об отказе в выдачи УФК заключения о возможности эксплуатации СКЗИ

Сообщение Елена Murmansk » 26 сен 2019, 16:20

Ознакомьтесь с приказом ФАПСИ от 13.06.2001 № 152, там все написано. По нему идут проверки ФСБ, нас уже проверяли. Осматривают даже ПК, на которых установлено КриптоПро, есть ли пломбировка.
Заключения тоже нужны, они дают доступ к самостоятельной работе с ЭЦП. Их раньше УФК выдавало без проблем. На работников, которые давно работают у нас такие заключения есть, а сейчас вот не дают, хотя в приказ ФАПСИ изменения не вносились, обязанность у органа криптографической защиты информации (ОКЗИ) осталась прежней.
Борода
Сообщения:10173
Зарегистрирован:27 дек 2011, 10:45
Контактная информация:

Re: Об отказе в выдачи УФК заключения о возможности эксплуатации СКЗИ

Сообщение Борода » 26 сен 2019, 20:46

Елена Murmansk писал(а):
26 сен 2019, 14:54
Здравствуйте!
При оформлении Заказчиком в УФК по Мурманской области ЭЦП для вновь принятого работника, УФК отказалось обучить пользователя СКЗИ и выдать заключение (а попросту говоря, оформить и выдать просто такое заключение), тем самым нарушило п. 7, 21 раздела II приказа ФАПСИ от 13.06.2001 № 152.
С чего Вы решили, что УФК имеет какое-то отношение к органу криптографической защиты? ;)
Это Ваша структура. А проще - назначенный у Вас работник, отвечающий за защиту инфы.
Елена Murmansk
Сообщения:36
Зарегистрирован:02 мар 2016, 12:35
Контактная информация:

Об отказе в выдачи УФК заключения о возможности эксплуатации СКЗИ

Сообщение Елена Murmansk » 27 сен 2019, 10:28

Здравствуйте!
На сайте УФК по МО есть письма с указанием на то, что УФК является лицензиатом ФАПСИ:
"Управление Федерального казначейства по Мурманской области (далее - Управление) в дополнение к письму Управления от 03 мая 2017 г. № 49-11-31/4355 сообщает следующее. В связи с истечением 1 марта 2018 г. срока действия сертификатов соответствия на средство криптографической защиты информации (далее – СКЗИ) «КриптоПро CSP» версии 3.6.1 (исполнение 1 и 2), необходимо, в обязательном порядке, до указанной даты перейти на СКЗИ «КриптоПро CSP» версии 4.0. Использование несертифицированных СКЗИ является нарушением законодательства Российской Федерации. Управление, являясь лицензиатом, оставляет за собой право блокирования доступа в ППО СУФД, отказа в создании и выдаче сертификатов ключей проверки электронных подписей организациям–участникам СЭДФК, использующих несертифицированные СКЗИ. Порядок получения СКЗИ «КриптоПро CSP» версии 4.0 и лицензий к нему описан в подразделе «Вопросы и ответы» (вопрос № 23) сайта murmansk.roskazna.ru в разделе ГИС/Удостоверяющий центр. В случае самостоятельного приобретения СКЗИ «КриптоПро CSP» версии 4.0 необходимо направить в Управление письмо с указанием наименования и версии закупленного продукта с приложением Акта об уничтожении СКЗИ полученного ранее в Управлении, образец Акта размещён на сайте murmansk.roskazna.ru в разделе ГИС/Удостоверяющий центр/Документация (образы документов)".

В соответствии с п. 6 раздела II приказа ФАПСИ от 13.06.2001 № 152: " Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты <*>, о чем письменно уведомляет ФАПСИ".
<*> Органом криптографической защиты может быть организация, структурное подразделение организации - лицензиата ФАПСИ, обладателя конфиденциальной информации. Функции органа криптографической защиты могут быть возложены на физическое лицо.
Наше учреждение, скорее всего является обладателем конфиденциальной информации, а наши сотрудники - пользователями. Да, есть человек, программист, который является ответственным за работоспособность АРМ и ЭЦП, но он называется - администратором автоматизированного рабочего места системы электронного документооборота по организации и обеспечению надежной и бесперебойной эксплуатации программно-технических средств, а также по организации, обеспечению и контролю мероприятий по защите информации в соответствии с требованиями, указанными в Правилах электронного документооборота. Эти правила закреплены в трехстороннем договоре об обмене электронными документами между УФК, нами и централизованной бухгалтерией. И в соответствии с этим договором администратор лишь ведет учет СКЗИ, полученных от УФК, управляет ключевой информацией.
Никто нас не наделял полномочиями ОКЗИ. Мы и не можем им быть, т.к. ОКЗИ кроме прочих обязанностей ведет учет обслуживаемых обладателей конфиденциальной информации и это речь не о физ. лицах, т.к. они являются пользователями в понятии приказа ФАПСИ.
А то, что УФК является таким органом так это они и не отрицают в своем письме, только указывают, что для собственных нужд им являются.
Ранее выдавали заключения нам и проблем не было.
Борода
Сообщения:10173
Зарегистрирован:27 дек 2011, 10:45
Контактная информация:

Re: Об отказе в выдачи УФК заключения о возможности эксплуатации СКЗИ

Сообщение Борода » 27 сен 2019, 18:52

Пообщался сегодня со знакомыми в серьёзной организации (они работают с персональными данными, а не просто балуются в закупках).
На пальцах всё выглядит следующим образом: в организации создаётся то самый орган криптографической защиты. Затем нанимается (это ключевое слово) контора, имеющая лицензию ФАПСИ (и ФСБ за одним), которая оборудует рабочие места всякой защитой и сертифицированным ПО, обслуживает его и помогает (контролирует - тут я не въехал в детали взаимоотношений) с тем органом криптографической защиты. Кто там кого обучает, народ уже не помнит - давно начинали.
Но суть в том, что не каждый лицензиат обязан заниматься Вашей защитой. И УФК, как раз, тот самый не каждый. Наймите кого надо и будет Вам счастье.
Ответить

Вернуться в «Вопросы и ответы по Законам №№ 44-ФЗ (94-ФЗ) и 223-ФЗ (архив)»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 12 гостей