Защитить информацию и ничего не нарушить: какие вопросы мы задаем при работе с СКЗИ
Согласитесь, в теме криптографической защиты информации больше вопросов, чем ответов. Как учитывать СКЗИ, как их хранить и перевозить? А если защиту надо установить на мобильное приложение, а сколько человек должны подписывать акт, надо ли создавать у себя в компании ОКЗИ, а всегда ли можно это сделать? И главное, все ли множество лицензий вы получили или про что-то забыли.
В этом посте собраны самые больные частые вопросы, которыми задаемся мы в «Ростелеком-Солар» и которые задают наши коллеги по цеху. Мы постарались найти на них ответы. Надеемся, будет интересно и полезно.
Внимание, материал не является истиной в последней инстанции. Ответить точно на конкретный запрос может только регулятор.
Вопросы про лицензирование
Как найти грань между техническим обслуживанием СКЗИ и, например, выработкой ключевой информации?
— Все, что описано в эксплуатационной документации, в том числе и выработка ключевой информации, является техническим обслуживанием.
Можно ли отдать на аутсорсинг работы по обслуживанию СКЗИ в организации?
— Можно. Но у аутсорсинговой компании должны быть соответствующие пункты лицензии на «работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)». Этого требует постановление правительства N 313 от 16.04.2012.
Вопросы про журнал учета
Можно ли вести журнал учета СКЗИ/КД в электронном виде?
— Да. Некоторые организации уже так делают. При этом не стоит забывать про правила электронного документооборота, например, про использование квалифицированной электронной подписи.
Как организовать учет большого количества СКЗИ?
— Основной совет: каждое действие надо сопровождать актом и в журнале указывать его реквизиты. Не надо пытаться обеспечить всех участников доступом к журналу – территориально распределенные компании могут выдохнуть. Много и подробно о ведении учета журнала СКЗИ можете прочитать в этом посте.
Как вести поэкземплярный учет СКЗИ в мобильных и веб-приложениях?
— При скачивании учет СКЗИ обеспечивается тем, кто его распространяет, то есть разработчиком или вендором. Чтобы загрузить CSP, на сайте вендора нужно заполнить форму с ФИО и контактной информацией. Далее вы получаете ссылку на дистрибутив и серийник, а после регистрации – регистрационный номер СКЗИ. Все эти данные фиксируются у вендора, который распространяет СКЗИ, а у пользователя остается формуляр с серийным и регистрационным номерами. Подробнее этот процесс описан тут. Аналогичная схема действует и для корпоративного приложения или портала.
Могут ли всевозможные акты подписываться одним лицом – исполнителем, или обязательно комиссией, утвержденной приказом руководителя?
Если подходить более формально, то в ГОСТ Р 7.0.97-2016 есть пример:
Вопросы про ОКЗИ
Можно ли самостоятельно обучить пользователей СКЗИ и как это оформить?
Есть ли какие-либо требования к сотрудникам, которые входят в ОКЗИ?
— Есть. Они должны пройти внутреннее обучение с тестированием. Сделать это можно в лицензированном учебном центре. Также им нужно ознакомиться с инструкцией пользователя СКЗИ под подпись.
Ответственный за защиту информации и ответственный за СКЗИ – это одно и то же?
Другие вопросы
Если на компьютере установлено СКЗИ, является ли место, где он расположен спецпомещением? Как быть с сотрудниками, работающими удаленно с использованием СКЗИ (VPN)? Как опечатать помещение, где они работают?
— Строго говоря, по инструкции № 152 ФАПСИ, это спецпомещение. А, значит, к нему должны применяться меры, описанные в правилах пользования на конкретное СКЗИ. Причем требования должны выполняться как на территории организации, так и в отношении сотрудников, работающих удаленно.
В какой степени сейчас реализованы в СКЗИ квантовые технологии? Насколько они актуальны?
Может ли Спецсвязь перевозить СКЗИ?
— Приказ ФАПСИ № 152 гласит, что СКЗИ и ключевые документы могут доставляться «фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа сотрудников органа криптографической защиты или пользователей СКЗИ, для которых они предназначены, при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки».
Существует две ключевых организации, осуществляющие доставку СКЗИ:
Государственная фельдъегерская служба (ГФС)
Главный центр специальной связи (ФГУП ГЦСС)
ФГУП ГЦСС (Спецсвязь) – это организация подведомственная Минкомсвязи. Согласно постановлению правительства от 15 декабря 1994 года N 1379-68, ФГУП ГЦСС, в частности, осуществляет прием и доставку корреспонденции и грузов, содержащих сведения и материалы, относящиеся к государственной, служебной и иной охраняемой законом тайне. ФГУП ГЦСС уполномочено осуществлять перевозку СКЗИ, в том числе для юридических лиц. Подробнее о доставке СКЗИ рассуждаем вот здесь.
И напоследок – крик души. Нужен ли единый протокол и алгоритм шифрования?
— Алгоритмы шифрования зафиксированы в государственных стандартах (ГОСТ) и одинаковы у всех производителей (за исключением незначительных деталей).
А вот несовместимость сетевых протоколов различных производителей – это действительно боль. Но определенные шаги в сторону стандартизации уже сделаны. Например:
«С-Терра СиЭсПи», «Крипто Про», «Элвис-Плюс» используются IPsec в соответствии с RFC.
«Код Безопасности» планирует переход с проприетарного алгоритма на IPsec в своих следующих версиях.
«ИнфоТеКС» сделал описание собственного проприетарного протокола публичным в виде рекомендаций по стандартизации.
Для ГОСТ TLS и ЭП совместимость доступна уже сейчас. А работы по совместимости реализации различных производителей сейчас активно ведет технический комитет по стандартизации «Криптографическая защита информации» (ТК 26).
Не установлены поддерживаемые версии СКЗИ и плагина КриптоПро ЭЦП Browser Plugin.
А пока разберем ошибку: Не установлены поддерживаемые версии СКЗИ и плагина КриптоПро ЭЦП Browser Plugin, с которой мы столкнулись на новом сервисе https://arm-fzs.roskazna.gov.ru — который позволяет проверить настройки Вашего компьютера, для работы с сайтом https://fzs.roskazna.ru (обязательным для этих сайтов является использование браузера Internet Explorer версии 9 или выше;)
Нет поддержки российских криптоалгоритмов при использовании TLS
Не установлены поддерживаемые версии СКЗИ
Как видно из скриншота — в нижней части экрана появилось оповещение! Нам обязательно нужно нажать «Разрешить». Это оповещение как раз касается плагина от Crypto-Pro. После нажатия всплывет еще одно окошка.
Если он у вас не установлен. То в ошибке есть ссылка «скачать». Скачивайте. Устанавливайте. Перезапускайте браузер и пробуйте еще раз
После того как нажали «Да» браузер (у меня автоматически обновил вкладку) и я увидел заветную картинку.
Проверено на 2 компьютерах с аналогичной ошибкой. Если у Вас была «загвоздка» с этой ошибкой в чем то другом, обязательно пишите в комментариях
Не установлены поддерживаемые версии СКЗИ и плагина КриптоПро ЭЦП Browser Plugin.: 3 комментария
Существует другой вариант решения этой проблемы.Более надежный.Установить клиента Континент АП.
установлены криптопро csp 4.0.9944 и свежий плагин, однако все равно наблюдаем такую ошибку.
Как ее устранить?
Как устранить ошибку инициализации СКЗИ в ВТБ?
Работа в личном кабинете ВТБ сопряжена с трудностями, о которых учредители банка часто напоминают. Привилегиями ВТБ пользоваться можно, если понимать, как вовремя устранить ту или иную ошибку. А сейчас подробнее о проблемах с ключами.
Инициализация через ключи в ВТБ происходит при их правильной установке. Клиент должен скачать ключи с банковского сайта себе на ПК, затем указать путь к ним в личном кабинете. Каждый раз, когда клиент будет заходить в ЛК, система автоматически будет запрашивать ключи по указанному ранее пути. При совпадении данных пользователю открывается доступ к финансовому состоянию.
Что делать с ошибкой инициализации СКЗИ?
Причина ошибки в неправильном пути сохранения ключей. В алгоритме папки «Каталог ключевого носителя СКЗИ» должен прослеживаться путь к сохраненной ранее папке «keys» и ее файлам request.pem, mk.db3, rand.opq, masks.db3, kek.opq. Если корневого каталога вовсе не существует или он поврежден, возникают ошибки инициализации.
Многие пользователи при желании сохранить идентификаторы от посторонних глаз сохраняют ключи на съемном носителе. Тогда следует указать путь до него и следить, чтобы съемный носитель всегда был в USB-разъеме.
Как быть, если ключи неправильные?
Придется проделать процедуру их сохранения заново. Часто ключи путаются, если на одном ПК работают несколько человек и оба они зарегистрированы на платформе ВТБ. Тут совет один – не путать съемные носители и не пытаться использовать «чужие ключи».
Причина сбоя может быть не в банковской системе и не в ключах. Если клиент испробовал все средства, но ошибка не исчезла, пора очистить ПК от лишнего «мусора». Под нелицеприятный термин попадают куки-файлы, лишние данные из кэша, вредоносные программы. Вместе с удалением куки и очисткой кэша лучше обновить браузер. При выявлении вируса придется отказаться от некоторых файлов, так как «вылечить» их вряд ли получится.
Появилось окно «Отсутствует СКЗИ»
При переходе в раздел «Отчетность», «Документы», попытке авторизоваться по сертификату, подписать документы и прочих криптографических операциях появляется сообщение «Отсутствует СКЗИ».
Причина
На вашем компьютере не установлено СКЗИ.
Решение
Порядок действий зависит от того, какое сообщение появилось.
В вашем аккаунте есть действующая лицензия на СКЗИ. Она входит в стоимость некоторых тарифов. Чтобы работать с ЭП нужно только установить СКЗИ КриптоПро CSP: в окне ошибки нажмите «Установить» и дождитесь завершения работы мастера.
Серийный номер, который использовался при установке СКЗИ, отобразится после завершения работы мастера. Сохраните его, он может еще потребоваться.
Если ЭП хранится на Рутокен ЭЦП 2.0 или JaCarta-2 SE, вставьте носитель в компьютер и повторите действие, которое вызвало ошибку.
При использовании другого носителя или отсутствии ЭП, скачайте и установите одну из предложенных СКЗИ. Не все СКЗИ распространяются бесплатно, поэтому рекомендуем обратиться к менеджеру, чтобы приобрести лицензию.
Что можно приготовить из кальмаров: быстро и вкусно
Шаг 7. Если для работы в сети Интернет использовался прокси-сервер, установите параметры его использования:
Откроется окно «Свойства браузера» (Internet Options).
Если проверка настроек рабочего места показала, что все параметры настроены корректно, но ошибка снова повторяется, обратитесь в службу технической поддержки АО «Комита» по телефону «горячей» линии (см. в разделе на главной странице сайта ЭТЗП).
Местная налоговая в городе тоже была бесполезной, документы брать отказались, потому что не могут их проверить, не имеют таких полномочий. А областная налоговая была далеко. Так что я решил отправлять заявку через Интернет. Здесь тоже свои подводные камни.
Ключевые особенности отправки через интернет
Скачиваем нужные программы
Заходим в личный кабинет Индивидуального предпринимателя:
lkip.nalog.ru
Ищем на странице ссылку «Внести изменения в сведения об ИП» 
Внести изменения в сведения об ИП
Попадаем на страницу — ВНЕСЕНИЕ ИЗМЕНЕНИЙ В СВЕДЕНИЯ ОБ ИП/ПРЕКРАЩЕНИЕ ДЕЯТЕЛЬНОСТИ В КАЧЕСТВЕ ИП (мы к ней еще вернемся позже)…
… потому что перед этой страницей возникает уведомление, о необходимости проверить возможность подписания документа. 
На данной странице вы можете подписать документ, однако предварительно, перед заполнением формы, необходимо настроить программы и протестировать возможность подписания документов на странице проверок.
Программа для подготовки пакета электронных документов
Для справки (она к делу никак не относится): ППЭДГР сохраняет рабочий файл в расширении dgr (для дальнейшей работы с ним). Такое расширение было сделано специально, чтобы не вносить путаницу с другими файлами. А так, dgr — это тот же xml файл.
Формат сканирования изображений для налоговой при отправке через интернет
Изображение должно быть черно-белым, разрешение 300*300 DPI, глубина цвета 1 бит. Сохранять изображения нужно в один файл формата.tif (.tiff).
Сканирование документов
Обязательная установка программы Крипто Про
Официальный сайт КриптоПРО:
cryptopro.ru
Получить установочный файл программы КриптоПРО CSP можно только после регистрации на сайте. Однако у меня получилось скачать её из других открытых источников, без всяких сложностей. Там везде указано, что она для ознакомления. А для штатных ситуаций (т.е. предусмотренных инструкцией) надо скачивать с официального сайта.
Формирование документов на отправку через сайт налоговой
Нажимаем «Сформировать» и указываем папку для сохранения документа.
При формировании документов может возникнуть ошибка:
Ошибка инициализации криптографии: Не установлен СКЗИ, который требуется для операции: инициализация
Это значит, что на компьютере не установлена программа СКЗИ (Крипто Про) (смотри выше).
Загружаем документы на сайте налоговой
Успешная отправка документов, когда файл архива zip создан правильным образом:
Когда документы созданы неправильно, будет появляться следующее предупреждение:
ЭЛЕКТРОННАЯ ОТЧЕТНОСТЬ В ВЕДОМСТВА:
Отправка отчетности в электронном виде
Программа для сдачи электронной отчетности
Отправить электронную отчетность через программу «Почтовый агент» в любое из ведомств можно в один клик.
Наш сервис электронной отчетности предлагает неограниченное число запросов в ИФНС без каких-либо доплат. Приобретая нашу программу, вы сможете отправлять бухгалтерскую отчетность онлайн с неограниченным количеством организаций. Это выгодно.
Электронная подпись (ЭЦП для отчетности) уже включена в программное обеспечение. Доплачивать ничего не нужно.
СМС информирование о статусе электронной отчетности бесплатно.
Наличие встроенных шаблонов бухгалтерской отчетности уже в программном обеспечении с сервисом «Докмастер»
Наш софт полностью удовлетворяет потребности малого бизнеса и не требует больших затрат на приобретение. Пользоваться почтой в Почтовом агенте можно совершенно бесплатно.
Электронная сдача отчетности цены:
Возможности Почтового агента
Этот софт служит идеальным решением для индивидуальных предпринимателей, директоров ООО, бухгалтеров небольших организаций. Программа для сдачи отчетности позволяет не только вести деловую переписку, но и обеспечивает конфиденциальность данных, позволяет удобно организовать документацию. Основные возможности программы:
Все это объединено в простом, интуитивно понятном интерфейсе.
Программа для сдачи электронной отчетности ориентирована на широкий круг пользователей. Она проста и интуитивно понятна, поэтому у руководителя нет необходимости тратить дополнительные средства на обучение сотрудников и привлечение программистов. Любой предприниматель или бухгалтер без труда разберется самостоятельно со всеми возможностями софта.
Программное обеспечение «Почтовый агент» создано в РФ, ежегодно проходит сертификацию и рекомендуется к использованию в государственных учреждениях, как альтернатива западному софту. В тенденциях перехода на Российский софт «Почтовый агент» идеально подходит как бухгалтерская программа для бюджетных организаций.
Полный набор инструментов для электронной отчетности
Программа для сдачи отчетности позволяет сдавать электронную отчетность в ПФР, Росстат, ФНС и ФСС. В наборе есть все необходимые инструменты, позволяющие экономить рабочее время. Теперь нет необходимости готовить бумажные документы, ехать в соответствующую инстанцию и стоять в очереди, все отчеты можно сдать через интернет. Система отправки работает круглосуточно, поэтому вы можете воспользоваться системой в любое удобное время.
Благодаря использованию электронной подписи для сдачи отчетности документы имеют юридическую силу и официально принимаются госорганами. Электронная подпись уже есть в каждом тарифе, приобретать ее дополнительно не нужно.
Электронная отчетность
Сервисов отправки отчетности много, но мы не навязываем дополнительных услуг и предельно честны с нашими пользователями. Вам не придется доплачивать за дополнительные сервисы, «случайные подключения», ненужные услуги.
Наш сервис работает на всей территории РФ с любым отделением Федеральной налоговой службы или Пенсионного фонда. Подключиться к сервису можно, просто оставив заявку в форме заказа. Менеджер самостоятельно перезвонит Вам в рабочее время Вашего города и проконсультирует по всем вопросам.
