Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Руслан  
#1 Оставлено : 25 ноября 2008 г. 15:50:53(UTC)
Руслан

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2008(UTC)
Сообщений: 43
Мужчина
Откуда: Казань

Добрый день.
Возник вопрос об аудите деятельности Удостоверяющего центра. Вопросы следующие:
1. кто имеет право на ведение такой деятельности?
2. существуют ли подобные организации на рынке России?

p.s: Удостоверяющий центр является корпоративным (услуг не предоставляет) и используется только для организации документооборота внутри организации.
Offline Юрий Маслов  
#2 Оставлено : 25 ноября 2008 г. 16:05:39(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Здравствуйте!

Аудит бывает внешний и внутренний.
Внтренний аудит проводится как в случае, если удостоверяющий центр предоставляет услуги сторонним лицам, так и в случае если пользователями удостоверяющего центра являются сотрудники организации, являющейся удостоверяющим центром (корпоративный УЦ).
Внутренний аудит проводится сотрудниками удостоверяющего центра, имеющими права на это и обладающие необходимымии знаниями, навыками и умениями. Периодичность внутреннего аудита, правила оформления и публикации результатов внутреннего аудита определяются самой организацией.

Внешний аудит проводится в случае если удоствоеряющий центр предоставляет услуги сторонним лицам.
При внешнем аудити проводится проверка на предмет соответствия деятельности удостоверяющего центра требованиям Регламента (договора) оказания услуг и внутренних документов, определяющих обеспечение информационной безопасности ресурсов удоствоеряющего центра.
Обязательность, периодичность и правила оформления и публикации результатов внутреннего аудита НОРМАТИНО (законодательно) не определены. Есть только рекомендации, изложенные в утвержденной ФСБ документации на ПАК "КриптоПро УЦ". Они описаны в п.4.1.1 документа "ЖТЯИ.00035-01 90 16. КриптоПро УЦ. Регламент."

Теперь на Ваши вопросы:
1. Всё лица, имеющие необходимые средства, навыки и умения, могут осуществлять деятельность по аудиту удостоверяющего центра. Специальных разрешений от органов власти не требуется.
2. Да, есть организации которые имеют практику такой деятельности. Например, ЭЛВИС-ПЛЮС.
С уважением,
КРИПТО-ПРО
Offline Руслан  
#3 Оставлено : 25 ноября 2008 г. 16:20:01(UTC)
Руслан

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2008(UTC)
Сообщений: 43
Мужчина
Откуда: Казань

Спасибо за ответ.

Дело в том, что когда писались ОРД корпоративного УЦ в числе обслуживающего его персонала был и аудитор УЦ.
При этом закладывалось так, что "Аудитор - внешняя специализированная организация". Получается нам лучше переделать ОРД (написать "аудитор УЦ - собственный сотрудник") и проводить аудит своими силами? Или же все равно будет правильнее пригласить внешнюю организацию?

p.s:Цель аудита: произвести проверку деятельности УЦ (это делается для нас, а не для кого то другого лица), и в конце повысить эффективность работы УЦ
Offline Юрий Маслов  
#4 Оставлено : 25 ноября 2008 г. 16:39:59(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Лучше перепишите ОРД под собственного сотрудника. Так цели Вы добьётесь более эффективно :-)
С уважением,
КРИПТО-ПРО
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.