Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

11 Страницы«<34567>»
Опции
К последнему сообщению К первому непрочитанному
Offline Юрий Маслов  
#41 Оставлено : 14 мая 2012 г. 15:45:50(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
ridick7770 написал:
Добрый день. Поясните, пожалуйста, момент: то, что входит в функции Органа криптозащиты относится только к внутреннему распорядку УЦ? Мне кажется, что сотрудник Органа криптографической защиты УЦ не может контролировать правильное обращение с СКЗИ пользователями клиентов УЦ. Или я что-то упустил?


Здравствуйте!

Да, то, что входит в функции Органа криптозащиты относится только к внутреннему распорядку УЦ. Но есть и некоторые внешнии. А именно, Орган криптозащиты должен предоставить пользователям максимально полную информацию по правильному обращению с СКЗИ.
С уважением,
КРИПТО-ПРО
Offline ridick7770  
#42 Оставлено : 14 мая 2012 г. 19:52:18(UTC)
ridick7770

Статус: Участник

Группы: Участники
Зарегистрирован: 17.03.2012(UTC)
Сообщений: 27
Откуда: Moscow

А инструкция по обращению с СКЗИ пишется универсально для всех? Или следует писать 2 инструкции:
1. для УЦ и согласно его функционированию;
и
2. Для Пользователей клиентов УЦ, в которой содержится информация о структуре, правилах, требованиях согласно 152 приказу (в таком случае им надо назначать ответственное лицо и пользователей соответствующими распоряжениями, а также самостоятельно вести учет)...
Offline Laroux  
#43 Оставлено : 14 мая 2012 г. 20:15:04(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
Юрий Маслов написал:
ridick7770 написал:
Добрый день. Поясните, пожалуйста, момент: то, что входит в функции Органа криптозащиты относится только к внутреннему распорядку УЦ? Мне кажется, что сотрудник Органа криптографической защиты УЦ не может контролировать правильное обращение с СКЗИ пользователями клиентов УЦ. Или я что-то упустил?


Здравствуйте!

Да, то, что входит в функции Органа криптозащиты относится только к внутреннему распорядку УЦ. Но есть и некоторые внешнии. А именно, Орган криптозащиты должен предоставить пользователям максимально полную информацию по правильному обращению с СКЗИ.
Приложение к Приказу Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13 июня 2001 г. №152 раздел 2 п. 7
Цитата:
7. Орган криптографической защиты осуществляет:
проверку готовности обладателей конфиденциальной информации к самостоятельному использованию СКЗИ и составление заключений о возможности эксплуатации СКЗИ (с указанием типа и номеров используемых СКЗИ, номеров аппаратных, программных и аппаратно - программных средств, где установлены или к которым подключены СКЗИ, с указанием также номеров печатей (пломбиров), которыми опечатаны (опломбированы) технические средства, включая СКЗИ, и результатов проверки функционирования СКЗИ);
...
обучение лиц, использующих СКЗИ, правилам работы с ними;
...
учет обслуживаемых обладателей конфиденциальной информации, а также физических лиц, непосредственно допущенных к работе с СКЗИ


Прочесть это, конечно, можно по-разному (например отнести все это к "внутреннему" функционированию организации, а не к клиентам), но на самом деле к клиентам (сторонним организациям) это тоже относится...

Отредактировано пользователем 14 мая 2012 г. 20:17:39(UTC)  | Причина: Не указана

Offline ridick7770  
#44 Оставлено : 14 мая 2012 г. 20:39:54(UTC)
ridick7770

Статус: Участник

Группы: Участники
Зарегистрирован: 17.03.2012(UTC)
Сообщений: 27
Откуда: Moscow

так вот я и хочу понять... например, у в УЦ реализуется своя схема по работе с СКЗИ, организуется ОКЗ, в состав которого включаются соответствующие люди. Учет доступа и системы хранения, соответственно, тоже согласно внутреннему распорядку, ведутся журналы учета дистрибутивов СКЗИ, выдаваемых клиентам, серийных номеров СКЗИ и ключевых документов. Клиентам же вроде бы тоже надо соблюдать меры и правила работы с СКЗИ, согласно 152 приказу, я даю обобщенную "рыбу" (не показывать же мне им внутренние документы), которую они скорее всего и вести не будут и требования, соответственно, тоже не будут выполнять (я работал когда-то в ТехПоддержке и знаю как это выглядит - приносят какое-то ПО и говорят, что надо поставить, чтобы, допустим, работать с этп... какие там журналы, ответственные лица, обучения, приказы и т.д.)
Offline Laroux  
#45 Оставлено : 14 мая 2012 г. 20:52:21(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
Как по мне, то это меньшая их проблем.. меня больше вгоняет в ступор
Цитата:
обучение лиц, использующих СКЗИ, правилам работы с ними;
ибо невыполнимо, т.к. для этого должна быть либо лицензия на такую деятельность (я про обучение), либо заключен договор с организацией, которая для вас бы обучала этих пользователей.
Вроде бы формально нет проблем, но попробуйте продать что-нить с таким отношением...
Offline ridick7770  
#46 Оставлено : 14 мая 2012 г. 20:57:37(UTC)
ridick7770

Статус: Участник

Группы: Участники
Зарегистрирован: 17.03.2012(UTC)
Сообщений: 27
Откуда: Moscow

Laroux написал:
Как по мне, то это меньшая их проблем.. меня больше вгоняет в ступор
Цитата:
обучение лиц, использующих СКЗИ, правилам работы с ними;
ибо невыполнимо, т.к. для этого должна быть либо лицензия на такую деятельность (я про обучение), либо заключен договор с организацией, которая для вас бы обучала этих пользователей.
Вроде бы формально нет проблем, но попробуйте продать что-нить с таким отношением...

можно в инструкции пояснить, что обучение - это ознакомление с инструкцией под роспись. Но опять же - каким образом это делать с клиентами.. И это просто догадки.

Отредактировано пользователем 14 мая 2012 г. 21:03:08(UTC)  | Причина: Не указана

Offline Laroux  
#47 Оставлено : 14 мая 2012 г. 21:10:47(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
ridick7770 написал:
можно в инструкции пояснить, что обучение - это ознакомление с инструкцией под роспись
нельзя. Я не помню основание, но четко было сказано: обучение в организации, имеющей лицензию. Потом зачет и потом только можно допускать к работе с СКЗИ
Offline ridick7770  
#48 Оставлено : 14 мая 2012 г. 22:35:21(UTC)
ridick7770

Статус: Участник

Группы: Участники
Зарегистрирован: 17.03.2012(UTC)
Сообщений: 27
Откуда: Moscow

Laroux написал:
Я не помню основание, но четко было сказано: обучение в организации, имеющей лицензию. Потом зачет и потом только можно допускать к работе с СКЗИ

Интересно, кто из клиентов это соблюдает...
Offline Laroux  
#49 Оставлено : 15 мая 2012 г. 0:17:33(UTC)
Laroux

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.07.2008(UTC)
Сообщений: 1,287
Мужчина
Российская Федерация
Откуда: Краснодар

Сказал «Спасибо»: 81 раз
Поблагодарили: 72 раз в 60 постах
:)
Offline Юрий Маслов  
#50 Оставлено : 15 мая 2012 г. 10:52:29(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Коллеги!

Давайте не будем выдумывать, домысливать, читать побуквенно! Даже проверяющие подходят творчески и смотрят реально. Обучить пользователей СКЗИ на курсах повышения квалификации за счёт организатора информационной системы (лицензиата) - это нереально. Обучить пользователей СКЗИ на курсах повышения квалификации за счёт самого пользователя СКЗИ - это нереально и противоречит законодательству (Вы не можете заставить ничего сделать другое лицо. Вы можете только попросить). А вот провести обучение пользователей СКЗИ путём инструктажа или путём предоставления методических материалов для самооучения - это реально. И именно так и делается!
Организатор информационной системы (лицензиат) НЕ МОЖЕТ принимать зачёт и допускать или недопускать к работе СКЗИ сотрудника другой организации (пользователя СКЗИ)!!! Это чисто внутренние дела юрлиц. И инструкция 152 никак не может изменить ЗАКОНЫ (Гражданский кодекс, КЗоТ и т.д.). Статус не тот.

Призываю ещё раз. Не ищите блох. Вся страна уже 20 лет живёт по этой инструкции.
С уважением,
КРИПТО-ПРО
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
11 Страницы«<34567>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.