Автор: lex | 72527 | 07.06.2017 15:09 |
to Евгений,
В 152 Приказе кроме журнал поэкземплярного учета средств криптографической защиты информации, акта уничтожения прямо ничего вести не требуется. Если высасывать из пальца то добавляется: заключений о возможности эксплуатации СКЗИ,учет обслуживаемых обладателей конфиденциальной информации,заключение, составленное комиссией по допуску пользователей к работе. УЦ ничего не требует кроме журнала поэкземплярного учета, актов установки и удаления.Также читал эксплуатационную документацию на КриптоПро ничего нового не нашел. В теме поднятой ранее на этом форуме Не хочется вести лишние документы и усложнять себе и пользователям жизнь |
Автор: Евгений | 72528 | 07.06.2017 16:47 |
Почему это высосано из пальца? Эти требования придуманы не просто так.
Можно разобрать пример: Допустим у Вас происходит компрометация закрытого ключа ЭП. При помощи этого ключа подписывают документ, по которому Ваша организация обязуется, допустим выплатить некому контрагенту n-ую сумму денег. Вы это обнаруживаете, немедленно обращаетесь в УЦ и сообщаете о компрометации, Вам аннулируют сертификат, но документ то уже подписан. Начинаются разбирательства, смотрят а правильно ли Вы настроили СКЗИ, ПЭВМ и т.п.? Вы говорите да, а чем докажете что что все правильно было сделано, документального подтверждения нет. Хорошо идем дальше, а кто Вообще допущен до ЭП? Петя, Вася ..., чем докажете? Нету списка пользователей и соответствующих документов о закреплении ЭП. А умеет ли Вася правильно и безопасно пользоваться СКЗИ? и так далее. В итоге Ваша организация вынуждена будет выполнить требования выплаты n-ой суммы денег, так как Вы не обеспечили достаточный уровень безопасности и даже некого будет привлечь к ответственности и вернуть эти деньги. Конечно это очень грубый пример, но все таки то, что Вы не выполняете данные рекомендации, это трактуется не в Вашу пользу. Да и Вы сами не разберетесь кто же на самом деле подписал этот документ, может вирус какой нибудь, может побезалаберности какой сотрудник скомпроментировал ключ, а может и даже специально и Вы его не привлечете к ответственности, могут привлечь Вас за не обеспечение безопаности, раз Вы за это отвечаете. По поводу ОКЗ, функции ОКЗ практически не чем не отличаются от функций ответственного за СКЗИ. |
Автор: lex | 72532 | 07.06.2017 18:32 |
Спасибо,Евгений!Надо значит,надо........получается ведение всех журналов перечисленных в посте
|
Автор: Автор поста | 72537 | 08.06.2017 09:21 |
ФСБ, во исполнение «Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Требования), утвержденных руководством 8 Центра ФСБ России 21 февраля 2008 года №149/6/6-622, информирует о необходимости: 1. Обеспечить наличие в Организации следующих документов: 1.1. документы по поставке средств криптографической защиты информации (далее – СКЗИ) – КриптоПро, VipNet и пр.; 1.2. копии лицензий и сертификатов на используемые СКЗИ; 1.3. эксплуатационная и техническая документация на используемые СКЗИ (формуляр, руководства администратора, руководства пользователя и пр.); 1.4. акта ввода в эксплуатацию и заключение о возможности эксплуатации на каждое СКЗИ (п.2.3 Требований); 1.5. программное обеспечение СКЗИ (дистрибутив); 2. Разработать и утвердить следующие организационно-распорядительные документы (в случае их отсутствия): 2.1. модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (п. 2.3 Требований); 2.2. приказ о назначении ответственного пользователя криптосредств (п.2.6 Требований); 2.3. документ, определяющий функциональные обязанности ответственного пользователя криптосредств (п.2.7 Требований); 2.4. приказ о назначении лиц (пользователей криптосредств), допущенных к работе с криптосредствами (п.2.4 Требований); 2.5. документ, определяющий порядок использования и организации работы с криптосредствами (Инструкция); 2.6. журнал учета лиц, допущенных к работе с криптосредствами (п.2.3 Требований); 2.7. журнал поэкземплярного учета используемых криптосредств (п.2.3, 3.4 Требований); 2.8. лицевые счета на пользователей криптосредств (п.3.5 Требований); 2.9. инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ (3.23-3.25 Требований); 2.10. журнал учета и выдачи носителей с ключевой информацией; 2.11. документ, устанавливающий порядок обеспечения безопасности персональных данных при помощи СКЗИ и организации контроля за соблюдением условий использования СКЗИ (например: Инструкция о порядке обращения с СКЗИ); 2.12. документ, определяющий перечень защищаемых помещений, используемых для размещения СКЗИ; 2.13. документ, устанавливающий внутриобъектовый и пропускной режим в контролируемую зону Организации (например: Инструкция о соблюдении внутриобъектового и пропускного режимов). 3. В соответствии с нормативными и распорядительными документами внести в должностные регламенты ответственного пользователя криптосредств и лиц (пользователей криптосредств), допущенных к работе с криптосредствами соответствующие изменения. из руководства 8 Центра ФСБ России 21 февраля 2008 года №149/6/6-622 пришли к выводу, что необходимо: Журнал поэкземплярного учёта СКЗИ; Инструкция по заполнению журнала ( :\ ); Журнал учёта пользователей СКЗИ из пункта 2.3 ТТ ФСБ 149/6/6-622 Технический (аппаратный) журнал из п.3.6 ТТ ФСБ 149/6/6-622 (в случае использования одноразовых ключей или если криптоключи вводят и хранят (на весь срок их действия) непосредственно в криптосредствах) Инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ п.3 ТТ ФСБ 149/6/6-622 "лицевой счет, в котором регистрирует числящиеся за ними криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы" п 3.5 ТТ ФСБ 149/6/6-622 список лиц допущенных к работе с СКЗИ п.2.3 ТТ ФСБ 149/6/6-622 (журнал или приказ) Акт ввода СКЗИ в эксплуатацию п.2.3 ТТ ФСБ 149/6/6-622 и это скорей всего не всё... |
Автор: lex | 72539 | 08.06.2017 09:35 |
to Автор поста.
Спасибо Вам огромное,очень помог Ваш ответ. Не простая тема учет СКЗИ,без совета коллег тяжело разбираться. |
Автор: to Автор поста | 72540 | 08.06.2017 09:55 |
Консультант говорит что документ фактически утратил силу в связи с выходом ПП РФ 01.11.2012 № 1119. Инф сообщение ФСБ от 21.06.2016 или это регуляторов не сильно беспокоит?
|
Автор: Автор поста | 72545 | 08.06.2017 16:15 |
Наше Министерство ссылается именно на этот документ и рекомендует организовывать защиту так. Я такая же жертва, как и Вы. Я могу лишь посоветовать делать все по максимуму, чтобы у ФСБ были довольны.
|
Автор: lex | 72546 | 08.06.2017 16:23 |
Да реальность наверное такова,нашел предписание регулятора устранить замечания по ТТ ФСБ 149/6/6-622, уже после выхода информационного сообщения ФСБ от 21.06.2016.
|
Автор: Евгений | 72548 | 08.06.2017 18:28 |
to Автор поста | 72540
«Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» Да этот документ утратил силу, в замен вышел приказ ФСБ № 378, но список документов остался тот же. |
Автор: lex | 72921 | 19.06.2017 15:25 |
Вопрос по документу, определяющему перечень защищаемых помещений, используемых для размещения СКЗИ.
Если все сотрудники на своих рабочих местах используют ЭП, все помещения считать защищаемыми?требуется ли разбиение: какой сотрудник имеет доступ в какой кабинет или написать все помещения являются защищаемыми,только сотрудники организации имеют право посещать данные помещения?Ну и двери кабинетов в рабочее время держать закрытыми это не перебор? |
Просмотров темы: 16172