Учет СКЗИ. Как быть? - Форум по вопросам информационной безопасности
Учет СКЗИ. Как быть? - Форум по вопросам информационной безопасности
| Автор: Планктон, ИнжСпасСтрой (ЗАО ИСС) | 91693 | 23.04.2018 13:56 |
|
Господа, такой вопрос. Я являюсь сотрудником офиса компании, территориально расположенной на Сахалине, по совместительству админ СКЗИ. У нас в офисе стоят СКЗИ, но переданы они нам главным офисом, который находится в Ижевске. Получается что документация лежит у нас, но данное СКЗИ мы не администрируем. По сути мы просто осуществляем их хранение, но не использование.
1. Как поступать в таком случае? 2. Нужно ли мне учитывать эти СКЗИ в журнале поэкземплярного учета? 3. Если на наш физический адрес придет проверка ФСБ, то до кому будет плохо нам или главному офису? Если кто то даст ответ, то пожалуйста подкрепите его регулирующей документацией. |
|
| Автор: Artem, CRB | 91718 | 24.04.2018 08:58 |
|
У нас в организации СКЗИ нет, но когда я был на обучении, лектор чётко сказал что всё что касается криптозащиты это прерогатива ФСБ, так что копать надо в их документах. ФСТЭК в данном случае мне кажется, максимум, что может это проверить, как у вас это оформлено документально.
|
|
| Автор: yason | 91722 | 24.04.2018 09:58 |
|
2 Планктон, если СКЗИ - ПО на Ваших ПК/серверах, то учет нужен с Вашей стороны. Если СКЗИ - аппаратные, то смотрите документы о передачи их Вам (передачи железа, даже если оно не администрируется), если есть - учет полный, если нет, то желательно наличие акта установки "не вашего" СКЗИ в Вашей контролируемой зоне. И желательно иметь схемы, где указывается, какое СКЗИ используется, с отметками зон ответственности.
Если и будет плохо при проверке - то той организации к кому пришла проверка. |
|
| Автор: Планктон | 91728 | 24.04.2018 10:39 |
|
yason, Я так понимаю что формы актов установки "не нашего СКЗИ" не установлены законодательством и пишутся в свободной форме?
|
|
| Автор: Планктон | 91729 | 24.04.2018 10:46 |
|
А если чисто теоретически, что будет если придет проверка ФСБ и допустим в организации найдут СКЗИ, на которых нет документов, но которыми никто и не пользуется?
|
|
| Автор: yason | 91733 | 24.04.2018 11:02 |
|
Форму Акта можно выбрать из "интернета" наиболее подходящую, смотрите чтобы она была удобна и Вам для учета с указанием необходимых и поясняющих данных. Какой минимум данных - лучше уточнять в ФСБ или лицензиатов по СКЗИ.
по теоретической проверке - проверка не будет проверять именно СКЗИ, а обычно идёт проверка обработки КИ (а может и ГТ, не знаю) с необходимым и правильным использованием СКЗИ. Если у Вас "тонны" СКЗИ, и даже влюченные и обрабатывающую данные, но не те которые проверяются, то по ним Вы, по логике вещей, можете и не предоставлять данные. А если они обрабатывают и не КИ или не используются в обработке данных, то и учитывать эти СКЗИ можно как угодно (своим внутренним регламентом или даже никак). Опять же по этим вопросам лучше уточняться у тех, кого уже проверяли по аналогичному направлению. |
|
| Автор: oko | 91921 | 25.04.2018 23:33 |
|
to Планктон
152-Инструкция ФАПСИ (ныне, ФСБ) во многом запутает, но во многом и спасет... Узнайте у головного офиса, что, как и зачем учел их "Орган криптографической защиты" (ОКЗ) и выполняйте. Не берите на себя лишнюю ответственность, но и учет организуйте согласно инструкциям "головы". А, если у "головы" инструкции отсутствуют (что наверняка, ага), учтите СКЗИ, обрабатывающие ИОД (+1 к тов. yason), так, как того требуется 152-Инструкция. Более того, формы можно и упростить (слегка), поскольку вы являетесь эксплуатантом СКЗИ, а не лицензиатом ФСБ или ОКЗ... |
|
| Автор: Мак | 92017 | 26.04.2018 07:42 |
|
Добрый день!
А можно и мне вклиниться в вашу тему с вопросиком. Есть организация - подведомственное учреждение, другое юрлицо. Имеем ли мы - головная организация, право устанавливать им СКЗИ? Т.е. речь в первую очередь идет про оформление документов - акты установки, журналы и т.д. |
|
| Автор: oko | 92023 | 26.04.2018 12:00 |
|
to Мак
Если СКЗИ устанавливается для защиты ИОД (любой), то это уже лицензируемый вид деятельности по линии ФСБ. Имеете лицензию - можете, не имеете - нанимайте лицензиата... Единственное исключение в такой ситуации - повторная установка/настройка или установка/настройка однотипных СКЗИ в рамках одного проекта системы защиты по согласованию с лицензиатом. Например, распределенная система с увеличением числа защищаемых точек. Лицензиат ставит часть СКЗИ на ключевые точки, а на остальные доверяет установку, настройку и оформление специалистам Заказчика (вам) в рамках ЭТОЙ же системы, с ТАКИМИ же СКЗИ. И то, рекомендовал бы вначале этот вопрос согласовать с местным Управлением... |
|
| Автор: Мак | 92025 | 26.04.2018 13:22 |
|
oko
Спасибо. А если устанавливать своими силами для себя, без привлечения лиц, имеющих соответствующее образование? Т.е. пусть устанавливает, скажем, бухгалтер или руководитель. |
|
Страницы: 1 2 >
Просмотров темы: 5382
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"