Ответственный пользователь криптосредств - Форум по вопросам информационной безопасности
Ответственный пользователь криптосредств - Форум по вопросам информационной безопасности
| Автор: Serg | 105686 | 01.02.2019 11:03 |
|
Организация (ЦОД) - оператор информационной системы (ИС) установила у других юридических лиц - участников ИС свое оборудование - шлюзы ViPNet 100C. Администрирование сети ViPNet осуществляет ЦОД, где находится центральный узел и центр администрирования.
Нужно ли в каждой организации-участнике назначать ответственного пользователя криптосредств или достаточно одного в ЦОД? |
|
| Автор: Практик | 105689 | 01.02.2019 16:24 |
|
Ответственного пользователя обычно нужно, если кто-то получит пароли и права доступа в VPN . Если это не транзитное оборудование для третьей организации.
Плюс порядок ответственности за сохранность и доступ (это орг.вопрос - можно хоть на начальника охраны возложить ответственное хранение под роспись). |
|
| Автор: oko | 105694 | 02.02.2019 15:14 |
|
to Практик
+1 to Serg Читайте. Инструкцию-152. ФАПСИ... Или к грамотным лицензиатам обратитесь - пояснят, какие меры и зоны ответственности в вашей ситуации должны быть реализованы... Потому как там еще и вопрос легальности "инсталляции СКЗИ одним юр.лицом на площадке другого юр.лица" куда более интересен. Обычно решается другим путем: владелец ИС прописывает тех.условия подключения к ней для других юр.лиц. Например, закупку и установку АПШ СКЗИ самостоятельно (ключи и проч. выдает уже ОКЗ владельца ИС). В таком ракурсе Ответственные должны быть и в конторе-владельце и в конторе-абоненте. ОКЗ, пожалуй, только 1. И, как правило, это вообще третье юр.лицо - лицензиат ФСБ - которое осуществляет интеграцию СКЗИ на всех закрепленных объектах + выполняет поддержку... Рискну утверждать, что иные варианты (владелец сам установил требования, но и сам же проводит установку/настройку/поддержку СКЗИ на чужих площадках ради защищенности своей ИС) уже требуют лицензирования владельца ИС (или формального нарушения законодательства, ага)... |
|
| Автор: Практик | 105699 | 03.02.2019 22:51 |
|
2 oko
Это типовая задача для ГИС (да и МИС, и прочих ведомственных сетевых задач - медики, полиция ... ). И решается всегда в той или иной степени анально: ИС и ЦОД (чаще вместе с лицензией на сеть ВИПнет) у одной организации - лицензиата. а "сотки" с рабочими местами, ЭП и прочее - в куче организаций,которые не хотят ни за что отвечать. И специалистов у них нет. Третье юрлицо-установщик тоже может быть, при достаточном объёме и географической распределённости). То есть, по уму, заказчик этой ИС должен сразу разработать несколько типовых положений и инструкций для клиентов, и административно заставить их ввести приказами местных начальников. |
|
| Автор: oko | 105700 | 04.02.2019 00:13 |
|
to Практик
Сколько ни работал с ГИС/МИС, всегда к тому и сводил: - СКЗИ (читай, ключевку, изменения и проч.) пусть обслуживает лицензиат ФСБ; - первичный монтаж пусть производит он же или другой лицензиат; - ответственность за эксплуатацию оконечника лежит на оконечнике; - ответственность за безопасность ГИС/МИС в целом лежит на владельце + операторе + тех, кто осуществляет защиту (либо тот же лицензиат на договорной основе, либо подразделение владельца); - правила и особенности подключения / эксплуатации / реагирования / etc явно прописываются для каждого оконечника (порой, в договоре, если не гос.лицо). Просто из сообщения тов. Serg не ясно, кто этот Оператор ИС? Владелец ИС с лицензией? Сторонняя контора-лицезиат? Какая-то контора-разработчик-техподдержка функциональной части ИС, которую владелец уполномочил? И с участниками тоже нюанс: если юр.лицо, но подразделение (филиал, подвед) - один вариант; если стороннее юр.лицо - другой вариант... Потому и возникает ряд вопросов: кто назначен ОКЗ в такой ситуации? И кто вообще отвечает за защиту ИС на бумаге, а кто по факту? Что подводит к главному: нужно разбираться детальнее - форум в таком вопросе вряд ли поможет (скорее запутает)... |
|
| Автор: Serg | 105703 | 04.02.2019 09:00 |
|
to oko
Организация - оператор (ЦОД) лицензии не имеет. Поставку, монтаж и настройку выполняла организация-лицензиат. Администрирование и сопровождение защищенной сети ViPNet будет выполнять также сторонняя организация-лицензиат (сейчас вопрос в стадии торгов). Участники ИС это сторонние самостоятельные юридические лица различных ведомственных принадлежностей (от местных до федеральных) и не имеющие какого-либо подчинения ЦОД, участвующие в ИС на основе соглашений и регламента работы. Весь вопрос встал в стадии разработки различных положений и инструкций по ИБ. Кто, где и за что отвечает. |
|
| Автор: oko | 105706 | 04.02.2019 15:32 |
|
to Serg
В таком ракурсе проблемы обязуйте оконечников по-максимуму. И Ответственные пользователи СКЗИ, и непосредственный администратор безопасности информации, и проч... А лучше пусть владелец ИС надавит на лицензиата-администратора ViPNet, чтобы последний все оные инструкции (хотя бы в части СКЗИ) подготовил под текущую ситуацию... И в соглашении (договоре) с оконечником предусмотрите, что подключаться к ИС он способен только при выполнении всех предъявленных требований безопасности, включая их последующие изменения владельцем (оператором) ИС в одностороннем порядке... |
|
| Автор: Практик | 105716 | 05.02.2019 13:46 |
|
2 Serg
"в сторону": посмотрите, как организована (бумажно) система банк-клиент (казначейство-клиент) в бухгалтерии, полный аналог вашей задачи. Но они отвечают деньгами, поэтому "деревянных заглушек" меньше |
|
Просмотров темы: 1538
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"