Контакты
Подписка
МЕНЮ
Контакты
Подписка

Ответственный пользователь криптосредств - Форум по вопросам информационной безопасности

Ответственный пользователь криптосредств - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Serg | 105686 01.02.2019 11:03
Организация (ЦОД) - оператор информационной системы (ИС) установила у других юридических лиц - участников ИС свое оборудование - шлюзы ViPNet 100C. Администрирование сети ViPNet осуществляет ЦОД, где находится центральный узел и центр администрирования.
Нужно ли в каждой организации-участнике назначать ответственного пользователя криптосредств или достаточно одного в ЦОД?

Автор: Практик | 105689 01.02.2019 16:24
Ответственного пользователя обычно нужно, если кто-то получит пароли и права доступа в VPN . Если это не транзитное оборудование для третьей организации.
Плюс порядок ответственности за сохранность и доступ (это орг.вопрос - можно хоть на начальника охраны возложить ответственное хранение под роспись).

Автор: oko | 105694 02.02.2019 15:14
to Практик
+1

to Serg
Читайте. Инструкцию-152. ФАПСИ...
Или к грамотным лицензиатам обратитесь - пояснят, какие меры и зоны ответственности в вашей ситуации должны быть реализованы...
Потому как там еще и вопрос легальности "инсталляции СКЗИ одним юр.лицом на площадке другого юр.лица" куда более интересен. Обычно решается другим путем: владелец ИС прописывает тех.условия подключения к ней для других юр.лиц. Например, закупку и установку АПШ СКЗИ самостоятельно (ключи и проч. выдает уже ОКЗ владельца ИС). В таком ракурсе Ответственные должны быть и в конторе-владельце и в конторе-абоненте. ОКЗ, пожалуй, только 1. И, как правило, это вообще третье юр.лицо - лицензиат ФСБ - которое осуществляет интеграцию СКЗИ на всех закрепленных объектах + выполняет поддержку...
Рискну утверждать, что иные варианты (владелец сам установил требования, но и сам же проводит установку/настройку/поддержку СКЗИ на чужих площадках ради защищенности своей ИС) уже требуют лицензирования владельца ИС (или формального нарушения законодательства, ага)...

Автор: Практик | 105699 03.02.2019 22:51
2 oko

Это типовая задача для ГИС (да и МИС, и прочих ведомственных сетевых задач - медики, полиция ... ). И решается всегда в той или иной степени анально: ИС и ЦОД (чаще вместе с лицензией на сеть ВИПнет) у одной организации - лицензиата. а "сотки" с рабочими местами, ЭП и прочее - в куче организаций,которые не хотят ни за что отвечать. И специалистов у них нет.
Третье юрлицо-установщик тоже может быть, при достаточном объёме и географической распределённости). То есть, по уму, заказчик этой ИС должен сразу разработать несколько типовых положений и инструкций для клиентов, и административно заставить их ввести приказами местных начальников.

Автор: oko | 105700 04.02.2019 00:13
to Практик
Сколько ни работал с ГИС/МИС, всегда к тому и сводил:
- СКЗИ (читай, ключевку, изменения и проч.) пусть обслуживает лицензиат ФСБ;
- первичный монтаж пусть производит он же или другой лицензиат;
- ответственность за эксплуатацию оконечника лежит на оконечнике;
- ответственность за безопасность ГИС/МИС в целом лежит на владельце + операторе + тех, кто осуществляет защиту (либо тот же лицензиат на договорной основе, либо подразделение владельца);
- правила и особенности подключения / эксплуатации / реагирования / etc явно прописываются для каждого оконечника (порой, в договоре, если не гос.лицо).
Просто из сообщения тов. Serg не ясно, кто этот Оператор ИС? Владелец ИС с лицензией? Сторонняя контора-лицезиат? Какая-то контора-разработчик-техподдержка функциональной части ИС, которую владелец уполномочил?
И с участниками тоже нюанс: если юр.лицо, но подразделение (филиал, подвед) - один вариант; если стороннее юр.лицо - другой вариант...
Потому и возникает ряд вопросов: кто назначен ОКЗ в такой ситуации? И кто вообще отвечает за защиту ИС на бумаге, а кто по факту?
Что подводит к главному: нужно разбираться детальнее - форум в таком вопросе вряд ли поможет (скорее запутает)...

Автор: Serg | 105703 04.02.2019 09:00
to oko

Организация - оператор (ЦОД) лицензии не имеет. Поставку, монтаж и настройку выполняла организация-лицензиат.
Администрирование и сопровождение защищенной сети ViPNet будет выполнять также сторонняя организация-лицензиат (сейчас вопрос в стадии торгов).
Участники ИС это сторонние самостоятельные юридические лица различных ведомственных принадлежностей (от местных до федеральных) и не имеющие какого-либо подчинения ЦОД, участвующие в ИС на основе соглашений и регламента работы.
Весь вопрос встал в стадии разработки различных положений и инструкций по ИБ. Кто, где и за что отвечает.

Автор: oko | 105706 04.02.2019 15:32
to Serg
В таком ракурсе проблемы обязуйте оконечников по-максимуму. И Ответственные пользователи СКЗИ, и непосредственный администратор безопасности информации, и проч...
А лучше пусть владелец ИС надавит на лицензиата-администратора ViPNet, чтобы последний все оные инструкции (хотя бы в части СКЗИ) подготовил под текущую ситуацию...
И в соглашении (договоре) с оконечником предусмотрите, что подключаться к ИС он способен только при выполнении всех предъявленных требований безопасности, включая их последующие изменения владельцем (оператором) ИС в одностороннем порядке...

Автор: Практик | 105716 05.02.2019 13:46
2 Serg

"в сторону": посмотрите, как организована (бумажно) система банк-клиент (казначейство-клиент) в бухгалтерии, полный аналог вашей задачи.
Но они отвечают деньгами, поэтому "деревянных заглушек" меньше

Просмотров темы: 246

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код: