Приказ ФСБ №378 Пункт 7 подпункт А - Форум по вопросам информационной безопасности
Приказ ФСБ №378 Пункт 7 подпункт А - Форум по вопросам информационной безопасности
| Автор: Avstry, *** | 107748 | 16.01.2020 14:56 |
|
Добрый день, подскажите пожалуйста. Возникла необходимость завести на сотрудников квалифицированные ЭП с использованием токена (скзи), ЭП используется только для подписания документов, идентификации создающего документ (документы в будущем могут направляться в другие организации, как замена бумаги), сертификаты только с личными данными сотрудника, без данных организации. В соответствии с Приказ ФСБ №378 Пункт 7 подпункт А(В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов), можно ли ограничится журналом выдачи скзи, приказом, регламентом и ознакомлением с подписью каждого сотрудника? т.к. у сотрудников нет фиксированного рабочего места с личным ящиком, сегодня в одном кабинете, завтра в другом и т.д. Рабочие места в испдн организованы как положено, приказы доступов и т.д. средства защиты.
|
|
| Автор: Avstry, *** | 107749 | 16.01.2020 15:01 |
|
Коротко, выдать ключи, зафиксировать, дать инструкцию, личный PIN, хранение личная проблема, т.к. организовать личные ящики под ключ, кроме как в раздевалке сложно
|
|
| Автор: Практик | 107754 | 17.01.2020 15:41 |
|
2 Avstry, ***
Если реально в ЭП нет поля организации, то эта ЭП принадлежит физ.лицу, и оно несёт за него ответственность. Даже изъять формально нельзя (если только по финансовым нормативам). То есть у вас должен быть приказ, разрешающий физлицу использовать ЕГО токен при подписании служебных документов, и этим же приказом закрепить за ним обязанность обеспечивать хранение и безопасность обращения в соответствии с подписанной пользователем регламентом и/или инструкцией УЦ (можно приложить копию этих документов к приказу, чтобы потом не искать при ЧП). Организационные и технические меры реального хранения решите по месту в соответствии с НМД. Фактически это аналог печати с точки зрения организации хранения. |
|
| Автор: oko | 107756 | 17.01.2020 19:43 |
|
to Практике
<Фактически это аналог печати с точки зрения организации хранения> Извиняюсь за фразу, но "хрена лысого" :) На форуме уже был прецедент разбора в части ЭП = ПДн. И якобы по запросу в Минкомсвязи подтверждается указанное... to Avstry imho, остаюсь при мнении, что юр.значимая ЭП любого типа (хоть юр., хоть физ.) != ПДн. Следовательно, приведенные правила из 378 Приказа к ней не применяются. А дальше... пишите письма и поступайте соответствующе, и только тогда будете правы, ага... *в сторону* Взяли моду, понимаешь, чтобы защитить ИОД применяем СКЗИ, которое надо защитить применением СКЗИ, которое надо защитить и т.д., и т.п. |
|
| Автор: Avstry, *** | 107757 | 19.01.2020 18:07 |
|
to oko
"На форуме уже был прецедент разбора в части ЭП = ПДн. И якобы по запросу в Минкомсвязи подтверждается указанное..." т.к. поиск сейчас не работает, пролистал примерно 40 страниц с темами, больше терпения не хватило, были близкие темы, но не то. "imho, остаюсь при мнении, что юр.значимая ЭП любого типа (хоть юр., хоть физ.) != ПДн" по идеи ваши слова повторяют выписку из приказа Пункт 7 подпункт А, на которую и пытаюсь сослаться в дальнейшей работе. Начну работу по упрощенному варианту, т.к. время не терпит, и по вашему совету напишу запрос на разъяснение у местных органов, спасибо. |
|
| Автор: nekto | 107758 | 20.01.2020 11:38 |
|
Добавлю к фразе " ЭП любого типа (хоть юр., хоть физ.) != ПДн"
Токен, хоть и является хранилищем ПДн, но также является хранилищем ключевой информации (и требования по этой части никуда не денутся)... И при сдаче токена на хранение (ключевое слово сдаче) от сейфа избавиться не получится.... у вас должен быть сейф для хранения ключевых носителей... |
|
| Автор: Практик | 107759 | 20.01.2020 14:05 |
|
ПДн там есть, но их владелец - это владелец ЭП, а не организация, он за них и отвечает. Причём в данном случае существеннее защита не от утечки, а от искажения и утраты.
Если Вы в УЦ выпустите свою личную ЭП ситуация будет такой же, за исключением, вероятно, плательщика за выпуск. Соответственно, если ЭП не привязана к организации, то какие основания у него что-то требовать и ограничивать? Оно может разрешить использовать эту ЭП в служебных целях. Остальные ограничения - полномочия УЦ и его регламента и инструкции. (Вотт в них наверняка есть организационные и технические меры). |
|
| Автор: Avstry, *** | 107765 | 22.01.2020 08:51 |
|
to Практик
К тому же сами УЦ в документации к обеспечению безопасности дают общие рекомендации, к подобным ЭП, что цель это исключить доступ к ним посторонних, без подробностей и слов про фиксированные места хранения. Был опыт в работе, с помощью ЭП руководящих лиц от имени организации, производилась защита ПДн, а именно шифрование эл. документов, и передача по каналам связи, там однозначно ,организовывалось хранение в личных сейфах, если сейф общий то туба с опечаткой в сейф и журнал. И помнится проходили проверку фсб (плохо помню, меня не сильно документация касалась, в основном организовывать доступы и администрирование СКЗИ), и ФСБ проверяли все, что касалось ПДн защищаемых скзи, а тот же отдел экономистов которые работали с эп на госуслугах даже в их сторону не посмотрели, быстро зашли поздоровались, пару вопросов и ушли от чего и задался данным вопросом из предидущего опыта. |
|
| Автор: Практик | 107769 | 22.01.2020 12:50 |
|
2 Avstry, ***
ФСБ не проверяет ПДн защищаемых СКЗИ, а только выполнение своих норм защиты СКЗИ! Например, если у вас распечатка сертификата с ПДн, то ограничение к нему доступа - не их вопрос Поэтому и не стали лезть на скользкие темы (проверять, например, кто владелец ЭП). Хотя при желании напакостить могут. Поскольку по рекомендации, написанные по их неграмотности, но не противоречащие закону, "проще дать, чем доказать, что не хочешь" |
|
Просмотров темы: 1626
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"