среда, 3 августа 2016 г.

Приказ ФАПСИ №152

Пришла идея написать про Приказ ФАПСИ №152, который как раз и определяет оборот СКЗИ в организации. Данный приказ до сих пор действует, что свидетельствует последнее сообщение ФСБ и требования его необходимо соблюдать всем операторам персональных данных (про это ещё писал коллега в своём блоге Криптоскрепы).
И по требованиям необходимо много чего сделать. Так что, если вы приобрели СКЗИ то будьте добры проделать определённую работу у себя в организации. Перенаправляю вас к тому же автору с сообщением Если вы поставили ViPNet...
Я решил немного поплотнее посмотреть этот документ и попытаться разобраться.  


Лицензиаты ФАПСИ - кто это?

Поскольку ФАПСИ не существует, а приемником этой структуры является ФСБ, то предположим, что они (лицензиаты ФАПСИ)- это лицензиаты ФСБ.

Хорошо, идём дальше.....

 6. Для разработки и осуществления мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации лицензиат ФАПСИ создает один или несколько органов криптографической защиты, о чем письменно уведомляет ФАПСИ.

Появляется ещё одна функциональная единица "орган криптографической защиты" , далее смотрим описание

Органом криптографической защиты может быть организация, структурное подразделение организации - лицензиата ФАПСИ, обладателя конфиденциальной информации. Функции органа криптографической защиты могут быть возложены на физическое лицо.

Предположим, что органом криптографической защиты будет являться структурное подразделение организации обладателя конфиденциальной информации. Либо, если организация небольшая, то функции органа криптографической защиты можно возложить на физическое лицо (например, на администратора ИБ). И при этом письменно уведомить ФАПСИ (ФСБ) о создании данного органа. В какой форме уведомлять, не написано.

Далее идут обязанности органа криптографической защиты.....


7. Орган криптографической защиты осуществляет:
  • проверку готовности обладателей конфиденциальной информации к самостоятельному использованию СКЗИ и составление заключений о возможности эксплуатации СКЗИ (с указанием типа и номеров используемых СКЗИ, номеров аппаратных, программных и аппаратно-программных средств, где установлены или к которым подключены СКЗИ, с указанием также номеров печатей (пломбиров), которыми опечатаны (опломбированы) технические средства, включая СКЗИ, и результатов проверки функционирования СКЗИ);
  • разработку мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, а также в соответствии с эксплуатационной и технической документацией к этим средствам;
  • обучение лиц, использующих СКЗИ, правилам работы с ними;
  • поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним;
  • учет обслуживаемых обладателей конфиденциальной информации, а также физических лиц, непосредственно допущенных к работе с СКЗИ;
  • подачу заявок в ФАПСИ или лицензиату, имеющему лицензию ФАПСИ на деятельность по изготовлению ключевых документов для СКЗИ, на изготовление ключевых документов или исходной ключевой информации. Изготовление из исходной ключевой информации ключевых документов, их распределение, рассылку и учет;
  • контроль за соблюдением условий использования СКЗИ, установленных эксплуатационной и технической документацией к СКЗИ, сертификатом ФАПСИ и настоящей Инструкцией;
  • расследование и составление заключений по фактам нарушения условий использования СКЗИ, которые могут привести к снижению уровня защиты конфиденциальной информации; разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
  • разработку схемы организации криптографической защиты конфиденциальной информации (с указанием наименования и размещения нижестоящих органов криптографической защиты, если таковые имеются, обладателей конфиденциальной информации, реквизитов договоров на оказание услуг по криптографической защите конфиденциальной информации, а также с указанием типов применяемых СКЗИ и ключевых документов к ним, видов защищаемой информации, используемых совместно с СКЗИ технических средств связи, прикладного и общесистемного программного обеспечения и средств вычислительной техники). Указанную схему утверждает лицензиат ФАПСИ.
Получается что, если функции органа криптографической защиты возложены на администратора ИБ, то он должен проделать всю работу по составлению заключений о возможности эксплуатации СКЗИ, до расследования и составления заключений по фактам нарушения условий использования СКЗИ.
И как видно лицензиаты ФАПСИ (ФСБ) только координируют действия органов криптографической защиты.

Комментариев нет:

Отправить комментарий