Статус: Новичок
Группы: Участники
Зарегистрирован: 26.06.2013(UTC) Сообщений: 1  Откуда: Минеральные Воды
|
Добрый день!
В организации прошла проверка ФСБ на предмет обработки персданных с использованием СКЗИ.
В акте по результатам, да и в ходе самой проверки были указаны недостатки несоблюдения требований 152 приказа ФАПСИ, точнее Инструкции которую этот приказ утверждает.
Читая инструкцию так до конца и не понял некоторые термины и определения. Каждый остался при своем понимании данного
документа.
Если кто тут обученный и сертифицированный по СКЗИ прошу ответить на несколько вопросов:
1. Кто есть "СОТРУДНИКИ ОРГАНА КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ"? (это подразделения в обязанности которых входит непосредственно обеспечение информационной безопасности или же это сотрудники удостоверяющего центр)? С пользователями все вроде бы понятно.
2. Обучение. Могу ли я пройдя обучение в учебной центре "Информо-Защите" и получив сертификат проводить обучение с пользователями СКЗИ. Проверяющие клонили к тому, что обучение должны проводить лицензированные конторы, а при наличии более ста пользователей это будет накладно.
3. У меня есть журнал учета персональных ключевых носителей (чем и является смарт-карта етокен), по которому я и выдаю ЭПшки. Разве должен я учитывать их еще раз?
спасибо заранее
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
|
Кто есть "СОТРУДНИКИ ОРГАНА КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ"? (это подразделения в обязанности которых входит непосредственно обеспечение информационной безопасности или же это сотрудники удостоверяющего центр)?
Ответ: Орган криптографической защиты разрабатывает и осуществляет мероприятия по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации. Органом криптографической защиты может быть организация, структурное подразделение организации - лицензиата ФАПСИ, обладателя конфиденциальной информации. Функции органа криптографической защиты могут быть возложены на физическое лицо. Наличие лицензии обязательно у организации и ИП, оказывающих услуги сторонним обладателям конфиденциальной информации. Функции Органа криптозащиты могут быть возложены и на подразделение (которое может называться «Удостоверяющий центр»).
Основание: п.6 Инструкции и примечание 7 к Инструкции
2. Обучение. Могу ли я пройдя обучение в учебной центре "Информо-Защите" и получив сертификат проводить обучение с пользователями СКЗИ. Проверяющие клонили к тому, что обучение должны проводить лицензированные конторы, а при наличии более ста пользователей это будет накладно.
Ответ: Образовательная деятельность, осуществляемая путем проведения разовых занятий различных видов (в том числе лекций, стажировок, семинаров) и не сопровождающаяся итоговой аттестацией и выдачей документов об образовании, деятельность по содержанию и воспитанию обучающихся и воспитанников, осуществляемая без реализации образовательных программ, а также индивидуальная трудовая педагогическая деятельность не подлежат лицензированию.
Как собираетесь обучать пользователей? Какую образовательную деятельность вы собираетесь осуществлять? Если вы не будете проводить аттестацию обучающихся и выдавать документы (обучение будет подтверждаться, скажем подписью обученного в каком-нибудь журнале) тогда вам не нужна лицензия.
Основание: п.4 Положения о лицензировании образовательной деятельности (утв. постановлением Правительства РФ от 16 марта 2011 г. N 174).
3. У меня есть журнал учета персональных ключевых носителей (чем и является смарт-карта етокен), по которому я и выдаю ЭПшки. Разве должен я учитывать их еще раз?
Ответ: Надо вести учет используемых и выдаваемых ключевых носителей и СКЗИ в журнале установленной формы.
Основание: п.26 и 27 Инструкции утвержденной приказом ФАПСИ №152.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.08.2013(UTC)
Сообщений: 5
|
Получается, что все таки обучение пользователям пройти надо?
Согласно того же 152 приказа п. 21 :
21. Непосредственно к работе с СКЗИ пользователи допускаются только после соответствующего обучения.
Обучение пользователей правилам работы с СКЗИ осуществляют сотрудники соответствующего органа криптографической защиты. Документом, подтверждающим должную специальную подготовку пользователей и возможность их допуска к самостоятельной работе с СКЗИ, является заключение, составленное комиссией соответствующего органа криптографической защиты на основании принятых от этих лиц зачетов по программе обучения.
Но согласно договора, они опубликовали правила на сайте и умыли руки, про заключение и зачеты -молчу (у них нет прав на осуществление обучения)
а вопросы то остаются.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
|
Евгении2013
Вы о каком обучении спрашиваете?
Про обучение сотрудников органа криптозащиты или пользователей (обычных работников организации, которые не являются сотрудниками органа криптозащиты)?
Требования по образованию сотрудников органа криптозащиты содержатся в лицензионных требованиях (утв. Постановлением Правительства № 313). Такие сотрудники должны иметь образование полученное только в учебных заведениях, имеющих соответствующую лицензию.
По образованию пользователей, которые не являются сотрудниками органа криптозащиты. Пользователи проходят обучение правилам пользования СКЗИ. Такое обучение проводят работники органа криптозащиты организации- лицензиата. На такое обучение лицензия вашей организации не нужна ( вас обучают технике безопасности, проводят инструктажи по охране труда и т.п.)? Но обучение пользователей проводить обязательно и фиксировать обучение тоже надо- оформлять заключения, регистрировать в журналах и т.п.
Как то так.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 16.08.2012(UTC)
Сообщений: 10
Сказал(а) «Спасибо»: 1 раз
|
Уважаемый Expert! А если за ключом приезжает представитель владельца по доверенности,например,водитель, какой толк от его обучения и заключения на допуск к работе с СКЗИ? Как поступать в этом случае? Это со стороны УЦ.
А со стороны клиента - будет ли заключение, выданное УЦ, иметь какой-то вес для проверяющих органов? Опять же УЦ может только проинструктировать, но не обучить.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
|
Уважаемый Amo_vivery!
За ключом может приехать не владелец сертификата (пользователь СКЗИ), а курьер- доверенное лицо (водитель, секретарь и т.д.), который может и не является пользователем СКЗИ.
А поступать нужно в порядке регламентированном нормативными актами(см. п.19 инструкции, утвержденной приказом ФАПСИ № 152.
Что касается проверки контролирующими органами. Проверка организаций – обладателей конфиденциальной информации, как правило, не проводится, проверяют лицензиатов ФСБ, у которых должны быть созданы органы криптозащиты, которые и должны обучать пользователей. Заключение о подготовке пользователя СКЗИ будет иметь вес (см. п.19 и п.21 Инструкции утв. Приказом ФАПСИ №152).
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 16.08.2012(UTC)
Сообщений: 10
Сказал(а) «Спасибо»: 1 раз
|
А причем тут п.19? Перечень - это внутреннее дело организации. Предполагается, что УЦ должен организовывать обучение в организации и комисионно принимать зачеты по программе обучения?! Интересно, какой УЦ это делает? Не знаю... Здесь я больше соглашусь с Юрием Масловым: Автор: Юрий Маслов  Коллеги!
Давайте не будем выдумывать, домысливать, читать побуквенно! Даже проверяющие подходят творчески и смотрят реально. Обучить пользователей СКЗИ на курсах повышения квалификации за счёт организатора информационной системы (лицензиата) - это нереально. Обучить пользователей СКЗИ на курсах повышения квалификации за счёт самого пользователя СКЗИ - это нереально и противоречит законодательству (Вы не можете заставить ничего сделать другое лицо. Вы можете только попросить). А вот провести обучение пользователей СКЗИ путём инструктажа или путём предоставления методических материалов для самооучения - это реально. И именно так и делается!
Организатор информационной системы (лицензиат) НЕ МОЖЕТ принимать зачёт и допускать или недопускать к работе СКЗИ сотрудника другой организации (пользователя СКЗИ)!!! Это чисто внутренние дела юрлиц. И инструкция 152 никак не может изменить ЗАКОНЫ (Гражданский кодекс, КЗоТ и т.д.). Статус не тот.
Призываю ещё раз. Не ищите блох. Вся страна уже 20 лет живёт по этой инструкции.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.04.2010(UTC)
Сообщений: 187
Откуда: Краснодар
Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 40 раз в 32 постах
|
В п 19. (только во втором абзаце, имейте терпение дочитывать до конца) как раз и говорится, что полномочия органа криптозащиты по допуску физлиц к работе с СКЗИ осуществляются только в отношении подчиненных им должностных лиц, т .е. в рамках только одного юрлица.
Ведь работники одной коммерческой организации не могут подчиняться работникам другой коммерческой организации (для госструктур могут быть исключения).
Удачи и терпения вам, Amo_vivery.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.08.2013(UTC)
Сообщений: 5
|
Автор: Expert Евгении2013
Вы о каком обучении спрашиваете?
Про обучение сотрудников органа криптозащиты или пользователей (обычных работников организации, которые не являются сотрудниками органа криптозащиты)?
Требования по образованию сотрудников органа криптозащиты содержатся в лицензионных требованиях (утв. Постановлением Правительства № 313). Такие сотрудники должны иметь образование полученное только в учебных заведениях, имеющих соответствующую лицензию.
По образованию пользователей, которые не являются сотрудниками органа криптозащиты. Пользователи проходят обучение правилам пользования СКЗИ. Такое обучение проводят работники органа криптозащиты организации- лицензиата. На такое обучение лицензия вашей организации не нужна ( вас обучают технике безопасности, проводят инструктажи по охране труда и т.п.)? Но обучение пользователей проводить обязательно и фиксировать обучение тоже надо- оформлять заключения, регистрировать в журналах и т.п.
Как то так.
спасибо, теперь понятно. Обучение -своих пользователей УЦ, у меня инструктаж обычный внутренний. Журнал инструктажа храню.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
