Ключевое слово в защите информации
ключевое слово
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход. Новые регистрации запрещены.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Floid  
#1 Оставлено : 21 мая 2015 г. 8:33:11(UTC)
Floid

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.05.2015(UTC)
Сообщений: 2
Российская Федерация

Добрый день, коллеги.
Может кто помочь с правильной организацией ОКЗ.
Описание ситуации:
1) Деятельность - Оказание услуг по изготовлению, выдаче ЭП и продаже СКЗИ КриптоПро.
2) Имеем лицензию ФСБ на распространение средств шифрования, СКЗИ и т.д.
3) Имеются партнерские отношения с головным УЦ. Все средства ЦР и ЦС находятся у них на серверах.
4) У нас стоит АРМ администратора ЦР, подключенный к головному УЦ. Мы генерируем ЭП, выпускаем сертификаты и выдаем их клиентам.
5) Все реализовано на ПАК "КриптоПро УЦ"
Вопросы:
1) Нужно ли нам выполнять требования приказа 152 ФАПСИ для организации ОКЗ ?
2) Если нужно, то какие минимальные и необходимые требования конкретно надо выполнять?
2.1) Как организовать и защитить АРМ?
2.2) Какие требования для помещения?
2.3) Нужен ли персонал со знаниями ИБ?
3) Как вообще правильно все это сделать, и что бы не было проблем с проверками ФСБ?
Буду признателен за помощь.

Отредактировано пользователем 21 мая 2015 г. 8:34:28(UTC)  | Причина: Не указана

Offline arslanov  
#2 Оставлено : 21 мая 2015 г. 10:59:17(UTC)
arslanov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.01.2008(UTC)
Сообщений: 179
Российская Федерация
Откуда: Самара

Сказал(а) «Спасибо»: 63 раз
Поблагодарили: 24 раз в 19 постах
1) Требования к ОКЗ как и для всех.
2) Создание органа КЗИ, создание спецпомещения ОКЗ, создание АРМ и прочих условий сейф жалюзи и т.д.
3) Для получения лицензии вы должны были аттестовать ваш АРМ на соответсвие требованиям безоспасности. Это к лицензиатам ФСТЭК которые аттестацию проводят. только на основании специсследований будут выявлены каналы утечки информации и выданы требования к защите ИС.
4) Нужен. Т.к. вы лицензиаты то персонал нужен по лицензии. В зависимости от вида работ с разным объемом часов обучения и стажем.
Создавать орган КЗИ, отдел или человека, который будет отвечать за криптографию в целом. За прием и выдачу, за инструктажи и т.д. + помещение и доступ к нему соответсвующий. Ведение журналов поэкземплярного учета приема/выдачи СКЗИ.
Offline Floid  
#3 Оставлено : 22 мая 2015 г. 6:21:09(UTC)
Floid

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.05.2015(UTC)
Сообщений: 2
Российская Федерация

1) Помещение есть с соблюдением условий, аттестовано. АРМ тоже аттестован(сами имеем лицензию ФСТЭК). Персонал тоже имеется с нужной квалификацией.
2) На мой взгляд все упирается в документы. О создании ОКЗ, перечне ответственных лиц и других. Где нибудь можно посмотреть список всех документов, которые должны быть составлены и подписаны для реализации ОКЗ? Я знаю только о части из них.
3) А если мы хотим произвонить установку аппаратных СКЗИ, то все действия касательно этого так же должны производиться ОКЗ? Или это только в случае необходимости защиты конфиденциальной информации?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.