Положения о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами.

⇐ ПредыдущаяСтр 3 из 8Следующая ⇒

К криптографическим средствам относят:

· Средства шифрования

· Средства имитозащиты

· Средства ЭЦП

· Средства кодирования

· Ключевые документы

· Аппаратные криптографические средства

· Программные криптографические средства

· Программно-аппаратные криптографические средства

Не распространяется на:

· Шифровальных средств для защиты гос тайн

· Шифровальные средства использующие определенные алгоритмы с определенными длинами ключей

· Товары, имеющие функцию аутентификации

· Шифровальные средства, входящие в ос, которые не может изменить пользователь

· Персональные смарт-карты

· Оборудование, в котором криптографические возможности недоступны пользователю

· Оборудование для банковских операций и оплаты

· Беспроводное оборудование, дальностью менее 400 м

· Не критически важные средства защиты теле систем и систем связи

Лицензионные требования для осуществления лицензируемой деятельности:

· Наличие лицензии на помещение, оборудование

· Обеспечение информационной безопасности

· Лицензия на обеспечение конфиденциальности

· Лицензия на допуск к выполнению работ с использованием сведений гос тайны

· Наличие квалифицированного персонала

· Оборудование прошло проверку и калибровку

· Лицензии на компьютерные программы и программы для оборудования

Для получения лицензии отправляют:

· Копии документов о помещении и оборудовании

· Копии документов, подтверждающих условия конфиденциальности

· Копии нахождения в штате квалифицированных сотрудников

· Копии документов об образовании сотрудников

· Копии трудовых книжек

· Копии должностных инструкций

· Копии о прохождении оборудованием проверки и калибровки

При намерениях выполнять новые работы и оказывать новые услуги отправляются все вышеперечисленные документы, только со сменой оборудования и персонала под нужную деятельность.

Положение ПКЗ-2005 «О разработке, производстве, реализации и использовании шифровальных (криптографических) средств защиты информации».

К СКЗИ относятся те же средства, что и в предыдущем билете.

Порядок разработки

Задание разработки осуществляется заказчиком по согласованию ФСБ. Разработка осуществляется путем постановки и проведения научно исследовательских работ. Научно исследовательские работы проходят в соответствии с техническим заданием (ТЗ).

В ТЗ включают сведения:

· О заказчике

· Об области применения

· О предполагаемом исполнителе работ

ФСБ рассматривает заявку в течение 2 месяцев, если отказ, то мотивируют результатами научно исследовательских работ - ТЗ на создание нового СКЗИ или усовершенствование старого и обоснования. Но разработка ТЗ для опытно конструкторских работ может быть сделана без научно исследовательских работ.

В ТЗ для ОКР есть:

· Цель крипто защиты информации с описанием модели нарушителя, угрозы.

· Требования к СКЗИ, кол-во пользователей сети, интенсивность

· Кол-во ключей, сроки действия, тип носителя

· Информация об изготовителе

· Информация о СКЗИ

· Стоимость СКЗИ

ТЗ рассматривается ФСБ 2 месяца и утверждается заказчиком. Рекомендуется использовать крипто алгоритмы, утвержденные в качестве национальных стандартов.

Пункты

· ФСБ проводит экспертизу результатов на соответствие требованиям.

· Создается рабочая конструкторских документация.

· Использующиеся ПО и аппаратные средства согласуются с заказчиком.

· Производство СКЗИ осуществляется в соответствии с техническими условиями и при полном соответствии с опытными образцами.

· Все изменения в конструкции согласовываются с ФСБ.

· К СКЗИ идут правила использования, согласованные ФСБ

· Реализует юридическое лицо, имеющее на это право.

Правила эксплуатации СКЗИ

· Все СКЗИ проходят проверку перед использованием

· Все экземпляры подлежат учету с использованием регистрационных номеров

· Контроль использования правил эксплуатации осуществляют

o Обладатели

o Собственники информационных ресурсов

o ФСБ

Организационно-штатные мероприятия обеспечения деятельности удостоверяющего центра.

Сначала разрабатывается и утверждается положение об удостоверяющем центре организации. Данный локальный нормативный акт закрепляет структурное подразделение или рабочую группу из числа сотрудников организации, которые будут обеспечивать выполнение деятельности организации как удостоверяющего центра.

Чаще всего используется форма рабочей группы, включающей в себя следующие основные функциональные роли:

Руководитель удостоверяющего центра - это сотрудник, который осуществляет общее руководство деятельностью рабочей группы. Как правило, эта роль назначается руководителю подразделения, ответственного за информационную безопасность в организации.

Уполномоченное лицо удостоверяющего центра - это сотрудник, являющийся владельцем закрытого ключа подписи и сертификата ключа подписи удостоверяющего центра (технически - центра сертификации). Уполномоченное лицо выполняет обязанности руководителя удостоверяющего центра в отсутствие последнего. Как правило, эта роль назначается руководителю ИТ-подразделения организации.

Администратор специального программного обеспечения - сотрудник, который отвечает за настройку и эксплуатацию специального программного обеспечения удостоверяющего центра и средств криптографической защиты информации, подключает операторов удостоверяющего центра и контролирует их деятельность. Как правило, эта роль назначается сотруднику подразделения, ответственного за информационную безопасность в организации и прошедшего обучение на специальных курсах в учебном центре.

Администратор безопасности и аудита - сотрудник, который отвечает за контроль по эксплуатации специального программного обеспечения удостоверяющего центра и средств криптографической защиты информации. Администратор безопасности и аудита выполняет обязанности администратора специального программного обеспечения в отсутствие последнего. Как правило, эта роль также назначается сотруднику подразделения, ответственного за информационную безопасность в организации и прошедшего обучение на специальных курсах в учебном центре.

Оператор удостоверяющего центра - сотрудник, который непосредственно изготавливает ключи подписей, выдает сертификаты ключей подписей пользователям удостоверяющего центра, то есть непосредственно оказывает услуги удостоверяющего центра. Эта роль назначается сотруднику организации, который в сфере других бизнес-задач взаимодействует с пользователями информационных систем, владельцем которых является организация.

Системный администратор удостоверяющего центра – сотрудник, который отвечает за работоспособность технических средств и общесистемного программного обеспечения удостоверяющего центра. Как правило, эта роль назначается сотруднику ИТ-подразделения организации.

В процессе своей деятельности рабочая группа удостоверяющего центра взаимодействует с другими структурными подразделениями организации, например, с правовым департаментом для разработки или уточнения и совершенствования регламентов деятельности удостоверяющего центра, с канцелярией для учета и обработки входящей и исходящей корреспонденции удостоверяющего центра.

Рекомендации

В соответствии с положением об удостоверяющем центре организации и утвержденной структуре разрабатываются и утверждаются функциональные инструкции обслуживающего персонала удостоверяющего центра и издаются приказы о назначении сотрудников.

Для повышения устойчивости в работе удостоверяющего центра рекомендуется разработать технологические карты деятельности для операторов удостоверяющего центра, так как операторы относятся к наиболее неустойчивой кадровой группе персонала - они часто увольняются. Технологические карты операторов содержат подробное описание порядка действий по регистрации пользователей и изготовлению им ключей подписей и сертификатов ключей подписей вплоть до описания действий на специальном программном обеспечении (АРМ администратора центра регистрации). Такие технологические карты (технологические инструкции) позволяют новым сотрудникам быстро подключиться к работе и начать обслуживание пользователей.

6. Регламент удостоверяющего центра (типы регламентов УЦ, основные положения типового регламента УЦ, дополнительные положения и документы).(! )

Типы регламентов:

1. для использования людьми в ИС

2. для использования в корпоративном документообороте

Основные положения:

Сведения об УЦ - реквизиты

Термины и определения

Статус регламента

Общие положения(присоединение, изменение, применение регламента)

Предоставление информации

Права и обязанности сторон(уц-услуги пользователю, его оповещение, конфиденциальность ключа, передача сертификата в реестр или архив)(пользователь-тайна ключа, раз в месяц узнавать об изменениях регламента, уведомить уц при раскрытии ключа за сутки, не использовать не действительный ключ)

(Права уц-отказать в выдаче/приостановлении/восстановлении/аннулировании сертификата и обосновать решение(неправильное оформление заявления и др.)

Права пользователя-применять сертификат ключа, получить копию сертификата у уц, заявить на сертификат ключа проверки эп, обратиться в уц для создания/приостановления/восстановления/аннулирования сертификата)

Финансовые условия

Ответственность сторон

Разрешение споров

Порядок предоставления и пользования услугами уц(оговариваются порядок аннулирования/плановой замены/ приостановления/ восстановления/ создания сертификата ключа подписи)

Структура сертификатов ключа проверки электронной подписи и сроки действия ключей электронной подписи

Дополнительные положения(нарушение конфиденциальности, хранение в реестре, хранение в архиве, форс-мажоры)

Контроль целостности по

⇐ Предыдущая 1 234 5 6 7 8 Следующая ⇒