Обсуждение системы

Описание и обсуждение системы
imba
Администратор
Сообщения: 43
Зарегистрирован: 04 фев 2016, 09:52

Re: Обсуждение системы

Сообщение imba » 20 сен 2016, 12:50

Поясните еще, пожалуйста, под вводом ключевого документа в эксплуатацию понимается настройка рабочего места ответственного сотрудника, которому передан КД? Или наделение созданного сертификата правами в информационной системе? Может ли быть ввод в эксплуатацию сделан раньше, чем передача ответственному сотруднику?
Это действительно сложно идентифицируемое событие, над которым мы с коллегами довольно долго спорили. Итоги наших рассуждений нашли свое отражение в п. 5.6.2 Методологии учета, приведу выдержку из него:
"Событие ввода в эксплуатацию ключевой информации возникает в момент, когда ключевая информация может использоваться в информационной системе (сервисе или бизнес-процессе) по назначению."

Поэтому однозначно ответить на ваш вопрос нельзя, все зависит от конкретных случаев. В общем случае могут существовать ситуации когда ввод ключевой информации в эксплуатацию может происходить до ее передачи ответственному лицу.

Vasiliy_Chapaev
Сообщения: 2
Зарегистрирован: 28 июл 2017, 10:52

Менеджмент безопасности 2.0

Сообщение Vasiliy_Chapaev » 28 июл 2017, 11:04

Добрый день. Заинтересовал ваш продукт Менеджмент безопасности 2.0, уже установил и начал наполнять базу. Столкнулся со следующей задачей: при увольнении сотрудник должен сдать носитель ключевой информации. Акт вывода и уничтожения ключевой информации сформированы, в Журнале ФАПСИ данные учтены, но куда вписать информацию о том что носитель изъят? Если написать в поле "Комментарий", то в Журнале ФАПСИ информация с этого поля не отображается, наверное, нужно предусмотреть поле "Примечание" в акте уничтожения ключей. Прошу прояснить данный вопрос.

imba
Администратор
Сообщения: 43
Зарегистрирован: 04 фев 2016, 09:52

Re: Обсуждение системы

Сообщение imba » 28 июл 2017, 18:37

при увольнении сотрудник должен сдать носитель ключевой информации
В системе не реализован учет физического перемещения носителей между ответственными лицами.
Вместо этого учет ведется в разрезе ключевых документов, которые в соответствие с Постановлением Правительства РФ № 313 определяются следующим образом:

ключевые документы - электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах;

То есть по ПП-313 ключевой документ это в первую очередь ФАЙЛ, а затем носитель.
Приказ ФАПСИ 152 дает обратное определение, в котором ключевой документ это в первую очередь носитель. При разработке системы было принято решение строить идеологию отталкиваясь от определения данного в ПП-313. При этом руководствовались следующими соображениями. Во-первых ПП-313 с юридической точки зрения имеет больший вес и выпущено оно позже. Во-вторых, определение предоставляемое ПП-313 больше подходит к современным реалям, включающие такие явления как "облачные токены", HSM и все то, что было внедрено в криптографии после 2001 года.

Возвращаясь к вашей проблеме уничтожения ключевых документов. В методологии системы, уничтожение ключевых документов значит уничтожение ключевой информации хранящейся на носителях ключей, или уничтожение самих носителей, что не противоречит ФАПСИ 152. Факт уничтожение отражается в отчете "Журнал учета ключевых документов (ФАПСИ 152)".

С учетом того, что у вас может быть множество ключевых носителей и в какой-то момент вы захотите знать где физически они находятся вы можете вносить данную информацию в поле "Комментарий" элемента справочника "Носители конфиденциальной информации" соответствующего вашему носителю.

Ответить