ИБ. Как криптография помогает пожарникам

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()
Как вы, наверное, знаете при использовании СКЗИ для защиты информации ограниченного доступа (ПДн) должны соблюдаться требования эксплуатационной документации.  

ПКЗ 2005 46. СКЗИ эксплуатируются в соответствии с правилами пользования ими.”

Приказ ФСБ 378 “4. Эксплуатация СКЗИ должна осуществляться в соответствии с документацией на СКЗИ”.


В правилах пользования на достаточно популярные СКЗИ VipNet Client и Coordinator указано “На случай пожара, аварии или стихийного бедствия должны быть разработаны специальные инструкции, утвержденные руководством учреждения, в которых предусматривается порядок вызова администрации, должностных лиц, вскрытие помещений, очередность и порядок эвакуации конфиденциальных документов и дальнейшего их хранения.”

Аналогичные требования есть правилах пользования старых версий КриптоПро CSP, блоках СКЗИ для тахографов (НКМ-1, НКМ-2, НКМ-К), а также во многих приказах, регламентах гос. органов, СМЭВ.

Во время проверок ФСБ России отсутствие инструкции на случай чрезвычайных ситуаций, в которых предусмотрен порядок вызова должностных лиц, вскрытие помещений, очередность и порядок эвакуации конфиденциальных документов и дальнейшего их хранения рассматривается как нарушение правил эксплуатации СКЗИ и наказывается.




С одной стороны инструкции на случай пожара это хорошо, и они должны быть в организации. Лишний повод заняться пожарной безопасностью.

С другой стороны, если их нет, то при внедрении СКЗИ, безопасник или интегратор самостоятельно не смогут разработать общую инструкцию на случай пожара. Кто такой ИБ-шник чтобы решать кого спасать в первую очередь, людей или СКЗИ?  


Единственным выходом в такой ситуации мне представляется разработка частной инструкции/порядка по действиям с СКЗИ в помещении с СКЗИ при чрезвычайных ситуациях. В случае если в организации будет разработан общий порядок действий, данная инструкция будет его уточнять. А в случае если общего порядка нет, будет формальным выполнением требований эксплуатационной документации.


Если вам интересен пример, что писать, можно обратится к правилам пользования на последние версии КриптоПро CSP 3.9, 4.0, КриптоАРМ, JINN-Client, которые не заставляют пользователей разрабатывать инструкции, но содержит в себе перечень действий в нештатных ситуациях, которые необходимо выполнять.





Оцените материал:
Total votes: 39
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.