среда, 29 ноября 2017 г.

ИБ. Как криптография помогает пожарным

Как вы, наверное, знаете при использовании СКЗИ для защиты информации ограниченного доступа (ПДн) должны соблюдаться требования эксплуатационной документации.  
ПКЗ 2005 46. СКЗИ эксплуатируются в соответствии с правилами пользования ими.”
Приказ ФСБ 378 “4. Эксплуатация СКЗИ должна осуществляться в соответствии с документацией на СКЗИ”.

В правилах пользования на достаточно популярные СКЗИ VipNet Client и Coordinator указано “На случай пожара, аварии или стихийного бедствия должны быть разработаны специальные инструкции, утвержденные руководством учреждения, в которых предусматривается порядок вызова администрации, должностных лиц, вскрытие помещений, очередность и порядок эвакуации конфиденциальных документов и дальнейшего их хранения.”
Аналогичные требования есть правилах пользования старых версий КриптоПро CSP, блоках СКЗИ для тахографов (НКМ-1, НКМ-2, НКМ-К), а также во многих приказах, регламентах гос. органов, СМЭВ.

Во время проверок ФСБ России отсутствие инструкции на случай чрезвычайных ситуаций, в которых предусмотрен порядок вызова должностных лиц, вскрытие помещений, очередность и порядок эвакуации конфиденциальных документов и дальнейшего их хранения рассматривается как нарушение правил эксплуатации СКЗИ и наказывается.



С одной стороны инструкции на случай пожара это хорошо, и они должны быть в организации. Лишний повод заняться пожарной безопасностью.
С другой стороны, если их нет, то при внедрении СКЗИ, безопасник или интегратор самостоятельно не смогут разработать общую инструкцию на случай пожара. Кто такой ИБ-шник чтобы решать кого спасать в первую очередь, людей или СКЗИ?  

Единственным выходом в такой ситуации мне представляется разработка частной инструкции/порядка по действиям с СКЗИ в помещении с СКЗИ при чрезвычайных ситуациях. В случае если в организации будет разработан общий порядок действий, данная инструкция будет его уточнять. А в случае если общего порядка нет, будет формальным выполнением требований эксплуатационной документации.

Если вам интересен пример, что писать, можно обратится к правилам пользования на последние версии КриптоПро CSP 3.9, 4.0, КриптоАРМ, JINN-Client, которые не заставляют пользователей разрабатывать инструкции, но содержит в себе перечень действий в нештатных ситуациях, которые необходимо выполнять.




Комментариев нет: