Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] Инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ
Необходимо внедрить инструкцию по восстановлению связи в случае компрометации действующих ключей к СКЗИ.
У кого-нибудь есть пример такой инструкции?
Или хотя бы перечень того, что такая инструкция должна включать в себя.
1. Способ оперативного информирования о компроментации по другому каналу (телефон, СМС, мыло) с подтверждением (кодовое слово) для временной блокировки.
2. Обязанность письменного заявления, лучше не позднее следующего рабочего дня для признания сертификата недействительным.
3. Сроки и порядок генерации новых ключей, сертификатов и их взаимной регистрации.
Сергей С., Спасибо.

Еще такой вопрос по Типовому регламенту проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных ФСБ России 08 августа 2009 года №149/7/2/6-1173.

В пункте 4 написано - Требования к обслуживающему персоналу:

-укомплектованность штатных должностей личным составом, а также достаточность имеющегося личного состава для решения задач по организации криптографической защиты информации;

-организация процесса обучения лиц, использующих СКЗИ, применяемых в информационных системах, правилам
работы с ними и другим нормативным документам по организации работ (связи) с использованием СКЗИ.

Перечень представляемых документов и справок - Документы, подтверждающие прохождение обучения сотрудников.

Здесь имеется ввиду, что их ознакомили с внутренними инструкциями по работе с криптосредствами или то что они прошли обучение и получили соответствующие сертификаты по работе с криптосредствами?
ИМХО тут два аспекта. Если вы лицензиат ФСБ, то обучение должно удовлетворять требованиям 313ПП для штатных специалистов (для большинства - два специалиста с образованием по ИБ или переподготовкой 500/100 часов). Для остальных (пользователей) достаточно внутреннего обучения с регистрацией в журнале.
Цитата
Сергей С. пишет:
ИМХО тут два аспекта. Если вы лицензиат ФСБ, то обучение должно удовлетворять требованиям 313ПП для штатных специалистов (для большинства - два специалиста с образованием по ИБ или переподготовкой 500/100 часов). Для остальных (пользователей) достаточно внутреннего обучения с регистрацией в журнале.
То есть, если лицензии ФСБ у пользователей криптосредств нет, то достаточно завести журнальчик, где пользователи расписываются за то что они ознакомились с инструкциями и какую-нибудь зачетную ведомость внутреннюю?
Страницы: 1
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)