Запутался! Сколько должно быть назначено ответственных при использовании СКЗИ - Форум по вопросам информационной безопасности

Добрый день,коллеги!Подскажите сколько должно быть назначено ответственных при использовании СКЗИ. В различных документах,образцах,инструкциях нашел: Ответственный за хранилище,ответственный пользователь СКЗИ,ответственный за эксплуатацию СКЗИ.

Формально Ответственный пользователь СКЗИ и будет включать в себя остальных двух. Правда по идее на этой должности надо держать двух человек, дабы могли контролировать друг друга и подменить в случае чего.

А можно поступить так: 1) назначить ответственного за организацию работ по криптографической защите информации (начальник ИТ отдела,имеет переподготовку по ИБ), отвечает только за вопросы организации; 2) назначить Администратора безопасности ( специалист ИТ отдела, не имеет образования по ИБ),будет отвечать за первоначальную выдачу СКЗИ, установку,настройку,удаление,уничтожение 3)назначить ответственных пользователей СКЗИ (руководители остальных отделов в организации которым их непосредственные сотрудники (пользователи СКЗИ) будут сдавать на хранение ключи 4) Остальных допущенных к работе с СКЗИ сотрудников назначить пользователями СКЗИ.
Всю деятельность ведем только для своих нужд,лицензиатом не являемся.

to lex1
Можно и так. Достаточно всего 2 разделения. 1 - ответственный за учет, выдачу и контроль за СКЗИ, 2 - пользователи, которые будут работать с СКЗИ и либо их обеспечить условиями для хранения СКЗИ вне рабочего времени или сдавать ежедневно на хранение лицу №1.

to Михалыч
Спасибо!Сейчас еще раз перечитал актуальное законодательство по СКЗИ,кроме ответственного за хранилище и пользователей СКЗИ вроде больше никого приказами назначать не нужно. Есть ответственные которые должны быть обязательно назначены или можно назначить сколько угодно ответственных,назвать как угодно и распределить обязанности главное чтобы выполнялись условия изложенные Вами?

Если организация просто использует СКЗИ (ЭЦП) и не формирует ключи, то должен быть работник (и лицо(ца) его замещающий) ответственный за учет, выдачу и контроль, и д.б. работники допущенные к работе с СКЗи (ЭЦП).

to Михалыч
Спасибо,все стало понятно!Мы формируем только закрытый ключ и запрос на сертификат.
Еще один вопрос в котором запутался,как организовать хранение и учет,можно поступить так: пользователи сдают в конце рабочего дня ключи в опечатаных тубусах в сейф своим непосредственным руководителям без записи в журнал, руководители ключи от сейфа хранят у себя и далее их не передают. Ключи от кабинетов в которых используются СКЗИ и размещены хранилища без опечатывания сдаются охране с записью в журнал приема выдачи ключей от помещений и ставятся под охрану).
Ведение лицевых счетов является обязательным требованием?

Главное исключить возможность компрометации ключа. Пользователь либо в опечатанном тубусе сдает "ключи" ответственному на хранения в не рабочее время (обязательно под роспись), либо хранит в своем опечатываемом сейфе!!! в идеале в помещении под сигнализацией.

to Михалыч
Спасибо!К сожалению не хватает практики в данном вопросе,а кабинеты в которых расположены хранилищами и ПК с установленным СКЗИ (Крипто-Про) обязательно опечатывать?а если применять СКД это как то может упростить процесс?

lex | 72023

Сигнализации на окнах и двери достаточно.
Вам, собственно, для чего всё это нужно????