Контакты
Подписка
МЕНЮ
Контакты
Подписка

Обучение лиц, использующих криптосредства. - Форум по вопросам информационной безопасности

Обучение лиц, использующих криптосредства. - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: < 1 2

Автор: Артем | 72938 21.06.2017 20:43
Спасибо, что отписались сюда по теме разговора. Под обучением пользователей я имел ввиду именно инструктаж. У нас в организации так и есть:
журнал прошедших обучение для работы за АРМ и журнал инструктажа для тех кто пользует СКЗИ. Все журналы под роспись. По первому журналу инструктаж при приеме на работу и не реже раза в год, по второму для допуска к работе с СКЗИ и не реже раза в полгода, а так еще помимо этих журналов имеются журналы инструктажа на критичные системы.

Автор: oko | 72939 21.06.2017 23:34
*в сторону* слово-то какое мудреное выдумали, инструктаж...
ПАМЯТКА ПОЛЬЗОВАТЕЛЮ:
1. В помещение лишних не водить, когда с КриптоПро работаешь...
2. Флешки и иные носители ключей (eToken, ruToken, etc - подчеркнуть по факту использования) никому в руки не давать, без присмотра не оставлять, на время ухода хранить в сейфе/шкафу/ящике опечатанном или у администратора безопасности...
3. На антивирусные сообщения незамедлительное реагировать, а если базы и/или лицензия устарели - пинать администратора безопасности (лучше, служебкой через его голову непосредственно "генеральному", дабы он, бородатый и/или очкастый лентяй не расслаблялся)...
4. За сертификатами криптографическими (сей речевой оборот выучить как "Отче наш") неустанно следить - ежели просрочены (о чем недвусмысленно намекнет КриптоПро), то действовать аналогично п. 3...
5. В журналах приема/выдачи/инструктажа/эксплуатации/etc, которые заставляет подписывать этот бородатый и/или очкастый лентяй, разумеется расписываться... так всем проще будет...
6. Программы использовать только те, что установил на компьютер с КриптоПро этот лентяй или другие лентяи из, как модно нынче говорить, IT-отдела...
7. Во время работы с КриптоПро внимательно следить за реакцией других сотрудников компании - помни, враг не дремлет и умело маскируется!
8. В причину п. 7 - доверять только себе, "генеральному" и тому самому лентяю с его глупыми памятками, программами и журналами...
9 (вариативный, как говорится, в зависимости от). Пароли входа в систему менять в соответствии с принятым расписанием, никому не показывать, на монитор не лепить, друзьям не сообщать, в личной жизни не использовать...
ПАМЯТКА АДМИНИСТРАТОРУ БЕЗОПАСНОСТИ:
Представленную выше "Памятку пользователю" распространить через корпоративный мессенджер на машины каждого из оных 200 человек, работающих с КриптоПро. Лучше всего, поп-ап уведомлением. С расписанием на каждый час. А через N дней пройтись до каждого (можно через их руководителей) и собрать подписи - и задача инструктажа решена. Profit!

*в сторону* на правах, разумеется, шутки... в которой только доля шутки...

Автор: Печкин | 73017 22.06.2017 12:44
Господа, а можно ли фиксировать инструктаж по работе со СКЗИ в общем журнале инструктажей по вопросам ЗИ? Дабы не плодить еще один журнал, а в одном все держать. И как данный инструктаж можно назвать?
Прошло несколько лет

Автор: Аннушка | 110246 08.08.2022 15:50
Очень все интересно... но сотрудников ФСБ журналы не устроили, сказали должен быть документ... "Документом, подтверждающим должную специальную подготовку пользователей
" ( п. 21 приказ ФАПСИ №152 от 13.06.2001) и вот куда бежать и куда всех отправлять...

Автор: CM | 110247 08.08.2022 17:54
to Аннушка:

п. 21 Инструкции, утв. приказом ФАПСИ от 13.03.2021 № 152, говорит об обучении (подготовке) пользователей правилам работы с СКЗИ, которое должно проводиться соответствующим органом криптографической защиты. По опыту такое обучение (подготовка) проводится в объеме правил пользования и эксплуатационной документации на СКЗИ в форме инструктажа по соответствующей программе. Для проведения такого обучения (подготовки) лицензия на образовательную деятельность не требуется. Итоговым и отчетным документом такого обучения (подготовки) в Инструкции указано Заключение (не журнал), которое оформляет комиссии соответствующего органа криптографической защиты. Формально заводить журнал не запрещено, но проверка требований пункта 21 Инструкции будет предусматривать проверку данных заключений. Поэтому можно пользователей никуда не отправлять, а требования пункта 21 Инструкции выполнить собственными силами органа криптографической защиты.

Автор: oko | 110248 08.08.2022 19:38
*в сторону*
Ох уж эти ОКЗ. Которые согласно 152-Инструкции только под лицензиатом ФАПСИ (ФСБ). Которые де факто хрен отыщешь даже в конторе-лицензиате. И которые входят в умопомрачительный клинч с ПП РФ 313 от 16.04.2012, когда речь заходит о "собственных нуждах", разделении прав и ответственностей Владельцев и Операторов и т.д., и т.п...
О, и ностальгия (на фоне памяток 5летней давности) в ту же степь, ага...

Страницы: < 1 2

Просмотров темы: 10841

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*