Законодательство по СКЗИ - Форум по вопросам информационной безопасности

Здравствуйте.

Используем ЭП для работы с сайтом закупок и т.п., установлен КриптоПро. Сертификаты изготавливает казначейство. Я буду во всём этом ответственным, администратором безопасности и т.д.
В связи с этим возникают вопросы по необходимости применения тех или иных мер из нормативных документов, в частности из Приказа ФАПСИ № 152.

1. Можно ли возложить функции ОКЗ на одного человека (меня)? И нужен ли вообще этот орган?
2. Кто должен обучать пользователей, принимать зачеты и давать заключение о допуске к работе с СКЗИ? Могу ли это сделать я?
Если да, то кто даёт мне это право?
3. Нужно ли мне в казначействе проходить какое-либо обучение или можно получить допуск к СКЗИ просто приказом директора?

Думаю вопросов будет ещё много, очень надеюсь на Вашу помощь.
Спасибо.

Ну так инструкция 152 вам и в помощь. И, судя по всему, вы ее не читали, хоть и ссылаетесь:
<Органом криптографической защиты может быть организация, структурное подразделение организации - лицензиата ФАПСИ, обладателя конфиденциальной информации. Функции органа криптографической защиты могут быть возложены на физическое лицо.>
Дальнейшие вопросы, думаю, обсуждать не имеет смысла - в Инструкции все явно прописано...

*в сторону* хотя ради одного КриптоПро рекомендую забить на этот горе-документ и делать самостоятельно, если умеете и знаете...

Но в инструкции также сказано, что допуском к самостоятельной работе с СКЗИ является заключение, составленное "комиссией" соответствующего ОКЗ. Может ли данная комиссия состоять из одного человека, если её функции возложены на физическое лицо?

2 Дмитрий

152 ФАПСИ это не по вашу душу.

По вашу - "Руководство по обеспечению безопасности использования квалифицированной электронной подписи и средств квалифицированной электронной подписи"

http://www.roskazna.ru/upload/iblock/db8/reglament-uts-fk.pdf

Приложение № 3
к регламенту, Удостоверяющего центра Федерального казначейства, утверждённому приказом Федерального казначейства от 31.07.2015 № 197

to Oko
Вы цитируете <Органом криптографической защиты может быть организация, структурное подразделение организации - лицензиата ФАПСИ, обладателя конфиденциальной информации. Функции органа криптографической защиты могут быть возложены на физическое лицо.>
Не могу найти что у обладателя информации..Вы на какой пункт ссылаетесь?

Можно ли создавать орган криптографической защиты информации (ОКЗ) в организации, не являющейся лицензиатом в свете требований 152 ФАПСИ?

Для Ivygin:
> Можно ли создавать орган криптографической защиты информации (ОКЗ) в организации, не являющейся лицензиатом в свете требований 152 ФАПСИ?
Формально Инструкция, утв приказом ФАПСИ от 13.06.2001 № 152, не регулирует лицензирование деятельности по разработке, производству, распространению СКЗИ, ИС и телекоммуникационных систем, защищенных с использованием СКЗИ, и работ с ними. Эта деятельность лицензируется по ПП от 16.04.2-12 № 313. При этом и данное постановление и ст. 12 Федерального закона от 04.05.2011 № 99-ФЗ предусматривают исключение в лицензировании выполнение работ по данному виду деятельности, если они осуществляется для собственных нужд.
Как правило, функции ОКЗ, описанные в Инструкции ФАПСИ, являются "внутренней" работой с СКЗИ (выполняемой для собственных нужд), поэтому в лицензировании по ПП от 16.04.2-12 № 313 не нуждаются.
Но если рассматривать случай, когда ОКЗ планируется выполнять работы (оказывать услуги) сторонним организациям (т.е. помимо собственных нужд), то виды работ (услуг) придётся привести в соответствие с формулировками лицензируемых видов деятельности (Приложение к Положению, утв ПП от 16.04.2-12 № 313) и уже на них получать лицензию.

to Ivygin
Примечание к п. 6, ч. 2 Приказа ФАПСИ от 13.06.2001 N 152, если быть совсем точным...