Добрый день!
Поставил начальник задачу произвести соответствие между оценкой согласно 382-П и нормативными актами, и в случае нехватки чего-либо указать сроки и документы которые нужно будет править/создать.
Начали по пунктам разбирать и столкнулись с некоторым непониманием некоторых терминов, точнее разных точек зрения на их интерпретацию.
Пока не все разобрали но вот некоторые вопросы которые сейчас интересны.
1. "...обеспечивают регистрацию лиц, обладающих правами по осуществлению доступа..." что подразумевают под регистрацией лиц? У нас мнение такое - если взять к примеру АБС, то там есть регистрация пользователей. В других же системах регистарции как таковой нет, но есть долностные инструкции, а так же порядок организации информационных ресурсов и доступа к ним. Согласно этим документам сотрудники даются те права, которые у него в ДИ.
2. "...обеспечивают регистрацию лиц, обладающих правами по управлению криптографическими ключами..." Управление мы понимаем как - создание и блокировка. Берем к примеру Банк России (так как он полюбому будет ОПС), какие ключи имеются ввиду, и как обеспечить регистрацию. Тут у нас мнения разошлись, я считаю что к примеру ключи сигнатуры, вербы и прочее подразумевается, и лицо тогда АИБ, я прав? тогда как осуществляется регистрация?
3. "...обеспечивают включение в технические задания на создание (модернизацию) объектов информационной инфраструктуры..." тут сразу несколько пунктов связаны 2.5.1.-2.5.3, 2.5.5. Во-первых, что подразумевается под созданием объекта инф.структуры? Мы так понимаем это железо+ПО. Если взять тот же Банк России, то мы ничего не создаем, а используем сторонее ПО с уже имещимися механизмами. Тогда на пункты 2.5.1 и 2.5.2 нет оценки? И создание это именно разработка или организация тоже? У нас в том же порядке организации ИР и доступа к ним есть такой пункт: Отдел автоматизации организует ИР путем установки и настройки программных и технических средств. Если понимать создание как разработка, то тогда в пунктах 2.5.3. и 2.5.5. н\о, так как нам Банк России диктует и дает ПО. Если же понимать создание как - организация, то установка и тестирование это наша работа, и получается мы создаем, тогда будет оценка.
Вот пока такие вопросы, и это только начали, а вопросов пока больше чем ответов.
Выскажите ваше мнение по данным вопросам. Заранее благодарен.
Поставил начальник задачу произвести соответствие между оценкой согласно 382-П и нормативными актами, и в случае нехватки чего-либо указать сроки и документы которые нужно будет править/создать.
Начали по пунктам разбирать и столкнулись с некоторым непониманием некоторых терминов, точнее разных точек зрения на их интерпретацию.
Пока не все разобрали но вот некоторые вопросы которые сейчас интересны.
1. "...обеспечивают регистрацию лиц, обладающих правами по осуществлению доступа..." что подразумевают под регистрацией лиц? У нас мнение такое - если взять к примеру АБС, то там есть регистрация пользователей. В других же системах регистарции как таковой нет, но есть долностные инструкции, а так же порядок организации информационных ресурсов и доступа к ним. Согласно этим документам сотрудники даются те права, которые у него в ДИ.
2. "...обеспечивают регистрацию лиц, обладающих правами по управлению криптографическими ключами..." Управление мы понимаем как - создание и блокировка. Берем к примеру Банк России (так как он полюбому будет ОПС), какие ключи имеются ввиду, и как обеспечить регистрацию. Тут у нас мнения разошлись, я считаю что к примеру ключи сигнатуры, вербы и прочее подразумевается, и лицо тогда АИБ, я прав? тогда как осуществляется регистрация?
3. "...обеспечивают включение в технические задания на создание (модернизацию) объектов информационной инфраструктуры..." тут сразу несколько пунктов связаны 2.5.1.-2.5.3, 2.5.5. Во-первых, что подразумевается под созданием объекта инф.структуры? Мы так понимаем это железо+ПО. Если взять тот же Банк России, то мы ничего не создаем, а используем сторонее ПО с уже имещимися механизмами. Тогда на пункты 2.5.1 и 2.5.2 нет оценки? И создание это именно разработка или организация тоже? У нас в том же порядке организации ИР и доступа к ним есть такой пункт: Отдел автоматизации организует ИР путем установки и настройки программных и технических средств. Если понимать создание как разработка, то тогда в пунктах 2.5.3. и 2.5.5. н\о, так как нам Банк России диктует и дает ПО. Если же понимать создание как - организация, то установка и тестирование это наша работа, и получается мы создаем, тогда будет оценка.
Вот пока такие вопросы, и это только начали, а вопросов пока больше чем ответов.
Выскажите ваше мнение по данным вопросам. Заранее благодарен.
Комментарий