Комментарии 4
Так на что же обратить внимание при сервисной модели? Что это вообще такое - "предоставление СКЗИ по сервисной модели"? Как поделить ответственность в моём конкретном случае? Как проверить, что исполнитель исполняет свою часть? И самое главное - как доказать регулятору, что исполнителю можно доверять?
В посте мы перечисли основные требования по работе с СКЗИ, их распределение между заказчиком и сервис-провайдером, а также подтверждающие документы, которые могут потребоваться при проверке регулятором. Это и есть фундамент доверия к исполнителю.
Теперь понятнее, спасибо. Сбила с толку фраза " Но если мы говорим о программных СКЗИ, например, о VPN-клиентах, то получается, что опечатывать нужно уже ноутбук или системный блок". Не укладывалась она по моему мнению в понятие "сервисной модели".
Сама сервисная модель подразумевает использование КС3 в силу доступа к оборудованию третьего лица, что, как мне кажется, не всегда есть самое желанное решение. Существуют ли соображения, которые позволят не использовать КС3 при сервисной модели?
Также глубоко озадачили слова про "дополнительный регламент между заказчиком и исполнителем". 152-ФАПСИ все читали, а вот дополнительный регламент - это как раз самое интересное. Можете в одной из следующих статей привести структуру?
В мире программно-аппаратных комплексов КС3 выбран как стандарт де-факто, так как он больше всего пользуется спросом. Это помогает унифицировать ЗИП на складах, инструкции и другую документацию. Будет спрос на другие классы защиты — возьмём в проработку.
Про регламент подумаем — спасибо за идею:) Он обычно пишется под заказчика, но какую-то базу, наверное, сможем описать.
Полный compliance: на что обратить внимание при предоставлении СКЗИ по сервисной модели