Организационно-штатные мероприятия обеспечения деятельности удостоверяющего центра

Юрий Маслов,
коммерческий директор ООО "КРИПТО-ПРО"


Для обеспечения своей деятельности в качестве удостоверяющего центра организация строит систему в виде комплекса организационно-штатных мероприятий, технических и программных средств, которые и будут рассмотрены в настоящей статье.

Функциональные роли рабочей группы

Сначала разрабатывается и утверждается положение об удостоверяющем центре организации. Данный локальный нормативный акт закрепляет структурное подразделение или рабочую группу из числа сотрудников организации, которые будут обеспечивать выполнение деятельности организации как удостоверяющего центра.

Чаще всего используется форма рабочей группы, включающей в себя следующие основные функциональные роли:

1. Руководитель удостоверяющего центра - это сотрудник, который осуществляет общее руководство деятельностью рабочей группы. Как правило, эта роль назначается руководителю подразделения, ответственного за информационную безопасность в организации.
2. Уполномоченное лицо удостоверяющего центра - это сотрудник, являющийся владельцем закрытого ключа подписи и сертификата ключа подписи удостоверяющего центра (технически - центра сертификации). Уполномоченное лицо выполняет обязанности руководителя удостоверяющего центра в отсутствие последнего. Как правило, эта роль назначается руководителю ИТ-подразделения организации.
3. Администратор специального программного обеспечения - сотрудник, который отвечает за настройку и эксплуатацию специального программного обеспечения удостоверяющего центра и средств криптографической защиты информации, подключает операторов удостоверяющего центра и контролирует их деятельность. Как правило, эта роль назначается сотруднику подразделения, ответственного за информационную безопасность в организации и прошедшего обучение на специальных курсах в учебном центре.
4. Администратор безопасности и аудита - сотрудник, который отвечает за контроль по эксплуатации специального программного обеспечения удостоверяющего центра и средств криптографической защиты информации. Администратор безопасности и аудита выполняет обязанности администратора специального программного обеспечения в отсутствие последнего. Как правило, эта роль также назначается сотруднику подразделения, ответственного за информационную безопасность в организации и прошедшего обучение на специальных курсах в учебном центре.
5. Оператор удостоверяющего центра - сотрудник, который непосредственно изготавливает ключи подписей, выдает сертификаты ключей подписей пользователям удостоверяющего центра, то есть непосредственно оказывает услуги удостоверяющего центра. Эта роль назначается сотруднику организации, который в сфере других бизнес-задач взаимодействует с пользователями информационных систем, владельцем которых является организация.
6. Системный администратор удостоверяющего центра -сотрудник, который отвечает за работоспособность технических средств и общесистемного программного обеспечения удостоверяющего центра. Как правило, эта роль назначается сотруднику ИТ-подразделения организации.

В процессе своей деятельности рабочая группа удостоверяющего центра взаимодействует с другими структурными подразделениями организации, например, с правовым департаментом для разработки или уточнения и совершенствования регламентов деятельности удостоверяющего центра, с канцелярией для учета и обработки входящей и исходящей корреспонденции удостоверяющего центра.

Рекомендации

В соответствии с положением об удостоверяющем центре организации и утвержденной структуре разрабатываются и утверждаются функциональные инструкции обслуживающего персонала удостоверяющего центра и издаются приказы о назначении сотрудников.

Для повышения устойчивости в работе удостоверяющего центра рекомендуется разработать технологические карты деятельности для операторов удостоверяющего центра, так как операторы относятся к наиболее неустойчивой кадровой группе персонала - они часто увольняются. Технологические карты операторов содержат подробное описание порядка действий по регистрации пользователей и изготовлению им ключей подписей и сертификатов ключей подписей вплоть до описания действий на специальном программном обеспечении (АРМ администратора центра регистрации). Такие технологические карты (технологические инструкции) позволяют новым сотрудникам быстро подключиться к работе и начать обслуживание пользователей.