Соблюдение нормативных требований в области криптографии – вечная тема. Давно не менявшаяся нормативная база и возможность различной интерпретации формулировок порождают только споры и сомнения. С появлением сервисной модели в ИБ вопросов стало еще больше. Можно ли в принципе передать часть обязанностей по обслуживанию средств криптографической защиты информации (СКЗИ) сервис-провайдеру? Как это правильно оформить и чем потом подтвердить комплаенс? Попробуем разобраться в этом посте.
Все, что описано ниже, затрагивает только защиту конфиденциальной информации. Защита государственной тайны отдельная тема и в статье не рассматривается.