Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4
RSS
[ Закрыто ] Новое Положение ФСТЭК. Методы и способы защиты ПДн
Вот это уже хорошая новость :) все более и более вносится ясность
Добрый день, коллеги. Разговаривал сегодня с начальниками отделов сертификации и ТЗИ ФСТЭК. Последний, кстати, как мне сказали, и разрабатывал последнее положения. Привожу краткую сводку того, что удалось выяснить:

1. Сертификация

После 15 марта все СЗИ, применяемые в ИСПДн должны быть сертифицированы, т.к. это единственный на настоящее время легитимный способ оценки соответствия. Однако в настоящее время разрабатывается новое положение в части дикларации соответствия. По словам ФСТЭК создана рабочая группа и его нужно ждать в течение настоящего года. Опять же по словам ФСТЭК будет новая система, аналогичная системе сертификации со всеми вытекающими последствиями.

2. Оценка соответствия ИСПДн

Требований по оценке соответствия ИСПДн больше нет, т.е. не аттестовывать, не декларировать ИСПДн не нужно. (за исключением гос. учреждений, что следует из СТР-К).

3. Лицензия на ТЗКИ (самое интересное)

Если организация сама организовывает защиту, то, по словам ФСТЭК, лицензию получать не нужно(!!!!). Если компания оказывает услуги по защите, то данной организации лицензия нужна. Я переспрашивал данный момент несколько раз. Смысл такой же как и для большинства лицензий: если для собственных нужд - не нужно, если оказываем услуги и получаем за это бабки - нужно.

Поразило дружественность и открытость ФСТЭК. Последними словами были: звоните, если возникнут ещё вопросы, обязательно проконсультируем и поможем разобраться.

PS: телефоны, по которым звонил (есть на официальном сайте):

(495) 696-94-20 (это дежурный) спросить отдел сертификации
(495) 696-18-94 отдел ТЗИ
Это уже что -то... Хотя я ТЗИшник из госоргана как раз... так что СТР-К станет моей настольной книгой... аттестация сниться будет в кошмарах
И ты товарищ будешь наш...
Последняя ссылка нерабочая. Можно как-нибудь продублировать?


Нашел сам. Вот ссылка: http://www.fstec.ru/_docs/doc_781_1.htm

З.Ы.: данное решение сильно порадовало -)
Изменено: Николай - 12.03.2010 13:17:38
по п.3 на что они ссылаются, что лицензия не нужна.
Есть и такая штука... ;)
Вопрос ANTON (модератору) на сообщение от 12.03.2010.
по п.3 на что они ссылаются, что лицензия не нужна.
Здравствуйте!
Пожалуйста, укажите в каком именно пункте СТР-К указано, что аттестация ИСПДн гос. учреждений все же необходима?
Заранее спасибо.
Если я не ошибаюсь, то в пункте 2.2 говорится об учреждениях, которым необходимо аттестоваться
2.1. Настоящий документ устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты конфиденциальной информации на территории Российской Федерации и является основным руководящим документом в этой области для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, предприятий, учреждений и организаций (далее - учреждения и предприятия) независимо от их организационно-правовой формы и формы собственности, должностных лиц и граждан Российской Федерации, взявшим на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации.
2.2. Требования и рекомендации настоящего документа распространяются на защиту:
• конфиденциальной информации - информации с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и ПЕРСОНАЛЬНЫМ ДАННЫМ, содержащейся в государственных (муниципальных) информационных ресурсах, накопленной за счет государственного (муниципального) бюджета и являющейся собственностью государства (к ней может быть отнесена информация, составляющая служебную тайну и другие виды тайн в соответствии с законодательством Российской Федерации, а также сведения конфиденциального характера в соответствии с "Перечнем сведений конфиденциального характера", утвержденного Указом Президента Российской Федерации от 06.03.97 №188), защита которой осуществляется в интересах государства (далее - служебная тайна);
• информации о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющей идентифицировать его личность (персональные данные) (В соответствии с Федеральным законом "Об информации, информатизации и защите информации" режим защиты персональных данных должен быть определен федеральным законом. До его введения в действие для установления режима защиты такой информации следует руководствоваться настоящим документом., за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.)


Вот такой пункт есть в общедоступном СТР-К 2001. Что нибудь изменилось в СТР-К 2002. Если да, то как теперь там звучит этот пункт???
Цитата
Anton пишет:
Добрый день, коллеги. Разговаривал сегодня с начальниками отделов сертификации и ТЗИ ФСТЭК. Последний, кстати, как мне сказали, и разрабатывал последнее положения. Привожу краткую сводку того, что удалось выяснить:



1. Сертификация



После 15 марта все СЗИ, применяемые в ИСПДн должны быть сертифицированы, т.к. это единственный на настоящее время легитимный способ оценки соответствия. Однако в настоящее время разрабатывается новое положение в части дикларации соответствия. По словам ФСТЭК создана рабочая группа и его нужно ждать в течение настоящего года. Опять же по словам ФСТЭК будет новая система, аналогичная системе сертификации со всеми вытекающими последствиями.



2. Оценка соответствия ИСПДн



Требований по оценке соответствия ИСПДн больше нет, т.е. не аттестовывать, не декларировать ИСПДн не нужно. (за исключением гос. учреждений, что следует из СТР-К).



3. Лицензия на ТЗКИ (самое интересное)



Если организация сама организовывает защиту, то, по словам ФСТЭК, лицензию получать не нужно(!!!!). Если компания оказывает услуги по защите, то данной организации лицензия нужна. Я переспрашивал данный момент несколько раз. Смысл такой же как и для большинства лицензий: если для собственных нужд - не нужно, если оказываем услуги и получаем за это бабки - нужно.



Поразило дружественность и открытость ФСТЭК. Последними словами были: звоните, если возникнут ещё вопросы, обязательно проконсультируем и поможем разобраться.



PS: телефоны, по которым звонил (есть на официальном сайте):



(495) 696-94-20 (это дежурный) спросить отдел сертификации

(495) 696-18-94 отдел ТЗИ


Звонил
Сказали: что раз мы ОИГВ (госорган) то никто не может нас заставить получать ЛИЦЕНЗИЮ НА ТЗКИ ДЛЯ СЕБЯ. В инициативном порядке можете получить. Будет ли требовать такую лицензию РосКомНадзор - спросите у него.
Мнение областного роскомнадзора : ЛИЦЕНЗИРУЮТСЯ ПО ТЗКИ АО И РАЗРАБОТЧИКИ СЗКИ . Организации для себя получать не нужно.
Удивляюсь почему касперский не обзаведется такими сертификатами?
какую юридичес
Цитата
Олька пишет:
Прошу прощения за неверную информацию вот



http://company.drweb.com/licenses_and_certificates/



http://www.kaspersky.ru/certificates?year=2009

Почему касперский не обзаведется такими сертификатами?
Какую юридическую силу имеет вот это? http://www.kaspersky.ru/certificates?year=2009 [/QUOTE]

И как суетится дрвеб... как его стстема вообще что то может защищать? ставил я у себя его продукты - по сравнению с касперским его гениальная защита - фарс. Сидит и молча руткиты пропускает. Сносишь его и долечиваешь каспером.
И ты товарищ будешь наш...
Цитата
Сергей пишет:
2.1. Настоящий документ устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты конфиденциальной информации на территории Российской Федерации и является основным руководящим документом в этой области для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, предприятий, учреждений и организаций (далее - учреждения и предприятия) независимо от их организационно-правовой формы и формы собственности, должностных лиц и граждан Российской Федерации, взявшим на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации.2.2. Требования и рекомендации настоящего документа распространяются на защиту:• конфиденциальной информации - информации с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и ПЕРСОНАЛЬНЫМ ДАННЫМ, содержащейся в государственных (муниципальных) информационных ресурсах, накопленной за счет государственного (муниципального) бюджета и являющейся собственностью государства (к ней может быть отнесена информация, составляющая служебную тайну и другие виды тайн в соответствии с законодательством Российской Федерации, а также сведения конфиденциального характера в соответствии с "Перечнем сведений конфиденциального характера", утвержденного Указом Президента Российской Федерации от 06.03.97 №188), защита которой осуществляется в интересах государства (далее - служебная тайна);• информации о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющей идентифицировать его личность (персональные данные) (В соответствии с Федеральным законом "Об информации, информатизации и защите информации" режим защиты персональных данных должен быть определен федеральным законом. До его введения в действие для установления режима защиты такой информации следует руководствоваться настоящим документом., за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.)

Вот такой пункт есть в общедоступном СТР-К 2001. Что нибудь изменилось в СТР-К 2002. Если да, то как теперь там звучит этот пункт???

Да изменилось. аттестация обязательна для гос учреждений. обсуждалось здесь http://ispdn.ru/forum/index.php?PAGE_NAME=read&FID=1&TID=565&PAGEN_2=2
Цитата
Anton пишет:


3. Лицензия на ТЗКИ (самое интересное)



Если организация сама организовывает защиту, то, по словам ФСТЭК, лицензию получать не нужно(!!!!). Если компания оказывает услуги по защите, то данной организации лицензия нужна. Я переспрашивал данный момент несколько раз. Смысл такой же как и для большинства лицензий: если для собственных нужд - не нужно, если оказываем услуги и получаем за это бабки - нужно.



Поразило дружественность и открытость ФСТЭК. Последними словами были: звоните, если возникнут ещё вопросы, обязательно проконсультируем и поможем разобраться.



PS: телефоны, по которым звонил (есть на официальном сайте):



(495) 696-94-20 (это дежурный) спросить отдел сертификации

(495) 696-18-94 отдел ТЗИ

звонила пару минут назад в отдел ТЗИ, отдел лицензирования - оба раза сказали, что лицензия нужна в любом случае, даже при обработке для себя, единственный способ ее не получать - поручить всю работу кому-нибудь другому
печально если это так
1.3. Для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.

Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Вроде здесь написано, что не надо для собственных
До прихода регуляторов осталось ххх дней.
Интересно, а всё это проходило проверку на коррупционную составляющую???
Страницы: Пред. 1 2 3 4
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)