Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

ЦОД ядра системы «Мир» построен на Эльбрусах и Рубиконах

18/02/2018

С момента провозглашения курса на импортозамещение замена зарубежных продуктов и решений, формирующих ИТ-инфраструктуру российских предприятий, на отечественные разработки стала одной из постоянно обсуждаемых тем.

Реклама

Партнеры

Лаборатория кибербезопасности



Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4
Ответить
RSS
Новое Положение ФСТЭК. Методы и способы защиты ПДн
Вот это уже хорошая новость :) все более и более вносится ясность
Добрый день, коллеги. Разговаривал сегодня с начальниками отделов сертификации и ТЗИ ФСТЭК. Последний, кстати, как мне сказали, и разрабатывал последнее положения. Привожу краткую сводку того, что удалось выяснить:

1. Сертификация

После 15 марта все СЗИ, применяемые в ИСПДн должны быть сертифицированы, т.к. это единственный на настоящее время легитимный способ оценки соответствия. Однако в настоящее время разрабатывается новое положение в части дикларации соответствия. По словам ФСТЭК создана рабочая группа и его нужно ждать в течение настоящего года. Опять же по словам ФСТЭК будет новая система, аналогичная системе сертификации со всеми вытекающими последствиями.

2. Оценка соответствия ИСПДн

Требований по оценке соответствия ИСПДн больше нет, т.е. не аттестовывать, не декларировать ИСПДн не нужно. (за исключением гос. учреждений, что следует из СТР-К).

3. Лицензия на ТЗКИ (самое интересное)

Если организация сама организовывает защиту, то, по словам ФСТЭК, лицензию получать не нужно(!!!!). Если компания оказывает услуги по защите, то данной организации лицензия нужна. Я переспрашивал данный момент несколько раз. Смысл такой же как и для большинства лицензий: если для собственных нужд - не нужно, если оказываем услуги и получаем за это бабки - нужно.

Поразило дружественность и открытость ФСТЭК. Последними словами были: звоните, если возникнут ещё вопросы, обязательно проконсультируем и поможем разобраться.

PS: телефоны, по которым звонил (есть на официальном сайте):

(495) 696-94-20 (это дежурный) спросить отдел сертификации
(495) 696-18-94 отдел ТЗИ
Это уже что -то... Хотя я ТЗИшник из госоргана как раз... так что СТР-К станет моей настольной книгой... аттестация сниться будет в кошмарах
И ты товарищ будешь наш...
Последняя ссылка нерабочая. Можно как-нибудь продублировать?


Нашел сам. Вот ссылка: http://www.fstec.ru/_docs/doc_781_1.htm

З.Ы.: данное решение сильно порадовало -)
Изменено: Николай - 12.03.2010 13:17:38
по п.3 на что они ссылаются, что лицензия не нужна.
Есть и такая штука... ;)
Вопрос ANTON (модератору) на сообщение от 12.03.2010.
по п.3 на что они ссылаются, что лицензия не нужна.
Здравствуйте!
Пожалуйста, укажите в каком именно пункте СТР-К указано, что аттестация ИСПДн гос. учреждений все же необходима?
Заранее спасибо.
Если я не ошибаюсь, то в пункте 2.2 говорится об учреждениях, которым необходимо аттестоваться
2.1. Настоящий документ устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты конфиденциальной информации на территории Российской Федерации и является основным руководящим документом в этой области для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, предприятий, учреждений и организаций (далее - учреждения и предприятия) независимо от их организационно-правовой формы и формы собственности, должностных лиц и граждан Российской Федерации, взявшим на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации.
2.2. Требования и рекомендации настоящего документа распространяются на защиту:
• конфиденциальной информации - информации с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и ПЕРСОНАЛЬНЫМ ДАННЫМ, содержащейся в государственных (муниципальных) информационных ресурсах, накопленной за счет государственного (муниципального) бюджета и являющейся собственностью государства (к ней может быть отнесена информация, составляющая служебную тайну и другие виды тайн в соответствии с законодательством Российской Федерации, а также сведения конфиденциального характера в соответствии с "Перечнем сведений конфиденциального характера", утвержденного Указом Президента Российской Федерации от 06.03.97 №188), защита которой осуществляется в интересах государства (далее - служебная тайна);
• информации о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющей идентифицировать его личность (персональные данные) (В соответствии с Федеральным законом "Об информации, информатизации и защите информации" режим защиты персональных данных должен быть определен федеральным законом. До его введения в действие для установления режима защиты такой информации следует руководствоваться настоящим документом., за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.)


Вот такой пункт есть в общедоступном СТР-К 2001. Что нибудь изменилось в СТР-К 2002. Если да, то как теперь там звучит этот пункт???
Цитата
Anton пишет:
Добрый день, коллеги. Разговаривал сегодня с начальниками отделов сертификации и ТЗИ ФСТЭК. Последний, кстати, как мне сказали, и разрабатывал последнее положения. Привожу краткую сводку того, что удалось выяснить:



1. Сертификация



После 15 марта все СЗИ, применяемые в ИСПДн должны быть сертифицированы, т.к. это единственный на настоящее время легитимный способ оценки соответствия. Однако в настоящее время разрабатывается новое положение в части дикларации соответствия. По словам ФСТЭК создана рабочая группа и его нужно ждать в течение настоящего года. Опять же по словам ФСТЭК будет новая система, аналогичная системе сертификации со всеми вытекающими последствиями.



2. Оценка соответствия ИСПДн



Требований по оценке соответствия ИСПДн больше нет, т.е. не аттестовывать, не декларировать ИСПДн не нужно. (за исключением гос. учреждений, что следует из СТР-К).



3. Лицензия на ТЗКИ (самое интересное)



Если организация сама организовывает защиту, то, по словам ФСТЭК, лицензию получать не нужно(!!!!). Если компания оказывает услуги по защите, то данной организации лицензия нужна. Я переспрашивал данный момент несколько раз. Смысл такой же как и для большинства лицензий: если для собственных нужд - не нужно, если оказываем услуги и получаем за это бабки - нужно.



Поразило дружественность и открытость ФСТЭК. Последними словами были: звоните, если возникнут ещё вопросы, обязательно проконсультируем и поможем разобраться.



PS: телефоны, по которым звонил (есть на официальном сайте):



(495) 696-94-20 (это дежурный) спросить отдел сертификации

(495) 696-18-94 отдел ТЗИ


Звонил
Сказали: что раз мы ОИГВ (госорган) то никто не может нас заставить получать ЛИЦЕНЗИЮ НА ТЗКИ ДЛЯ СЕБЯ. В инициативном порядке можете получить. Будет ли требовать такую лицензию РосКомНадзор - спросите у него.
Мнение областного роскомнадзора : ЛИЦЕНЗИРУЮТСЯ ПО ТЗКИ АО И РАЗРАБОТЧИКИ СЗКИ . Организации для себя получать не нужно.
Удивляюсь почему касперский не обзаведется такими сертификатами?
какую юридичес
Цитата
Олька пишет:
Прошу прощения за неверную информацию вот



http://company.drweb.com/licenses_and_certificates/



http://www.kaspersky.ru/certificates?year=2009

Почему касперский не обзаведется такими сертификатами?
Какую юридическую силу имеет вот это? http://www.kaspersky.ru/certificates?year=2009 [/QUOTE]

И как суетится дрвеб... как его стстема вообще что то может защищать? ставил я у себя его продукты - по сравнению с касперским его гениальная защита - фарс. Сидит и молча руткиты пропускает. Сносишь его и долечиваешь каспером.
И ты товарищ будешь наш...
Цитата
Сергей пишет:
2.1. Настоящий документ устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты конфиденциальной информации на территории Российской Федерации и является основным руководящим документом в этой области для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, предприятий, учреждений и организаций (далее - учреждения и предприятия) независимо от их организационно-правовой формы и формы собственности, должностных лиц и граждан Российской Федерации, взявшим на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации.2.2. Требования и рекомендации настоящего документа распространяются на защиту:• конфиденциальной информации - информации с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и ПЕРСОНАЛЬНЫМ ДАННЫМ, содержащейся в государственных (муниципальных) информационных ресурсах, накопленной за счет государственного (муниципального) бюджета и являющейся собственностью государства (к ней может быть отнесена информация, составляющая служебную тайну и другие виды тайн в соответствии с законодательством Российской Федерации, а также сведения конфиденциального характера в соответствии с "Перечнем сведений конфиденциального характера", утвержденного Указом Президента Российской Федерации от 06.03.97 №188), защита которой осуществляется в интересах государства (далее - служебная тайна);• информации о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющей идентифицировать его личность (персональные данные) (В соответствии с Федеральным законом "Об информации, информатизации и защите информации" режим защиты персональных данных должен быть определен федеральным законом. До его введения в действие для установления режима защиты такой информации следует руководствоваться настоящим документом., за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.)

Вот такой пункт есть в общедоступном СТР-К 2001. Что нибудь изменилось в СТР-К 2002. Если да, то как теперь там звучит этот пункт???

Да изменилось. аттестация обязательна для гос учреждений. обсуждалось здесь http://ispdn.ru/forum/index.php?PAGE_NAME=read&FID=1&TID=565&PAGEN_2=2
Цитата
Anton пишет:


3. Лицензия на ТЗКИ (самое интересное)



Если организация сама организовывает защиту, то, по словам ФСТЭК, лицензию получать не нужно(!!!!). Если компания оказывает услуги по защите, то данной организации лицензия нужна. Я переспрашивал данный момент несколько раз. Смысл такой же как и для большинства лицензий: если для собственных нужд - не нужно, если оказываем услуги и получаем за это бабки - нужно.



Поразило дружественность и открытость ФСТЭК. Последними словами были: звоните, если возникнут ещё вопросы, обязательно проконсультируем и поможем разобраться.



PS: телефоны, по которым звонил (есть на официальном сайте):



(495) 696-94-20 (это дежурный) спросить отдел сертификации

(495) 696-18-94 отдел ТЗИ

звонила пару минут назад в отдел ТЗИ, отдел лицензирования - оба раза сказали, что лицензия нужна в любом случае, даже при обработке для себя, единственный способ ее не получать - поручить всю работу кому-нибудь другому
печально если это так
1.3. Для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.

Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Вроде здесь написано, что не надо для собственных
До прихода регуляторов осталось ххх дней.
Интересно, а всё это проходило проверку на коррупционную составляющую???
El acuerdo concluido después de la Copa Mundial en 1998.Kappa Presidente Marco Boglione dice:"Elegimos la Jamaica, porque la misma razón que hemos realizado desde hace muchos a?os". Creemos que es un maglia calcio buen país, hay gente buena con buena imagen del mundo, especialmente entre los jóvenes y un promotor del punto de vista, es equipo de crecimiento, a excepción de los últimos a?os donde maglia real madrid 2012 hubo algunos problemas."Pero creemos más fútbol jamaiquino y jugadores jamaicanos y creemos que Jamaica hacerse bien en los próximos a?os y, por supuesto, en la Copa del mundo".Jamaica Reggae Boyz, que abrió maglia inter su campa?a en la clasificación mundial de la CONCACAF será el 15 de junio contra las Bahamas a Kingston, concentrar su nuevo uniforme de Kappa y luego, tan pronto después de la firma de ayer , empresa s dise?ador un comOSCE para trabajar con el Secretario General de la JFF, Horace Reid.Hargitay es también asesor de strategia la FA desde el a?o pasado.
Страницы: Пред. 1 2 3 4
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку