Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 След.
RSS
[ Закрыто ] Каков порядок Аттестации., Есть несколько ИСПДн (2-е ИСПДн Класса 2, 2-е Класса3 )
Цитата
Sintiya пишет:
Подскажите, так всё же нужно ли в обязательном порядке аттестовывать ИСПДн (мед.учреждение, класс К1)?


нет, аттестация давно отменена
Цитата
Гость3 пишет:
Цитата
Sintiya пишет:

Подскажите, так всё же нужно ли в обязательном порядке аттестовывать ИСПДн (мед.учреждение, класс К1)?





нет, аттестация давно отменена

Спа
Цитата
Гость3 пишет:
Цитата
Sintiya пишет:

Подскажите, так всё же нужно ли в обязательном порядке аттестовывать ИСПДн (мед.учреждение, класс К1)?





нет, аттестация давно отменена

Спасибо! Это на основании приказа №58, в котором про аттестацию не упоминается, или есть еще какие-то документы?
Цитата
Sintiya пишет:
Подскажите, так всё же нужно ли в обязательном порядке аттестовывать ИСПДн (мед.учреждение, класс К1)?
Цитата
Гость3 пишет:
нет, аттестация давно отменена
Цитата
Гость пишет:
Спасибо! Это на основании приказа №58, в котором про аттестацию не упоминается, или есть еще какие-то документы?

Sintiya!
Вы абсолютно зря говорите "спасибо" анонимному "Гостю3" который безаппеляционно вводит Вас в заблуждение!

Аттестация отмененена?!?
Когда и кем?
Зачем?
Чьим приказом-указом-постановлением?

Аттестация входила и, пока что, входит составной частью в Систему сертификации средств защиты информации.
И никому пока что в голову не приходило её отменять.

Вы, Sintiya, и то правильно пишете: "...не упоминается..."!
Вот именно: в "Положении...", введённом приказом № 58 аттестация не упоминается.
То есть ваша организация может придумать любой документ, в котором было бы сказано, что защита Вашей ИСПДн соответствует требованиям, предъявляемым к защите ИСПДн 1-го класса, указанным в документах ФСТЭК.
Если у Вас есть лицензия, такой документ Вы можете сочинить сами. Если нет - то Вам это может сочинить лицензиат со стороны.

Но!
Зачем изобретать велосипед?
В СТР-К расписан весь порядок проведения аттестации.
Да, эти требования обязательны для государственных структур, но для других они носят рекомендательный характер.
Почему же Вы не хотите использовать эти рекомендации и разговаривать в последствии с регуляторами на одном языке?
У медиков - латынь, у ФСТЭК - СТР-К. Согласен, очень грубое сравнение, но это первое, что в голову пришло.

Поэтому, проще всего разработать грамотно модель угроз, отмести ненужные, по остальным провести аттестационные испытания в соотвествии с рекомендациями ФСТЭК из СТР-К.
После этого имеет ли смысл итоговый документ назвать как-то иначе, чем "Аттестат соотвествия"?

P.S.
Кстати, лицензиат со стороны (если это грамотный лицензиат) именно так и сделает...
Изменено: Игорь Ю. Шахалов - 02.12.2010 22:42:58
С уважением, Шахалов И.Ю.
Цитата
Игорь Ю. Шахалов пишет:

Sintiya!

Вы абсолютно зря говорите "спасибо" анонимному "Гостю3" который безаппеляционно вводит Вас в заблуждение!



Аттестация отмененена?!?

Когда и кем?

Зачем?

Чьим приказом-указом-постановлением?



Аттестация входила и, пока что, входит составной частью в Систему сертификации средств защиты информации.

У меня тоже возникли эти вопросы.
Но тогда лично мне непонятно, как СТР-К соотносится с защитой ИСПДн. СТРК-К - "Специальные требования и рекомендации по технической защите конфиденциальной информации".
Персональные данные и конфиденциальная информация, АС и ИСПДн - это разве одно и то же?
Да никак не относится. Можно с таким же успехом, что угодно применять, не обязательно ведь, а рекомендательно. Тем более СТР-К документ не прошедший минюст и ДСП.
Изменено: Oleg - 03.12.2010 16:39:34
Цитата
Sintiya пишет:
У меня тоже возникли эти вопросы.
Но тогда лично мне непонятно, как СТР-К соотносится с защитой ИСПДн . СТРК-К - "Специальные требования и рекомендации по технической защите конфиденциальной информации".
Персональные данные и конфиденциальная информация, АС и ИСПДн - это разве одно и то же?
Sintiya, добрый день.
Весьма отрадно (серьёзно - без всякого ёрничанья), что у Вас возникли те же вопросы.
К сожалению. на расширенный ответ пока нет времени, дам ссылку на свою статью:
http://www.npo-echelon.ru/about/articles/licence.php
Почитайте, потом обсудим. хорошо?
С уважением, Шахалов И.Ю.
Здравствуйте..
У меня такой незауряный вопрос:
Наверстал модель угроз, теперь я так понимаю надо согласовать во фстэке.
Куда её высылать и кому? На деревню к дедушке?? =(((
to:Игорь Ю. Шахалов
Цитата
К сожалению. на расширенный ответ пока нет времени, дам ссылку на свою статью:
http://www.npo-echelon.ru/about/articles/licence.php
Почитайте, потом обсудим. хорошо?

Представим «логическую цепочку» нормативно-правовых актов:

Указ 188 => 152 ФЗ => 781 ПП => 128 ФЗ => 504 ПП => Административный регламент ФСТЭК России.


Рассмотрим составные части «цепочки» в интересующем нас аспекте.

Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера».

Это единственный на сегодняшний день документ, определяющий, какие сведения относятся к сведениям конфиденциального характера, то есть являются конфиденциальной информацией. Про персональные данные говорится в первом пункте указанного Перечня.

Федеральный закон Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных».

В соответствии с этим Законом, персональные данные подлежат обязательной защите при обработке их с использованием средств автоматизации, при этом операторы персональных данных обязаны принимать необходимые меры для защиты ПДн при их обработке в информационных системах персональных данных (ИСПДн). Требования к обеспечению безопасности персональных данных устанавливаются Правительством Российской Федерации.

Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

В указанном Положении устанавливаются требования к обеспечению безопасности персональных данных при их обработке в ИСПДн, при этом в п. 3 определяется, что методы и способы защиты информации в информационных системах устанавливаются регуляторами в пределах их полномочий.


Тут все верно.

А вот
Федеральный закон Российской Федерации от 8 августа 2001 года № 128-ФЗ «О лицензировании отдельных видов деятельности».
не пришей собаке хвост.

Термин "деятельность" на основе гражданского кодекса (а кодекс выше фз) встречается только в словосочетании "предпринимательская деятельность"

Гражданское законодательство регулирует отношения между лицами, осуществляющими предпринимательскую деятельность, или с их участием, исходя из того, что предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке.

Таким образом получать лицензию на ТКЗИ для обработки ПДн в рамках своей же организации - не требуется.
Кстати, звонил во ФСТЭК - там мне ответили так же.
По 128-ФЗ

ст.17:
5) деятельность по распространению шифровальных (криптографических) средств;
6) деятельность по техническому обслуживанию шифровальных (криптографических) средств;
7) предоставление услуг в области шифрования информации;
8) разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

Как минимум, п.6 ст.17 128-ФЗ, в случае, если у Вас имеются сертифицированные СКЗИ, и Вы их обслуживаете самостоятельно.
Сергей, вы не правы - смотрете выше описание понятия деятельности.
Если я вот допустим пользуюсь передачей отчетности через интернет...пускай при помощи контур-экстерна. в комплекте к нему идет дистрибутив крипто про. и вот кончился у меня ключ который был на год...нужно продлевать - по вашему это тех обслуживанию криптосредств? А вот слетела винда и я решил переставить её, ну и так же поставил крипто про - это тех обслуживание?
Отвечу сам на эти вопросы - да! это тех обслуживание НО это не деятельность, т.к.
Цитата
является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами
есть осуществление тех обслуживания для себя, нет деятельности по тех обслуживанию
Не знаю как правильно к Вам обратиться - у нас "гостей" много...
Я к тому, кто пишет:
Цитата
...не пришей собаке хвост...
Обычно эта фраза звучит по-другому. Я вот знаю, что к кобыле хвост не пришивают...
Ну, да ладно.

Итак.
Цитата
Гость пишет:
Термин "деятельность" на основе гражданского кодекса (а кодекс выше фз) встречается только в словосочетании "предпринимательская деятельность"
И что?
Уже неоднократно говорилось на всех уровнях, на всех форумах и конференциях (или Вы, "гость" их игнорируете?), что давно назрела необходимость создать глоссарий терминов из различных нормативно-правовых актов!!!
вопрос: Надо приводить в соотвествие друг другу термины из различных заклонов, постановлений и т.п.?
ответ: НАДО!
Спасибо Вам, "гость", за то, что Вы (очевидно, посчитав себя в этой ситуации, как минимум, Колумбом, открывшим Америку) в очередной раз напомнили всем (и так уже это знающим) специалистам, не первый год "варящимся в котле" защиты конфиденциальной информации вообще и защиты ПДн в частности, на это несоответствие.
Ещё раз спасибо!

Обратимся к 128 ФЗ?
Цитата

Статья 1. Сфера применения настоящего Федерального закона
1. Настоящий Федеральный закон регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности в соответствии с перечнем, предусмотренным пунктом 1 статьи 17 настоящего Федерального закона.

Статья 4. Критерии определения лицензируемых видов деятельности
К лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации и регулирование которых не может осуществляться иными методами, кроме как лицензированием.

Статья 5. Определение полномочий Правительства Российской Федерации при осуществлении лицензирования
В целях обеспечения единства экономического пространства на территории Российской Федерации Правительство Российской Федерации в соответствии с определенными Президентом Российской Федерации основными направлениями внутренней политики государства:
- утверждает положения о лицензировании конкретных видов деятельности;
- определяет федеральные органы исполнительной власти, осуществляющие лицензирование конкретных видов деятельности;
- устанавливает виды деятельности, лицензирование которых осуществляется органами исполнительной власти субъектов Российской Федерации.

Статья 17. Перечень видов деятельности, на осуществление которых требуются лицензии
1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:
...
11) деятельность по технической защите конфиденциальной информации;
...

Посмотрим 504 ПП?
Цитата

1. Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации, осуществляемой юридическими лицами и индивидуальными предпринимателями.
2. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.
"Мероприятия" могут быть "предпринимательской деятельностью"?
Или к этому термину относятся всё-таки "услуги"?

Цитата
Таким образом получать лицензию на ТКЗИ для обработки ПДн в рамках своей же организации - не требуется.
Да пожалуйста, флаг Вам в руку!
ОБРАБОТКА ПДн не является лицензируемым видом деятельности.
А вот техническая ЗАЩИТА ПДн (читай - конфиденциальной информации) - эта деятельность подлежит обязательному лицензированию.
Кроме того, чьи ПДн Вы собираетесь обрабатывать в рамках "своей же организации"?
Если только учредителей этой "своей" организации - то возьмите ещё один флаг в другую Вашу руку.
А вот, если наёмных работников - то извините!
Эти ПДн принадлежат не Вам, дорогой Вы наш учредитель.
Не хотите сами получать лицензию - пригласите стороннего лицензиата, благо это черным по-русскому написано в нормативно-правовых актах (подсказать или оставить Вам возможность узнать что-то новое самому?).

Цитата
Кстати, звонил во ФСТЭК - там мне ответили так же.
Если Вы у них спрашивали про ОБРАБОТКУ, то что Вы хотели ещё услышать?
Обоснование такого ответа - смотрите, пожалуйста, выше.

А вот если Вы спрашивали про ЗАЩИТУ и Вам ТАК ответили, то...

ОФИЦИАЛЬНЫЙ ОТВЕТ В СТУДИЮ!

Неужели нету?
Кто бы мог подумать...
С уважением, Шахалов И.Ю.
Вдогонку этому же "гостю".
Цитата
Гость пишет:
Если я вот допустим пользуюсь передачей отчетности через интернет...пускай при помощи контур-экстерна. в комплекте к нему идет дистрибутив крипто про. и вот кончился у меня ключ который был на год...нужно продлевать - по вашему это тех обслуживанию криптосредств?
Это подпадает под п.6 ч.1 ст.17 ФЗ 128:
6) деятельность по техническому обслуживанию шифровальных (криптографических) средств.


Цитата
Гость пишет:
А вот слетела винда и я решил переставить её, ну и так же поставил крипто про - это тех обслуживание?
А вот это подпадает под п.7 ч.1 ст.17 ФЗ 128:
7) предоставление услуг в области шифрования информации


По поводу:
Цитата
есть осуществление тех обслуживания для себя, нет деятельности по тех обслуживанию
Так как мы зашли уже на поляну ФСБ, то смею Вам напомнить, что всё на тех же семинарах и конференциях, а также форумах. представители этой уважаемой организации уже устали повторять, что не предусмотрена только лицензия на эксплуатацию криптосредств, а на распространение, техобслуживание, оказание услуг, а также разработку и производство - будьте любезны, получите специальное разрешение (сиречь - лицензию).
И у ФСБ, кстати, тоже нет понятия "для собственных нужд".
Увы...
Изменено: Игорь Ю. Шахалов - 07.12.2010 19:30:14
С уважением, Шахалов И.Ю.
1. Техническое обслуживание СКЗИ и обработка с использованием СКЗИ для меня разделяемые понятия.
Термины "деятельность" и предпринимательская деятельность", наверное, некорректно отождествлять.
Что Вы возразите на что, что в Положении любого федерального органа власти (исполнительной, судебной, законодательной, ..), утвержденного федеральным законом, приводится термин "деятельность".
Оставим этот вопрос регулятору и юристам.

2. У Вас имеются программно-аппаратные комплексы, реализующие криптозащиту. Возникла необходимость заменить программное обеспечение, Вы что организацию с лицензией будете приглашать или сами переустанавливать ПО будете?
Господа, разъясните, пожалуйста, следующий вопрос!
Порядок аттестации ИСПДн в государственном медицинском учреждении, государственные информационные системы не используются, обработываются ПДн пациентов.
1. Аттестация ИСПДн проводится на соответствие классу по РД АС?
2. Аттестация ИСПДн производится только на соответствие требованиям 58 приказа (не нужно дополнительно классифицировать по РД АС и не нужно вклюячать в программу-методику аттестационныъх испытаний соответствующие требования из РД АС)?
3.Аттестация ИСПДн проводится на соответствие классу РД АС и требованиям 58 приказа, которые дополняют трбования РД АС?
1. Аттестация ИСПДн не обязательна, это исключительно ваше желание и возможность снять большинство вопросов при проверке регуляторами (ФСТЭК и ФСБ), а также освоить лишние деньги.
2. По результатам выдается Аттестат соответствия (вопрос: соответствия чему?) - а вот тут кроме 58 ничего вроде и не подходит.
3. Если вы аттестуете по более высокому классу (РД АС), то естественно и для обработки ПДн такой объект сгодится :)
Интересует вопрос
Цитата
Сергей С. пишет:
аше желание и возможность снять большинство вопросов при проверке регуляторами (ФСТЭК и ФСБ),
желания освоить бюдежет нету. Просто возможна проверка ФСТЭК, где они одним из аспектов проверяют выполнение требований по защите ПДн. Вот и приходится думать, что и как делать.
Какой вариант устроит Регулятора?
Если делать только по 58 приказу - это хорошо, но ведь мы гос учреждение и вроде как нужно СТР-К использовать. Не хотелось бы впадать в лишнюю палемику по этому вопросу - нужно просто понимать по какому пути пойти, чтобы не получить замечаний не нужных (их конечно не избежать, но минимизировать нужно).

Т.е. варианта по которому в аттестате указывается что ИСПДн соответствует требованиям, предъявляемым к классу 1Г по РД АС и К1 как ИСПДн (т.е. по сути двойная классификация) не существует?
Цитата
Просто гость пишет:
1Г по РД АС и К1 как ИСПДн
если по пунктам сравнивать требования к 1Г и к К1, то окажется, что это одни и те же требования))) я слышала, что аттестаты выдают на ИСПДн, но на самом деле аттестат должен быть на АС по РД, ведь даже по СТР-К ПДн - это конфа, которая обрабатывается в АС и аттестуется АС.
Цитата
Просто гость пишет:
Просто возможна проверка ФСТЭК, где они одним из аспектов проверяют выполнение требований по защите ПДн. Вот и приходится думать, что и как делать.
Какой вариант устроит Регулятора?
Исходите из своих финансовых и технических (кадровых)возможностей. Аттестация стоит недешево. Регулятора устроит выполнение его требований - как вы это сделаете решайте сами, есть деньги - аттестуйте.
Господа, вопрос к бывалым!
Что смотрит ФСТЭК при проверке гос учреждения, в том числе и по ПДн.
Сомтрит он на аттестат ИСПДн, если да то по РД АС или по 58 приказу?
Тупо аттестовывать ИСПДн как АС по СТР-К или аттестовывать ИСПДн по требованям 58 приказа?
Что делать-то?
Цитата
Просто гость пишет:
Что делать-то?
Каждое теруправление проверяет по-своему, и то, что прокатило у одного, у другого будет недостатком. Не надо думать о том, на что смотрит ФСТЭК: просто выполняйте требования ФЗ и НПА. Аттестат хорош тем, что он подписан ФСТЭК и написать замечание = признать свою некомпетентность.
Страницы: Пред. 1 2 3 След.
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)