Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 4 След.
Ответить
RSS
Лицензия по тех. защите конфидец. информации
Здравствуйте, коллеги.

Хотим получить лицензию на деятельность по технической защите конфиденциальной информации (она ведь нужна для предоставления услуг по защит ПД?).

Сказали, что на сайте ФСТЭК есть регламенты, в которых описано какие документы и куда нужно отсылать, но что-то там ничего не нашел... Не подскажете, что делать для ее получения?
На сайте ФСТЭК все есть :). Вам в частности необходимо смотреть это:
Положение о лицензировании деятельности по технической защите конфиденциальной информации
Утверждено постановлением Правительства Российской Федерации от 15 августа 2006 г. № 504

http://www.fstec.ru/_razd/_lico.htm
Изменено: Денис - 02.07.2009 17:42:00
8)
Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации


Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по разработке и (или) производству средств защиты конфиденциальной информации

:!:
На сайте ФСТЭК всЁ есть! Но очень мого подводных камней!
Добрый вечер, коллеги! Такой вопрос: если компания нанимает кого-то интегратора для разработки СЗПДн (ИСПДн) и у этого интегратора есть лицензия на ТЗКИ, то самой компании нужно получать лицензию? Просто не совсем понятно написано в п. 3.14 основных мероприятий: "операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн ...". А если сам оператор не проводит данных мероприятий, а отдаёт их третьей стороне (интегратору)?
Цитата
Anton пишет:
А если сам оператор не проводит данных мероприятий, а отдаёт их третьей стороне (интегратору)?
Если Вы отдаете интегратору только создание системы защиты, и Вам требуется иметь лицензию по ТЗКИ по классу ИСПДн - то Вам следует получать данную лицензию (по мнению ФСТЭК)

Если Вы отдаете на аутсорсинг всю обработку ПДн или заключаете договор аутсорсинга защиты информации Вашей ИСПДн - то тогда лицензия на ТЗКИ должна быть только у аутсорсера. Создание подобных "МТС" была предложена ФСТЭК, как один из путей минимизации расходов для малого бизнеса.
Хотелось обратить внимание, что при построении системы защиты, необходимо заранее предполагать возможность передачи защиты ПДн сторонней компании, поскольку модель нарушителя при этом меняется по сравнению с "классическим" подходом защиты.
Каковы фактические сроки получения лицензии, каковы трудозатраты и экономические затраты? Как можно ускорить процесс получения лицензии?
Реальные сроки и стоимость с нуля и под ключ - порядка 200 тыс. рублей и порядка 3 месяцев соответственно.
Цитата
Валентин Цирлов пишет:
порядка 200 тыс. рублей
Это, если я правильно понял, в случае привлечения сторонней Компании, а если самим?
Цитата
Валентин Цирлов пишет:
Реальные сроки и стоимость с нуля и под ключ - порядка 200 тыс. рублей и порядка 3 месяцев соответственно.

А сюда входит затраты на обучение минимум двух специалистов (72 часа - курсы, посчитайте сколько это в Информзащите той же стоит) и аттестацию объекта информатизации (выделенного помещения или отдельного компьютера с комнатой - каждое минимум 70-80 тысяч, включая закупку сертифицированных средств защиты типа SecretNet). ;-)


Если самостоятельно, то 4-6 месяцев и стоимость обучения плюс аттестации.
Цитата
Anton пишет:
Владимир Каменский
ТОгда бесплатно :D , если не считать вашу зарплату, время и необходимые другие факторы (при их наличии)... 8)
Интересное изречение про 200 тыс.руб за лицензию "под ключ"...
Нам тоже очень хочется получить лицензию на деятельность по ТЗКИ (в частности необходимо всего лишь консультировать по ПДн). Но как пояснили нам в юр.фирмах для этого необходимо иметь:
1. Аттестованное выделенное помещение
2. Какое то производственное, испытательное и т.п. оборудование (причем прошедшее поверку)...что за оборудование?причем насколько я читал положение, его можно и арендовать!
3. Сертифицированный комп с СЗИ...
4. Нормативно-методическая документация и разработанная внутренняя документация.
ну и по мелочи.
короче если под ключ то все это дело под ключ, то никак в 200 не уложимся! 4 сотни набегает примерно!
У кого есть лицензия помогите! объясните что реально необходимо?
Изменено: Сергей - 17.09.2009 15:26:38
Для получения лицензии Вам необходимо просмотреть регламент про который говорили, оборудование НЕНУЖНО если вы не будете измерять технические каналы утечки информации (потребуются только программы) аттестация нужна защищаемого помещения (для переговоров) и АРМ для обработки - работы по аттестации около 35000 за оба + средства защиты около 20000, в зависимости от защищаемого помещения. Если Вас будут готовить, то у нас это стоило последний раз 50000руб. Андрей - orlov1929@mail.ru
Цитата
Андрей пишет:
работы по аттестации около 35000 за оба
Себестоимость работ по аттестации АРМ в среднем оценивается сейчас в 60 тыс. за 1 ПЭВМ (при терминальном доступе чуть меньше по совокупности). Если работы провели в районе 20тыс. за 1 ПЭВМ, не сомневайтесь, что работа имитировалась (физически не успеют выполнить проверки и оформить все материалы).
Сообщите название аттестационного центра, пожалуйста. Позвоним, чтобы они поделились опытом.
Цитата
власиха пишет:
Если работы провели в районе 20тыс. за 1 ПЭВМ
Ну это же лен.область, там аренда нулевая, зарплаты не те, фстэк и фсб редко наведывается..
кроме того, работы выполнял не орган аттестации..
Цитата
Сергей пишет:
Интересное изречение про 200 тыс.руб за лицензию "под ключ"...

Нам тоже очень хочется получить лицензию на деятельность по ТЗКИ (в частности необходимо всего лишь консультировать по ПДн). Но как пояснили нам в юр.фирмах для этого необходимо иметь:

1. Аттестованное выделенное помещение

2. Какое то производственное, испытательное и т.п. оборудование (причем прошедшее поверку)...что за оборудование?причем насколько я читал положение, его можно и арендовать!

3. Сертифицированный комп с СЗИ...

4. Нормативно-методическая документация и разработанная внутренняя документация.

ну и по мелочи.

короче если под ключ то все это дело под ключ, то никак в 200 не уложимся! 4 сотни набегает примерно!

У кого есть лицензия помогите! объясните что реально необходимо?


ну я бы добавил что надо иметь еще и диплом с правильным образованием .... или курсы ... которые минимально стоят около 25000 рублей в цби. в качестве средств измерения - 4 программки придется купить - а то потом могут быть сложности - а оборудование измерения "излучений" можно арендовать ....

а вообще все правильно сказано - а что так вызывает панику ?
ничего в этом страшного нет - процедура полностью накатана

за 35000 как пишет андрей - профанация .... товарищ просто пытается видимо заработать побыстрому ....

в свое время когда делали спецпроверки - некоторые лаборатории тоже халявили - делали один снимок и остальные тиражировали ..... а проверка пришла и повесила все снимки пачкой - посмотреть что там такое - а снимки один в один ..... шуму то было .....



в 200 уложиться можно - ну чуть дороже ....
35 тыщ...
хм вопрос конечно интересный в принципе возможно, поймите вам же нужен ВСЕ РАВНО КАКАЯ МАШИНА, ЛИШЬ АТТЕСТОВАНА, сделайте 3Б поставьте ее в подвал чтоб генератор ставить не надо было, и помещение защищаемое так же без мебели и окон, а в качестве освещения одна лампачка накаливания. В таком виде влезть реально. А вот насчет без аппаратуры ПЭМИН и акуустики не знаю, я не знаю каким образом можно лицензию получить.
Чем гадать на кофейной гуще, обратитесь в Управление ФСТЭК России по СЗФО, оказание методической помощи в этом вопросе бесплатное!!!

Согласен с А.Орловым, нужен минимально необходимый "набор":

""Для получения лицензии Вам необходимо просмотреть регламент про который говорили, оборудование НЕНУЖНО если вы не будете измерять технические каналы утечки информации (потребуются только программы) аттестация нужна защищаемого помещения (для переговоров) и АРМ для обработки - работы по аттестации около 35000 за оба + средства защиты около 20000, в зависимости от защищаемого помещения. Если Вас будут готовить, то у нас это стоило последний раз 50000руб. Андрей - orlov1929@mail.ru""

- обращайтесь к нему за советом.

Евгений В. Казаков,
начальник ИАО, Управление ФСТЭК России по СЗФО
(812) 571-5384
Цитата
Сергей пишет:
Нам тоже очень хочется получить лицензию на деятельность по ТЗКИ (в частности необходимо всего лишь консультировать по ПДн)...
1. Аттестованное выделенное помещение
2. Какое то производственное, испытательное и т.п. оборудование (причем прошедшее поверку)...что за оборудование?причем насколько я читал положение, его можно и арендовать!
3. Сертифицированный комп с СЗИ...
4. Нормативно-методическая документация и разработанная внутренняя документация.
У кого есть лицензия помогите! объясните что реально необходимо?

Уважаемые коллеги, здравствуйте!

Постараюсь ответить Сергею.

По п.1. Вам потребуется аттестованное защищенное помещение. Разница с выделенным небольшая, но нормативы несколько другие. Отсюда и стоимость аттестации, как правило, ниже.

По п.2. Если Вы планируете "всего лишь консультировать по ПДн", то так и напишите в пояснительной записке, которая должна быть приложена к заявке. В этом случае аппаратура Вам не нужна.
Кстати! Вопрос аренды аппаратуры и документов весьма скользкий - арендодатель сам остается без аппаратуры и документов, следовательно, лицензия его под угрозой...

По п.3. Не "сертифицированный", а аттестованный компьютер, вернее - объект вычислительной техники (ОВТ). Да и со средствами защиты не все однозначно - исследования на ПЭМИН (равно как и защита от них) далеко не всегда требуется при аттестации по ТЗКИ.

По п.4. Нормативно-методическая документация ограниченного пользования приобретается через ФСТЭК. Номенклатуру внутренней документации (минимально необходимой для аттестации) и ее "образцы" можно взять у органа по аттестации или у лицензиата, который "всего лишь консультирует по ПДн" (с).

Дополнительно.

1. Как абсолютно верно добавил Михаил Романов, требуется еще и документ об образовании и (или) повышении квалификации (переподготовке).
Есть только одно уточнение. Таких специалистов должно быть не менее ДВУХ, т.к. в ПП 504 от 15.08.06 четко указано в перечне лицензионных требований:
"...-наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации..."

2. Все ПО на аттестованном ОВТ должно быть лицензионным.

3. Проще обратиться к опытному лицензиату ФСТЭК, который оказывает консалтинговые услуги по подготовке соискателей к получению лицензии ФСТЭК по ТЗКИ - съэкономите по крайней мере время и нервы.
Подготовить правильно пакет документов во ФСТЭК не у всех получается с первого раза.

Кстати, ЗАО "НПО "Эшелон" это делает неплохо.
Обращайтесь!
С уважением, Шахалов И.Ю.
Страницы: 1 2 3 4 След.
Ответить
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)
Форма ответов
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.