Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 4 5 ... 9 След.
Ответить
RSS
Антибаян (лицензия ТЗКИ)
Тема навязла в зубах. И многие будут кидать в меня помидорами, поэтому я инкогнито.
Вот мнение, способное мотивированно успокоить миллионы операторов, и заслуживающее внимания

http://tzki.okis.ru/

Оно специально туда положено, и там больше ничего нет. НЕ знаю сколько проживет.
Не призываю ни к флейму, ни к комментсам. А просто - люди, операторы! Подумайте своей головой, включите логику - какая еще лицензия? Работайте себе спокойно!
Волчинская, конечно, известный авторитет для ФСБ и ФСТЭК! Ржу не могу!
Довольно занятно, спасибо :)
НТЦ "Квазар"
Да, а еще наверно можно и без сертифицированных средств обойтись ;)
Было бы смешно, еслиб это все было так, как описано в статье. Не надо лицензию, можно самостоятельно оценивать необходимую систему защиты. Да по второму пункту все скажут: "а ничего не случится, мы никому не нужны, по этому и защищать не будем".
А по моему дельно написано. Механизм должен работать по принципу рисков, есть риск, защищаем, риск реализовался, штраф.
"а также определить степень соответствия собственной информационной системы персональных данных требованиям по безопасности информации с учетом требований федерального законодательства."

Это получается я могу сам атестовывать свою систему ? :D
Максим Репин
Вот именно по такому принципу у нас все и работает в стране.
Зачем профилактика правонарушений нужна, когда можно нарушителя поймать и посадить? Зачем нужна профилактика здоровья, когда заболеет, тогда и вылечим ;)
А теперь ответьте на такой вопрос. Вы сообщаете в МВД, что вас хотят убить, но вам отвечают, что преступления еще не было, когда убьют, тогда они и будут работать. Вас такой сценарий событий устраивает?
Меня бы лично это не устроило. С ПДн такая же история, риск есть всегда, просто мало кто их оценивает здраво. 80-90% владельцев информации не могут оценить ее важность, они думают, что ничего особенного они не обрабатывают.
Изменено: Андрей - 06.04.2011 11:51:13
Цитата
Да по второму пункту все скажут: "а ничего не случится, мы никому не нужны, по этому и защищать не будем".
Именно так и говорят. Все вменяемые люди доброй воли понимают, что есть защита от закона, а есть защита критической информации. И в настоящий момент первое - важнее для бизнеса и собственных (седалищных в том числе) нервов. И НИКТО ситуацию переомить не сможет, пока не замаячит реальная угроза возмездия. Пока блистающий меч правосудия не сверкнет красным лучом! Так что не надо петь военных песен про лицензии и пр. Кому надо - давно сделал эффективную СЗИ без всяких сретификаций и лицензирования. Точка.
Цитата
Семен пишет:
эффективную СЗИ без всяких сретификаций и лицензирования
:!: :!: :!:
Цитата
Семен пишет:
... Кому надо - давно сделал эффективную СЗИ...
Вот тут, рискуя нарваться на бан за флуд, но +100
Андрей
Ну что Вы глупости говорите. Есть даже система управления рисками и прочие штуки. Если вы придете в нашу милицию, то вам так и скажут, когда убьют тогда приходите 8) . А серьезно, как написано выше, кому надо, те уже все сделали, а искусственно насаждать проГТшные стандарты и меры, которые ничего не гарантируют, это бред.
Возник вопрос: входит ли ТЗКИ в техническое обслуживание СВТ? ГОСТ18322-78 «Система технического обслуживания и ремонта техники»определяет систему технического обслуживании и ремонта техники, как совокупность взаимосвязанных средств, документации технического обслуживания и ремонта и исполнителей, необходимых для поддержания и восстановления качества изделии, входящих в эту систему.
Для СВТ:
1. Обеспечение работоспособности средств вычислительной техники. Контроль работоспособности и прогнозирование потребностей в обновлении парка или составных частей СВТ.
2. Обеспечение работоспособности операционных систем и прикладного программного обеспечения, их администрирование и обновление.
3. Обеспечение целостности, сохранности и работоспособности информационных массивов. Администрирование,архивирование, обеспечение их защиты от вирусов и других искажающих действий - ТЗКИ в чистом виде.
4. Обеспечение работоспособности периферийного, сетевого и коммуникационного оборудования.

Если все верно, то:
ФЗ от 26.12.2008 г. N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля"
Статья 3. Принципы защиты прав юридических лиц, индивидуальных предпринимателей при осуществлении государственного контроля (надзора), муниципального контроля
6) недопустимость требования о получении юридическими лицами, индивидуальными предпринимателями разрешений, заключений и иных документов, выдаваемых органами государственной власти, органами местного самоуправления, для начала осуществления установленных настоящим Федеральным законом отдельных видов работ, услуг в случае представления указанными лицами уведомлений о начале осуществления предпринимательской деятельности;

Статья 8. Уведомление о начале осуществления отдельных видов предпринимательской деятельности
1. Юридические лица, индивидуальные предприниматели обязаны уведомить о начале осуществления отдельных видов предпринимательской деятельности уполномоченный Правительством Российской Федерации в соответствующей сфере федеральный орган исполнительной власти (далее в настоящей статье - уполномоченный федеральный орган исполнительной власти).
2. Уведомление о начале осуществления отдельных видов предпринимательской деятельности представляется юридическими лицами, индивидуальными предпринимателями, осуществляющими выполнение работ и услуг в соответствии с утвержденным Правительством Российской Федерации перечнем (ПП от 16.07. 2009 г. N 584 "Об уведомительном порядке начала осуществления отдельных видов предпринимательской деятельности") работ и услуг в составе следующих видов деятельности:
13) деятельность, связанная с использованием вычислительной техники и информационных технологий (за исключением указанной деятельности, осуществляемой в целях защиты государственной тайны); (Техническое обслуживание и ремонт офисных машин и вычислительной техники, включая контрольно-кассовую технику)

Вот вам и ТЗКИ для собственных нужд.
Не видно как то вывода. А в приведенной последовательности аргументов - тем более.
Сергей С.
Согласен с Гостем, сумбурное у Вас мыслеизъявление... структурируйте что ли :o
Статья управления Роскомнадзора по Камчатскому краю от 14.12.2010
http://41.rsoc.ru/directions/personal_data/pd0002/
Цитата
Для проведения собственными силами мероприятий по обеспечению безопасности персональных данных для специальных информационных систем, систем 1-го и 2-го класса и распределенных (например, подключенных к Ин­тернету) систем 3-го класса операторы обязаны в уста­новленном порядке получить лицензию ФСТЭК России на деятельность по технической защите конфиденциаль­ной информации. Для применения криптографических средств защиты персональных данных (в том числе для изготовления ключей или сертификатов), в зависимости от планируемых действий, потребуются различные ли­цензии ФСБ России, регламентирующие работы в обла­сти криптографической защиты информации.
Цитата
В соответствии с вышеуказанным постановлением, а также в соответствии с документом ФСТЭК «Основные мероприятия по организации и техническому обеспе­чению безопасности персональных данных, обрабаты­ваемых в информационных системах персональных дан­ных», утвержденным 15.02.2008, в организациях должны проводиться следующие мероприятия по обеспечению безопасности персональных данных при обработке в информационных системах:
Про 58 ФЗ там не слышали, так что получайте лицензию :)
НТЦ "Квазар"
Цитата
Без наличия соответствующих лицензий проведение мероприятий по защите персональных данных возможно только для информационных систем класса КЗ, а также для информационных систем класса К4.
Для проведения собственными силами мероприятий по обеспечению безопасности персональных данных для специальных информационных систем, систем 1-го и 2-го класса и распределенных (например, подключенных к Интернету) систем 3-го класса операторы обязаны в установленном порядке получить лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Откуда они это взяли? Бред полный :!: Лицензия ФСТЭК либо нужна, либо нет. И класс здесь не причем.
а меня всегда поражает название лицензии: "техническая защита конфиденциальной информации", кто покажет определение из ФЗ, что такое "конфиденциальная информация"? ;)
Tomas,
Указ Президента РФ от 6 марта 1997 г. N 188 Перечень сведений конфиденциального характера
Хороший Указ, только понятия "конфиденциальная информация" не раскрывает.
Цитата
Сергей С. пишет:
Откуда они это взяли? Бред полный smile:!: Лицензия ФСТЭК либо нужна, либо нет. И класс здесь не причем.
Сергей, это взято из "Основные мероприятия..." ФСТЭК, отменённые с выходом 58 ФЗ.
Ссылку на статью, я дал в качестве забавного(и не очень) ляпа ;)
Изменено: Антон - 11.04.2011 13:42:56
НТЦ "Квазар"
Страницы: 1 2 3 4 5 ... 9 След.
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.